top of page

Pesquisador divulga vulnerabilidade zero-day do Windows horas após a atualização de segurança da Microsoft



O pesquisador de segurança Chaotic Eclipse, também conhecido como Nightmare-Eclipse, publicou um novo código de prova de conceito, ou PoC, para uma vulnerabilidade de elevação de privilégios que permanece funcional mesmo em sistemas Windows atualizados com os pacotes de segurança de julho de 2026.


Batizado de LegacyHive, o exploit abusa do Windows User Profile Service, conhecido como ProfSvc, componente central responsável por gerenciar contas, perfis e ambientes de usuários no sistema operacional. A falha permite que um usuário sem privilégios administrativos carregue arbitrariamente um hive do Registro pertencente a outra conta.


Hives são arquivos que armazenam partes da configuração do Registro do Windows. Eles concentram informações relacionadas a usuários, aplicativos, associações de arquivos, políticas e outros elementos utilizados pelo sistema operacional. A possibilidade de carregar ou modificar o hive de outra conta pode abrir caminho para ações não autorizadas e futuras cadeias de elevação de privilégios.


Segundo Chaotic Eclipse, a versão pública do LegacyHive exige as credenciais de outro usuário padrão e o nome de uma terceira conta, que pode ser um administrador. Quando executado com sucesso, o PoC monta o hive do usuário-alvo na raiz de classes do usuário atual.


O pesquisador afirmou, no entanto, que o código publicado foi deliberadamente limitado para dificultar seu uso direto em ataques. A versão original do exploit não precisaria de credenciais adicionais e também não estaria restrita ao arquivo “UsrClass.dat”, utilizado para armazenar configurações específicas de classes e associações do perfil.


De acordo com Chaotic Eclipse, a vulnerabilidade poderia ser explorada para carregar outros hives do Registro, desde que o código fosse adaptado. Essa capacidade amplia o potencial de abuso, embora a publicação inicial não apresente uma cadeia completa de ataque que transforme automaticamente a falha em comprometimento administrativo.


A descoberta chama atenção porque o exploit funciona em todas as versões suportadas do Windows para desktops e servidores, inclusive em máquinas que receberam as atualizações disponibilizadas no Patch Tuesday de julho de 2026.


Microsoft investiga vulnerabilidade


A Microsoft confirmou que está analisando as alegações relacionadas ao LegacyHive. A empresa informou que busca determinar a validade da vulnerabilidade e sua possível aplicação em cenários reais de ataque.


“Microsoft está ciente da vulnerabilidade relatada e está investigando ativamente a validade e a possível aplicabilidade dessas alegações”, declarou um porta-voz.


A companhia também reiterou seu apoio à divulgação coordenada de vulnerabilidades, processo pelo qual pesquisadores compartilham antecipadamente as informações com os fabricantes para permitir a investigação e o desenvolvimento de correções antes da publicação dos detalhes técnicos.


Segundo a Microsoft, esse modelo ajuda a proteger clientes e oferece condições para que as descobertas sejam analisadas de forma completa antes de se tornarem públicas.


O LegacyHive foi divulgado poucas horas após a Microsoft liberar seu conjunto mensal de atualizações. Até o momento descrito no relatório, não havia correção disponível para a falha, nem confirmação de exploração ativa em ataques.


Pesquisadores confirmam funcionamento do LegacyHive


Após a divulgação, outros especialistas analisaram o código e confirmaram que o exploit funciona em sistemas atualizados.


Em uma publicação no Mastodon, o pesquisador Kevin Beaumont afirmou que o LegacyHive é funcional e permanece sem correção. Will Dormann também avaliou o código e explicou que a vulnerabilidade permite que um usuário sem privilégios administrativos modifique o hive de classes do Registro pertencente a uma conta de administrador.


Dormann classificou essa capacidade como uma “primitiva bastante poderosa”. Em segurança, uma primitiva é uma operação que, embora não represente necessariamente um ataque completo, pode ser combinada com outras técnicas para atingir objetivos mais avançados.


Como exemplo, Dormann demonstrou que seria possível alterar a associação de arquivos de texto de um administrador para que arquivos com a extensão “.txt” fossem abertos pelo aplicativo Calculadora do Windows, o calc.exe.


A demonstração é relativamente inofensiva, mas ilustra como o controle sobre associações e configurações do Registro pode ser explorado. Segundo o pesquisador, invasores mais experientes poderiam desenvolver formas mais relevantes de abuso, inclusive técnicas que não dependessem de interação direta do usuário.


Disputa entre pesquisador e Microsoft


Chaotic Eclipse e a Microsoft mantêm uma disputa pública desde pelo menos abril de 2026. O pesquisador passou a divulgar informações sobre diferentes vulnerabilidades antes que a fabricante tivesse tempo de desenvolver e distribuir correções, alegando falhas de comunicação durante o processo de reporte.


Entre os problemas publicados estavam vulnerabilidades no Microsoft Defender. Três delas teriam sido exploradas ativamente pouco depois da divulgação pública, demonstrando os riscos associados à publicação de detalhes técnicos antes da disponibilização de atualizações de segurança.


No início de julho, a Microsoft lançou correções para outra vulnerabilidade do Defender identificada pelo pesquisador e denominada RoguePlanet. Posteriormente, foi constatado que as atualizações de defesa em profundidade adicionadas para mitigar o problema poderiam fazer o Microsoft Defender vazar oito bytes de dados ao tentar abrir um arquivo em determinadas circunstâncias.


A Microsoft também informou que investiga esse novo comportamento.


Patch Tuesday corrige recorde de 622 vulnerabilidades


A divulgação do LegacyHive ocorreu no mesmo período em que a Microsoft publicou correções para um recorde de 622 vulnerabilidades em seus produtos.


Entre os problemas corrigidos estão duas falhas de elevação de privilégios que foram classificadas como exploradas ativamente: CVE-2026-56164, no SharePoint Server, com pontuação CVSS de 5,3, e CVE-2026-56155, no Active Directory Federation Services, ou AD FS, com CVSS de 7,8.


A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos, a CISA, adicionou as duas vulnerabilidades ao catálogo Known Exploited Vulnerabilities, que reúne falhas com evidências de exploração no mundo real.


Órgãos civis do Poder Executivo Federal dos Estados Unidos receberam prazos para aplicar as atualizações. A correção da CVE-2026-56164 deve ser implementada até 17 de julho de 2026, enquanto a mitigação da CVE-2026-56155 deve ser concluída até 28 de julho.


Para Adam Barnett, engenheiro-chefe de software da Rapid7, o processo do Patch Tuesday enfrenta um período de instabilidade em 2026. O especialista relacionou esse cenário ao aumento acelerado na descoberta e no reporte de vulnerabilidades, impulsionado por ferramentas de inteligência artificial, e à publicação de falhas em condições que aumentam a pressão sobre a Microsoft.


Falhas do SharePoint são exploradas em ataques


Em um alerta separado, a CISA informou que acompanha a exploração ativa de várias vulnerabilidades no SharePoint Server, incluindo CVE-2026-32201, CVE-2026-45659 e CVE-2026-56164.


As falhas afetam todas as versões locais suportadas do SharePoint Server: Subscription Edition, SharePoint Server 2019 e SharePoint Server 2016.


De acordo com a agência, os invasores podem explorar essas vulnerabilidades para obter acesso não autorizado a servidores vulneráveis, executar código remotamente e realizar atividades pós-exploração.


Entre as ações observadas estão o roubo de chaves de máquina do Internet Information Services, ou IIS, o uso de técnicas de desserialização, a obtenção de persistência e a implantação de malware.


As chaves de máquina do IIS são utilizadas por aplicações web para proteger dados, validar informações e assinar determinados componentes. Quando roubadas, podem permitir que invasores criem dados aparentemente legítimos, mantenham acesso ao ambiente ou contornem mecanismos de segurança.


Segundo Alex Vovk, CEO e cofundador da Action1, a CVE-2026-56164 decorre da ausência de autenticação em uma função crítica. Isso permite que um invasor envie requisições de rede especialmente preparadas para acessar funcionalidades que deveriam exigir autorização.


A exploração pode resultar em elevação de privilégios e execução de ações não autorizadas sem credenciais válidas ou interação do usuário. Servidores SharePoint expostos à internet estão particularmente vulneráveis porque o ataque pode ser conduzido remotamente.


Falha crítica permite contornar autenticação


O pacote de julho de 2026 também corrigiu a CVE-2026-55040, uma vulnerabilidade crítica de desvio de recurso de segurança no SharePoint Server, com pontuação CVSS de 9,1.


A falha permite que um invasor remoto e não autenticado contorne o processo de autenticação de um servidor vulnerável e realize operações como um usuário ou administrador de um site SharePoint.


Segundo a Rapid7, o problema está relacionado a diferentes falhas no processo de validação de tokens JSON Web Token, ou JWT. Esses tokens são usados para representar identidades e autorizações entre aplicações e serviços.


Um invasor que explore a CVE-2026-55040 pode se apresentar como uma identidade escolhida e executar operações com as permissões dessa conta. A vulnerabilidade também pode ser combinada com outras falhas acessíveis apenas a usuários autenticados, ampliando a cadeia de ataque e seu possível impacto.


Organizações que utilizam versões locais do SharePoint devem priorizar as atualizações de julho, revisar a exposição dos servidores à internet e procurar sinais de comprometimento, especialmente atividades relacionadas ao IIS, alterações de configuração, criação de mecanismos de persistência e implantação de arquivos desconhecidos.


No caso do LegacyHive, a ausência de uma correção exige acompanhamento dos comunicados da Microsoft e atenção redobrada a atividades locais envolvendo perfis de usuários, carregamento de hives e alterações inesperadas no Registro do Windows.

 
 
Cópia de Cyber Security Brazil_edited.jpg

Cyber Security Brazil desde 2021, atuamos como referência nacional em segurança digital, oferecendo informação confiável, conteúdo especializado e fortalecendo o ecossistema de cibersegurança no Brasil.

Institucional

(11) 93937-9007

INSCREVA SEU EMAIL PARA RECEBER

ATUALIZAÇÕES, POSTS E NOVIDADES

  • RSS
  • Instagram
  • LinkedIn

© 2025 Todos os direitos reservados a Cyber Security Brazil

bottom of page