Pesquisador libera PoC de zero-day no Windows horas após o maior Patch Tuesday da história
Chaotic Eclipse publicou o LegacyHive, exploit funcional contra o User Profile Service em todas as versões atualizadas do Windows, expondo escalonamento de privilégios logo após o Patch Tuesday de julho/2026.
O pesquisador Chaotic Eclipse (Nightmare-Eclipse) publicou horas depois do Patch Tuesday de julho de 2026 um novo proof-of-concept chamado LegacyHive, que explora uma falha de elevação de privilégios no User Profile Service (ProfSvc) do Windows. O exploit é funcional em todas as versões desktop e server suportadas, inclusive nas máquinas atualizadas com o pacote de correções mais recente da Microsoft.
O que aconteceu
Poucas horas depois de a Microsoft encerrar o maior Patch Tuesday da sua história em 15 de julho de 2026 — com 621 CVEs corrigidos em um único ciclo — o pesquisador conhecido como Chaotic Eclipse tornou público o LegacyHive, um exploit ainda sem correção que abusa do serviço responsável por carregar e manter os perfis de usuário no Windows.
A vulnerabilidade permite que um atacante já autenticado carregue arbitrariamente uma hive do registro pertencente a outro usuário, resultando em escalonamento de privilégios locais. O pesquisador afirma que a versão pública do PoC foi propositalmente reduzida em capacidade para dificultar o abuso em massa: exige credenciais de um segundo usuário padrão e um terceiro nome de conta, que pode ser de administrador.
Segundo o autor, o exploit original não tinha essas restrições e permitia carregar qualquer hive, não apenas o usrclass.dat. A liberação segue um padrão que se tornou conflituoso: desde abril de 2026, Chaotic Eclipse acumula publicações de falhas antes que a Microsoft as corrija, alegando ruptura no processo de comunicação com o Microsoft Security Response Center.
Detalhes da vulnerabilidade
O User Profile Service (ProfSvc) é um componente central do Windows, responsável por carregar as hives NTUSER.DAT e UsrClass.dat sempre que uma sessão de usuário é iniciada. Uma falha na validação de qual identidade está solicitando o load de hive permite que um invasor comum monte a hive alheia sob o HKEY_CURRENT_USER classes root da sessão atual, expondo dados sensíveis e abrindo caminho para persistência com privilégios elevados.
“Se o PoC for bem-sucedido, ele monta a hive do usuário-alvo no classes root do usuário atual. Qualquer hive pode ser carregada usando esta vulnerabilidade, mas seria preciso um pouco de neurônio para fazer o PoC operar assim.”
Chaotic Eclipse
Esta não é a primeira dor de cabeça entre o pesquisador e a Microsoft. Três vulnerabilidades no Microsoft Defender divulgadas por ele em 2026 foram exploradas ativamente pouco depois da divulgação. Ainda neste mês, a Microsoft corrigiu uma falha do Defender chamada RoguePlanet — porém, as “defense-in-depth updates” introduzidas para mitigá-la acabaram provocando um vazamento de 8 bytes de dados em determinados cenários de abertura de arquivo, um recuo embaraçoso para a fabricante.
Quem é afetado
Como o LegacyHive atinge um serviço presente em todo o ecossistema Windows, o alcance é praticamente universal. As restrições impostas pelo PoC público diminuem, mas não eliminam, o risco: qualquer ambiente com múltiplos usuários locais está exposto.
- Estações de trabalho corporativas com contas compartilhadas ou perfis de terminal (Citrix, RDS, VDI)
- Servidores Windows Server em ambientes de terminal e de aplicação multiusuário
- Infraestruturas de laboratório, universidades e ambientes de kiosk
- Máquinas alvo de operações de red team, onde o atacante já possui foothold com usuário padrão
- Ambientes de desenvolvimento nos quais contas técnicas convivem com contas administrativas na mesma máquina
Análise
O episódio expõe dois problemas simultâneos. O primeiro é operacional: julho de 2026 registrou o maior Patch Tuesday da história, com 621 CVEs, e ainda assim uma falha explorável foi divulgada horas após o encerramento do ciclo. Quando o volume de patches ultrapassa a capacidade de teste e priorização das equipes de segurança, cada janela de exposição adicional gera impacto desproporcional.
O segundo é político. A tensão entre Chaotic Eclipse e a Microsoft repete um padrão observado em 2024 e 2025 com pesquisadores como Mitja Kolsek e SandboxEscaper: quando o processo formal de coordenação falha ou é percebido como lento e opaco, a divulgação pública passa a ser usada como instrumento de pressão. O custo, contudo, recai sobre o defensor. Três das últimas quatro falhas do Defender divulgadas nesse contexto foram exploradas ativamente antes do patch, e o LegacyHive segue trajetória semelhante.
Vale registrar também que a Microsoft ainda não classificou a falha como zero-day sob a definição rigorosa do MSRC — sem CVE atribuído, sem KB pública. Para efeitos operacionais, no entanto, o comportamento é o mesmo: exploit funcional em sistemas totalmente atualizados, sem correção disponível, com PoC circulando publicamente. Do ponto de vista da equipe azul, a taxonomia importa menos do que a exposição.
Recomendações práticas
- Monitorar operações de carga de hive via ProfSvc por meio dos eventos 4657 e 4663 do Windows Security Log, com foco em processos não interativos executando RegLoadKey/RegLoadAppKey
- Aplicar least privilege de forma agressiva em estações compartilhadas e servidores multiusuário: revisar contas locais com direitos de “Load and unload device drivers” ou “Backup files and directories”
- Ativar Attack Surface Reduction rules relacionadas a persistência via registro (ex: bloqueio de criação de subprocessos por Office e por scripts)
- Reforçar EDR com regras de detecção para chamadas anômalas a NtLoadKey e NtLoadKeyEx originadas de contextos de usuário padrão
- Para servidores VDI/RDS, considerar segmentação de sessão e uso de FSLogix com containers isolados por perfil
- Acompanhar o portal MSRC nas próximas 24-72 horas em busca de KB fora de ciclo; não descartar a possibilidade de exploração ativa antes da correção
Fonte: The Hacker News






