O Diário do Analista
Vol. 2 (abr. 2026)  |  Pp. 224–226  |  ISSN 3086-6103

Alerta: Nova PoC zero-day para Windows Defender denominada “LegacyHive” foi publicada nesta semana

Estamos cientes de uma PoC publicada no dia 14/07/2026 em um repositório no GitHub pelo pesquisador Chaotic Eclipse. O pesquisador é conhecido na área e já realizou o desenvolvimento de várias PoCs envolvendo o sistema da Microsoft, dentre elas a BlueHammer, RedSun, MiniPlasma, RoguePlanet e GreatXML, as quais já foram tratadas em outras publicações no Diário.


Contexto e Origem

LegacyHive foi divulgado logo após o Patch Tuesday de julho de 2026, no qual a Microsoft divulgou a correção de mais de 600 CVEs. Entretanto, a técnica demonstrada permanece funcional em sistemas Windows atualizados, mostrando que a PoC publicada não depende de nenhuma vulnerabilidade corrigida.

O alvo da PoC é o Windows User Profile Service, conhecido como ProfSvc. Esse componente participa do carregamento de perfis de usuário no logon, incluindo hives de registro como NTUSER.DAT e UsrClass.dat, que armazenam configurações do ambiente do usuário, associações de arquivos, preferências de aplicações e artefatos relacionados ao Windows Explorer.

A técnica remete a uma classe antiga de problemas em que processos de baixa integridade conseguem influenciar o carregamento de hives de perfis mais privilegiados. O diferencial de LegacyHive está no uso combinado de alterações offline em hive, links simbólicos no Object Manager do Windows e uma condição de corrida controlada para alterar o destino final do arquivo carregado.


Exploração da Vulnerabilidade

Como foi contextualizado, a PoC explora o processo de carregamento de perfis do Windows para induzir o serviço User Profile Service (ProfSvc) a montar o arquivo UsrClass.dat pertencente a outro usuário. Para isso, o código combina alteração offline de hive de Registro, links simbólicos no namespace de objetos do Windows e uma condição de corrida sincronizada por oplock.

A execução requer como parâmetros as credenciais de uma conta auxiliar sem privilégios e o nome do usuário alvo. A conta auxiliar é usada para iniciar uma nova sessão com perfil, enquanto o alvo é o usuário cujo hive UsrClass.dat será carregado de forma indevida.

Em resumo, a execução segue este fluxo:

  1. A PoC recebe as credenciais de uma conta auxiliar e o nome de um usuário alvo, necessitando de uma execução local e uma segunda credencial válida na versão pública.

  2. Ela altera o ntuser.dat da conta auxiliar para redefinir Local AppData e conduzir a busca do hive pelo namespace BaseNamedObjects\Restricted.

  3. A PoC cria links simbólicos que inicialmente levam ao diretório temporário com um UsrClass.dat de isca, mas também deixam preparado um destino alternativo, nesse caso o diretório Microsoft\Windows do usuário alvo.

  4. Ao disparar um novo logon com perfil para a conta auxiliar, o ProfSvc começa a abrir o arquivo de isca, então o oplock pausa a operação e permite remover o primeiro redirecionamento no momento exato.

  5. A resolução de caminho passa ao destino alternativo, e o serviço conclui o carregamento usando o UsrClass.dat do alvo na raiz de classes associada à conta auxiliar.

  6. Por fim, a PoC confirma a montagem do hive e tenta restaurar o ntuser.dat, apagar os arquivos temporários e encerrar o processo auxiliar.

A demonstração pública comprova um primitive de redirecionamento cross-user de hive, e não uma cadeia completa de escalonamento de privilégios. Dessa forma, ela não entrega automaticamente execução de código elevado, mas pode oferecer acesso indevido a dados de Registro de outro perfil e servir de base para ataques mais amplos.


Sistemas Afetados

Segundo as análises disponíveis, a PoC funciona em instalações desktop e server do Windows plenamente atualizadas após o Patch Tuesday de julho de 2026. Isso inclui sistemas que já aplicaram as correções distribuídas pela Microsoft naquele ciclo.

Até a publicação analisada, o LegacyHive não possuí uma CVE própria nem uma correção oficial específica da Microsoft. Dessa forma, é recomendado realizar o acompanhamento de comunicados futuros do fabricante e tratar a técnica como um risco ativo de detecção.


Mitigações

Como a PoC restaura o hive original e apaga arquivos temporários durante sua rotina de limpeza, a ausência de arquivos suspeitos não descarta a possibilidade de execução. Assim, a principal recomentação é realizar o monitoramento dos arquivos:

C:\Users\*\ntuser.dat
C:\Users\*\AppData\Local\Microsoft\Windows\UsrClass.dat

Além disso, alguns sinais de alerta que devem ser invstigados são: processos executados por usuário padrão escrevendo no hive de outro usuário, a substituição de ntuser.dat por processos que não sejam componentes esperados do Windows e a criação de hives em C:\, %TEMP%, %ProgramData% ou outros locais anômalos.


Referências

[1] ThreatLocker. LegacyHive: Video demo and analysis of Windows 0-day from NightmareEclipse. Disponível em:
https://www.threatlocker.com/blog/legacyhive-video-demo-and-analysis-of-windows-0-day-from-nightmareeclipse
. Acesso em: 16 de julho de 2026.

[2] The Register. Microsoft’s serial tormentor drops LegacyHive 0-day. Disponível em:
https://www.theregister.com/security/2026/07/15/microsofts-serial-tormentor-drops-legacyhive-0-day/5271723
. Acesso em: 16 de julho de 2026.

[3] Core-JMP. LegacyHive: The Windows User Profile Service Bug That Loads Another User’s Registry Hive. Disponível em: https://core-jmp.org/2026/07/legacyhive-windows-user-profile-service-hive-load-eop/. Acesso em: 16 de julho de 2026.

Tags: , , , .

Categorias: Alerta, Microsoft, PoC, Windows, Zero Day.