LegacyHive: nova vulnerabilidade zero-day do Windows preocupa especialistas em segurança cibernética

LegacyHive

A divulgação da LegacyHive acendeu um novo alerta para administradores de sistemas e equipes de TI em todo o mundo. Poucas horas após a Microsoft liberar as atualizações do Patch Tuesday de julho de 2026, um pesquisador de segurança publicou uma prova de conceito (PoC) demonstrando uma nova vulnerabilidade de elevação de privilégios que continua funcionando mesmo em sistemas totalmente atualizados.

A descoberta reforça um cenário cada vez mais comum: mesmo após a aplicação de correções oficiais, novas técnicas de exploração podem surgir rapidamente. Esse movimento aumenta a importância da segurança da informação, do monitoramento contínuo e da implementação de estratégias de defesa em profundidade.

Neste artigo, você entenderá como funciona a LegacyHive, quais versões do Windows são afetadas, os riscos para empresas e quais medidas devem ser adotadas imediatamente.

O que é a LegacyHive?

A LegacyHive é uma nova vulnerabilidade descoberta pelo pesquisador de segurança conhecido como Chaotic Eclipse (Nightmare-Eclipse).

Segundo o pesquisador, trata-se de uma vulnerabilidade de elevação de privilégios causada pelo carregamento arbitrário de hives do registro através do Serviço de Perfil de Usuário do Windows (ProfSvc).

Esse serviço é responsável por:

  • Gerenciar perfis de usuários;
  • Carregar configurações individuais;
  • Administrar ambientes de login;
  • Manipular arquivos de perfil durante sessões do Windows.

A falha permite que um invasor monte diretórios pertencentes a outros usuários, abrindo caminho para diversos ataques posteriores.


Como funciona a exploração?

Na prova de conceito divulgada, a exploração exige:

  • uma conta de usuário comum;
  • outra credencial válida;
  • um terceiro usuário (inclusive administrador).

Entretanto, o pesquisador explicou que essa limitação foi adicionada apenas para impedir abusos públicos.

Segundo ele, a vulnerabilidade original era significativamente mais perigosa.

Ela permitia:

  • carregar qualquer hive do Windows;
  • dispensar credenciais adicionais;
  • acessar diferentes arquivos além do usrclass.dat.

Isso demonstra que a PoC publicada representa apenas uma pequena parte da falha descoberta.


Por que a LegacyHive preocupa?

O maior problema é que a LegacyHive continua funcionando mesmo após a instalação do Patch Tuesday de julho de 2026.

Isso significa que computadores totalmente atualizados permanecem vulneráveis.

Esse cenário é extremamente preocupante para organizações que dependem exclusivamente das atualizações mensais da Microsoft como principal camada de proteção.

Além disso, segundo o pesquisador, todas as versões suportadas do Windows Desktop e Windows Server são afetadas.


Comparativo da vulnerabilidade LegacyHive

CaracterísticaLegacyHive
Tipo de falhaElevação de privilégios
ImpactoAlto
Exploração remotaNão diretamente
Necessita usuário localSim (na PoC)
Funciona após Patch TuesdaySim
Windows DesktopAfetado
Windows ServerAfetado
Correção oficialEm investigação

Microsoft investiga o problema

A Microsoft confirmou que recebeu o relatório e informou que está analisando os detalhes da vulnerabilidade.

Até o momento da publicação deste artigo, não existe atualização oficial para corrigir a LegacyHive.

Enquanto isso, especialistas recomendam reforçar políticas de controle de acesso e monitoramento dos servidores.

Essa situação evidencia como a segurança da informação depende de diversas camadas de proteção e não apenas da instalação de patches.


A disputa entre Chaotic Eclipse e Microsoft

Desde abril de 2026, Chaotic Eclipse vem divulgando diversas vulnerabilidades antes da Microsoft disponibilizar correções.

Segundo o pesquisador, existe uma falha de comunicação durante o processo de divulgação responsável.

Entre os casos recentes estão:

  • RoguePlanet;
  • múltiplas vulnerabilidades do Microsoft Defender;
  • novas falhas envolvendo o Windows;
  • agora, a LegacyHive.

Em alguns episódios anteriores, criminosos começaram a explorar vulnerabilidades poucas horas após sua divulgação pública.


O Patch Tuesday de julho bate recorde

Apesar da divulgação da LegacyHive, o Patch Tuesday de julho de 2026 trouxe um número impressionante de correções.

Ao todo foram:

  • 622 vulnerabilidades corrigidas
  • diversas falhas críticas
  • vulnerabilidades já exploradas por criminosos

Esse foi um dos maiores ciclos de atualizações já lançados pela Microsoft.


Principais vulnerabilidades corrigidas

CVEProdutoGravidade
CVE-2026-56164SharePoint ServerMédia
CVE-2026-56155Active Directory Federation ServicesAlta
CVE-2026-55040SharePoint ServerCrítica (CVSS 9.1)

SharePoint também está sob ataque

Além da LegacyHive, especialistas chamaram atenção para diversas vulnerabilidades críticas no SharePoint Server.

A principal delas é a CVE-2026-55040, considerada crítica com pontuação CVSS de 9.1.

Essa falha permite:

  • bypass de autenticação;
  • execução de operações administrativas;
  • comprometimento completo do servidor.

O problema ocorre devido a falhas no processo de validação de tokens JWT.

Caso seja explorada com sucesso, um invasor pode agir como qualquer usuário do ambiente.


Vulnerabilidades exploradas ativamente

A Agência de Segurança Cibernética dos Estados Unidos (CISA) confirmou exploração ativa das seguintes falhas:

  • CVE-2026-32201
  • CVE-2026-45659
  • CVE-2026-56164

Essas vulnerabilidades permitem:

  • execução remota de código (RCE);
  • escalonamento de privilégios;
  • roubo de chaves do IIS;
  • implantação de malware;
  • persistência na rede.

Comparativo das principais ameaças

VulnerabilidadeProdutoTipo de ataqueSituação
LegacyHiveWindowsElevação de privilégiosSem correção
CVE-2026-55040SharePointBypass de autenticaçãoCorrigida
CVE-2026-56164SharePointEscalonamento de privilégiosExploração ativa
CVE-2026-56155ADFSEscalonamento de privilégiosCorrigida

Como proteger sua empresa

Mesmo sem uma atualização específica para a LegacyHive, algumas medidas reduzem significativamente os riscos.

Atualize todos os servidores

Mesmo que a nova vulnerabilidade ainda esteja sem correção, é fundamental instalar todas as atualizações disponíveis.

As demais falhas críticas já possuem patches oficiais.


Restrinja privilégios locais

Evite conceder permissões administrativas desnecessárias.

O princípio do menor privilégio continua sendo uma das melhores práticas da segurança da informação.


Monitore atividades suspeitas

Ferramentas como:

  • Microsoft Defender for Endpoint;
  • Wazuh;
  • Microsoft Sentinel;
  • SIEM corporativo.

Podem identificar tentativas de exploração antes que o ataque seja concluído.


Reforce a autenticação

Sempre que possível:

  • utilize MFA;
  • revise contas privilegiadas;
  • elimine usuários inativos;
  • monitore alterações em perfis administrativos.

Faça auditorias frequentes

Auditorias de segurança ajudam a identificar:

  • permissões excessivas;
  • contas órfãs;
  • serviços vulneráveis;
  • configurações inseguras.

O aumento das vulnerabilidades em 2026

Especialistas afirmam que o crescimento das pesquisas utilizando inteligência artificial acelerou significativamente a descoberta de vulnerabilidades.

Ao mesmo tempo, pesquisadores independentes passaram a divulgar falhas cada vez mais rapidamente.

Esse cenário torna essencial investir continuamente em segurança da informação, resposta a incidentes e monitoramento proativo.

Empresas que dependem apenas da instalação de atualizações podem permanecer vulneráveis durante dias ou semanas até que novas correções sejam disponibilizadas.


Conclusão

A divulgação da LegacyHive demonstra que o cenário de ameaças continua evoluindo rapidamente. Mesmo após um Patch Tuesday histórico, uma nova vulnerabilidade zero-day mostrou que sistemas atualizados ainda podem permanecer expostos.

Para reduzir riscos, organizações devem combinar atualizações frequentes, monitoramento contínuo, controle rigoroso de privilégios e boas práticas de segurança da informação. Em um ambiente onde novas falhas podem surgir poucas horas após uma atualização oficial, adotar uma estratégia de defesa em camadas deixa de ser uma recomendação e passa a ser uma necessidade para proteger ativos críticos e garantir a continuidade dos negócios.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Compartilhe esse conteúdo em suas redes sociais

Luis Paulo

Me chamo Luis Paulo sou apaixonado por tecnologia e Inteligência Artificial, sou formado em Redes de Computadores pós graduado em Lei Geral de Proteção de Dados Pessoais (LGPD). Possuo varias certificação na área de tecnologia, compartilho ideias, curiosidade, conhecimentos e insigths do mundo digital. Para informações ao meu respeito acesse minha pagina do meu LinKedin.