Vol. 2 (abr. 2026) | Pp. 224–226 | ISSN 3086-6103
Alerta: Nova PoC zero-day para Windows Defender denominada “LegacyHive” foi publicada nesta semana
Estamos cientes de uma PoC publicada no dia 14/07/2026 em um repositório no GitHub pelo pesquisador Chaotic Eclipse. O pesquisador é conhecido na área e já realizou o desenvolvimento de várias PoCs envolvendo o sistema da Microsoft, dentre elas a BlueHammer, RedSun, MiniPlasma, RoguePlanet e GreatXML, as quais já foram tratadas em outras publicações no Diário.
Contexto e Origem
LegacyHive foi divulgado logo após o Patch Tuesday de julho de 2026, no qual a Microsoft divulgou a correção de mais de 600 CVEs. Entretanto, a técnica demonstrada permanece funcional em sistemas Windows atualizados, mostrando que a PoC publicada não depende de nenhuma vulnerabilidade corrigida.
O alvo da PoC é o Windows User Profile Service, conhecido como ProfSvc. Esse componente participa do carregamento de perfis de usuário no logon, incluindo hives de registro como NTUSER.DAT e UsrClass.dat, que armazenam configurações do ambiente do usuário, associações de arquivos, preferências de aplicações e artefatos relacionados ao Windows Explorer.
A técnica remete a uma classe antiga de problemas em que processos de baixa integridade conseguem influenciar o carregamento de hives de perfis mais privilegiados. O diferencial de LegacyHive está no uso combinado de alterações offline em hive, links simbólicos no Object Manager do Windows e uma condição de corrida controlada para alterar o destino final do arquivo carregado.
Exploração da Vulnerabilidade
Como foi contextualizado, a PoC explora o processo de carregamento de perfis do Windows para induzir o serviço User Profile Service (ProfSvc) a montar o arquivo UsrClass.dat pertencente a outro usuário. Para isso, o código combina alteração offline de hive de Registro, links simbólicos no namespace de objetos do Windows e uma condição de corrida sincronizada por oplock.
A execução requer como parâmetros as credenciais de uma conta auxiliar sem privilégios e o nome do usuário alvo. A conta auxiliar é usada para iniciar uma nova sessão com perfil, enquanto o alvo é o usuário cujo hive UsrClass.dat será carregado de forma indevida.
Em resumo, a execução segue este fluxo:
-
A PoC recebe as credenciais de uma conta auxiliar e o nome de um usuário alvo, necessitando de uma execução local e uma segunda credencial válida na versão pública.
-
Ela altera o
ntuser.datda conta auxiliar para redefinirLocal AppDatae conduzir a busca do hive pelo namespaceBaseNamedObjects\Restricted. -
A PoC cria links simbólicos que inicialmente levam ao diretório temporário com um
UsrClass.datde isca, mas também deixam preparado um destino alternativo, nesse caso o diretórioMicrosoft\Windowsdo usuário alvo. -
Ao disparar um novo logon com perfil para a conta auxiliar, o
ProfSvccomeça a abrir o arquivo de isca, então o oplock pausa a operação e permite remover o primeiro redirecionamento no momento exato. -
A resolução de caminho passa ao destino alternativo, e o serviço conclui o carregamento usando o
UsrClass.datdo alvo na raiz de classes associada à conta auxiliar. -
Por fim, a PoC confirma a montagem do hive e tenta restaurar o
ntuser.dat, apagar os arquivos temporários e encerrar o processo auxiliar.
A demonstração pública comprova um primitive de redirecionamento cross-user de hive, e não uma cadeia completa de escalonamento de privilégios. Dessa forma, ela não entrega automaticamente execução de código elevado, mas pode oferecer acesso indevido a dados de Registro de outro perfil e servir de base para ataques mais amplos.
Sistemas Afetados
Segundo as análises disponíveis, a PoC funciona em instalações desktop e server do Windows plenamente atualizadas após o Patch Tuesday de julho de 2026. Isso inclui sistemas que já aplicaram as correções distribuídas pela Microsoft naquele ciclo.
Até a publicação analisada, o LegacyHive não possuí uma CVE própria nem uma correção oficial específica da Microsoft. Dessa forma, é recomendado realizar o acompanhamento de comunicados futuros do fabricante e tratar a técnica como um risco ativo de detecção.
Mitigações
Como a PoC restaura o hive original e apaga arquivos temporários durante sua rotina de limpeza, a ausência de arquivos suspeitos não descarta a possibilidade de execução. Assim, a principal recomentação é realizar o monitoramento dos arquivos:
C:\Users\*\ntuser.dat
C:\Users\*\AppData\Local\Microsoft\Windows\UsrClass.dat
Além disso, alguns sinais de alerta que devem ser invstigados são: processos executados por usuário padrão escrevendo no hive de outro usuário, a substituição de ntuser.dat por processos que não sejam componentes esperados do Windows e a criação de hives em C:\, %TEMP%, %ProgramData% ou outros locais anômalos.
Referências
[1] ThreatLocker. LegacyHive: Video demo and analysis of Windows 0-day from NightmareEclipse. Disponível em:
https://www.threatlocker.com/blog/legacyhive-video-demo-and-analysis-of-windows-0-day-from-nightmareeclipse
. Acesso em: 16 de julho de 2026.
[2] The Register. Microsoft’s serial tormentor drops LegacyHive 0-day. Disponível em:
https://www.theregister.com/security/2026/07/15/microsofts-serial-tormentor-drops-legacyhive-0-day/5271723
. Acesso em: 16 de julho de 2026.
[3] Core-JMP. LegacyHive: The Windows User Profile Service Bug That Loads Another User’s Registry Hive. Disponível em: https://core-jmp.org/2026/07/legacyhive-windows-user-profile-service-hive-load-eop/. Acesso em: 16 de julho de 2026.