← Home

LegacyHive: Nova vulnerabilidade zero-day no Windows concede privilégios de administrador

1) O fato Uma vulnerabilidade zero-day batizada de 'LegacyHive' foi descoberta no Windows, permitindo que um atacante obtenha privilégios de administrador no sistema. O bug afeta múltiplas versões do Windows, incluindo Windows 11 e Windows Server 2022. A Microsoft foi notificada pelos pesquisadores e trabalha em uma correção. Detalhes técnicos parciais já circulam em fóruns de segurança, embora o exploit completo ainda não tenha sido divulgado publicamente.

2) Contexto LegacyHive explora um componente do gerenciamento de registry do Windows — a base de dados central onde o sistema operacional armazena configurações. O nome 'Legacy' (legado) sugere que o código vulnerável data de versões antigas do Windows e nunca foi devidamente revisado à luz das práticas modernas de segurança. Esta é a mais recente de uma série de vulnerabilidades de escalonamento de privilégio local que afetam o Windows nos últimos anos — um padrão recorrente que expõe a dívida técnica acumulada em décadas de compatibilidade reversa.

3) Análise Vulnerabilidades de escalonamento local de privilégio (LPE) são o vetor mais comum após o acesso inicial em ataques sofisticados. Raramente são o ponto de entrada — mas são quase sempre o passo seguinte. Um atacante que já tenha execução limitada (via phishing, malware, ou vulnerabilidade remota) usa um LPE para elevar seu acesso a SYSTEM ou Administrador, momento em que o jogo acaba: o atacante desabilita defesas, instala persistência, exfiltra dados. O 'Legacy' no nome da falha acende um alerta específico: código legado no Windows é notoriamente frágil porque foi escrito antes da era das threat models, em linguagens sem proteções de memória, sob suposições de confiança que não valem mais. Empresas que atrasam a aplicação de patches (comum em ambientes corporativos com compliance rigoroso) são o alvo principal. O CISA deve emitir um alerta vinculante para agências federais dos EUA.

4) O que observar O cronograma da Microsoft para o patch é o ponto crítico — a empresa adotou o ciclo mensal de Patch Tuesday, mas zero-days com exploit ativo costumam merecer atualização emergencial fora do ciclo. Monitore relatórios de exploração ativa (os pesquisadores podem ou não ter observado uso em campanhas reais). O CISA deve adicionar a CVE ao catálogo de Known Exploited Vulnerabilities. Para equipes de segurança: isolar sistemas críticos e revisar logs de escalonamento de privilégio são medidas defensivas imediatas enquanto o patch não chega.

Fonte: BleepingComputer