O pesquisador Chaotic Eclipse (Nightmare-Eclipse) publicou horas depois do Patch Tuesday de julho de 2026 um novo proof-of-concept chamado LegacyHive, que explora uma falha de elevação de privilégios no User Profile Service (ProfSvc) do Windows. O exploit é funcional em todas as versões desktop e server suportadas, inclusive nas máquinas atualizadas com o pacote de correções mais recente da Microsoft.
Poucas horas depois de a Microsoft encerrar o maior Patch Tuesday da sua história em 15 de julho de 2026 — com 621 CVEs corrigidos em um único ciclo — o pesquisador conhecido como Chaotic Eclipse tornou público o LegacyHive, um exploit ainda sem correção que abusa do serviço responsável por carregar e manter os perfis de usuário no Windows.
A vulnerabilidade permite que um atacante já autenticado carregue arbitrariamente uma hive do registro pertencente a outro usuário, resultando em escalonamento de privilégios locais. O pesquisador afirma que a versão pública do PoC foi propositalmente reduzida em capacidade para dificultar o abuso em massa: exige credenciais de um segundo usuário padrão e um terceiro nome de conta, que pode ser de administrador.
Segundo o autor, o exploit original não tinha essas restrições e permitia carregar qualquer hive, não apenas o usrclass.dat. A liberação segue um padrão que se tornou conflituoso: desde abril de 2026, Chaotic Eclipse acumula publicações de falhas antes que a Microsoft as corrija, alegando ruptura no processo de comunicação com o Microsoft Security Response Center.
O User Profile Service (ProfSvc) é um componente central do Windows, responsável por carregar as hives NTUSER.DAT e UsrClass.dat sempre que uma sessão de usuário é iniciada. Uma falha na validação de qual identidade está solicitando o load de hive permite que um invasor comum monte a hive alheia sob o HKEY_CURRENT_USER classes root da sessão atual, expondo dados sensíveis e abrindo caminho para persistência com privilégios elevados.
“Se o PoC for bem-sucedido, ele monta a hive do usuário-alvo no classes root do usuário atual. Qualquer hive pode ser carregada usando esta vulnerabilidade, mas seria preciso um pouco de neurônio para fazer o PoC operar assim.”
Chaotic Eclipse
Esta não é a primeira dor de cabeça entre o pesquisador e a Microsoft. Três vulnerabilidades no Microsoft Defender divulgadas por ele em 2026 foram exploradas ativamente pouco depois da divulgação. Ainda neste mês, a Microsoft corrigiu uma falha do Defender chamada RoguePlanet — porém, as “defense-in-depth updates” introduzidas para mitigá-la acabaram provocando um vazamento de 8 bytes de dados em determinados cenários de abertura de arquivo, um recuo embaraçoso para a fabricante.
Como o LegacyHive atinge um serviço presente em todo o ecossistema Windows, o alcance é praticamente universal. As restrições impostas pelo PoC público diminuem, mas não eliminam, o risco: qualquer ambiente com múltiplos usuários locais está exposto.
O episódio expõe dois problemas simultâneos. O primeiro é operacional: julho de 2026 registrou o maior Patch Tuesday da história, com 621 CVEs, e ainda assim uma falha explorável foi divulgada horas após o encerramento do ciclo. Quando o volume de patches ultrapassa a capacidade de teste e priorização das equipes de segurança, cada janela de exposição adicional gera impacto desproporcional.
O segundo é político. A tensão entre Chaotic Eclipse e a Microsoft repete um padrão observado em 2024 e 2025 com pesquisadores como Mitja Kolsek e SandboxEscaper: quando o processo formal de coordenação falha ou é percebido como lento e opaco, a divulgação pública passa a ser usada como instrumento de pressão. O custo, contudo, recai sobre o defensor. Três das últimas quatro falhas do Defender divulgadas nesse contexto foram exploradas ativamente antes do patch, e o LegacyHive segue trajetória semelhante.
Vale registrar também que a Microsoft ainda não classificou a falha como zero-day sob a definição rigorosa do MSRC — sem CVE atribuído, sem KB pública. Para efeitos operacionais, no entanto, o comportamento é o mesmo: exploit funcional em sistemas totalmente atualizados, sem correção disponível, com PoC circulando publicamente. Do ponto de vista da equipe azul, a taxonomia importa menos do que a exposição.
Fonte: The Hacker News
Atacantes injetaram info-stealer, cripto-stealer e RAT em quatro pacotes AsyncAPI. Malware usa IPFS e nós…
Rede alemã de supermercados notifica clientes online após invasores exfiltrarem nomes, telefones, e-mails e datas…
ANPD colocou IA entre os 4 eixos de fiscalização 2026-2027, planejou 20 ações para 2027…
DuneSlide (CVE-2026-50548/50549) leva o Cursor a RCE zero-click. Junto com EchoLeak e CurXecute, marca a…
Nemotron 3 Ultra chega com 550B/55B ativos em MoE Mamba-Attention, 400+ tok/s e liderança entre…
Google evoluiu a Vertex AI no Gemini Enterprise Agent Platform: ADK Python-native, Memory Bank persistente,…