← Home

Windows LegacyHive: vulnerabilidade zero-day concede privilégios de administrador

O fato Um pesquisador de segurança identificado como "Nightmare Eclipse" divulgou publicamente um exploit de dia zero para Windows batizado de LegacyHive. A vulnerabilidade permite que um atacante eleve seus privilégios ao nível de administrador do sistema (SYSTEM) sem necessidade de autenticação prévia, explorando um mecanismo legado do registro do Windows. O exploit foi publicado em fóruns de segurança e já circula em código-fonte aberto, o que viabiliza sua incorporação em kits de ferramentas usados por grupos criminosos e em testes de penetração ofensivos.

Contexto A Microsoft mantém no Windows dezenas de subsistemas herdados das décadas de 1990 e 2000 por questões de compatibilidade reversa. O LegacyHive ataca especificamente um desses componentes — um hive de registro que remonta às primeiras versões do Windows NT e que nunca recebeu as mesmas camadas de proteção que componentes mais modernos. A divulgação pública sem patch disponível coloca milhões de máquinas em risco imediato, especialmente em ambientes corporativos onde o ciclo de patch é longo e o tempo de mitigação é crítico. Historicamente, exploits de elevação de privilégio no Windows seguem um padrão: a Microsoft corrige, mas novas variantes surgem em subsistemas correlatos.

Análise O que torna o LegacyHive particularmente perigoso não é a complexidade técnica do exploit, mas sua simplicidade operacional. Elevação de privilégio local (LPE) combinada com um ponto de entrada já comprometido transforma qualquer acesso inicial — mesmo como usuário limitado — em domínio total da máquina. Em ataques reais, isso significa que um phishing bem-sucedido ou uma vulnerabilidade em um serviço exposto pode escalar rapidamente para comprometimento completo do domínio. A decisão do pesquisador de divulgar o código-fonte antes de um patch da Microsoft aumenta a pressão sobre a empresa, mas também expõe redes que não conseguem aplicar mitigação temporária. O LegacyHive se soma a uma longa lista de exploits LPE no ecossistema Windows — PrintNightmare, ZeroLogon, SeriousSAM — todos explorando subsistemas que a Microsoft mantém por razões de compatibilidade, mas que se tornam vetores recorrentes de ataque.

O que observar Aguardar o patch da Microsoft no próximo Patch Tuesday (agosto de 2026) ou em uma atualização de emergência fora do ciclo regular. Enquanto isso, equipes de segurança devem monitorar detecções de EDR que identifiquem tentativas de manipulação dos hives de registro e implementar bloqueios temporários de driver quando possível. A Microsoft pode precisar repensar o isolamento desses subsistemas legados — um debate que se repete a cada novo exploit em componentes como o Windows Search ou o Spooler de Impressão. O mercado de segurança, por sua vez, deve observar se o LegacyHive será incorporado a frameworks como Metasploit e Cobalt Strike, o que amplificaria seu impacto.

Fonte: BleepingComputer