Segurança

Pesquisador divulga nova prova de conceito de zero-day do Windows horas após Patch Tuesday da Microsoft

O pesquisador Chaotic Eclipse publicou uma prova de conceito (PoC) chamada LegacyHive, que explora uma falha de elevação de privilégios no Serviço de Perfil de Usuário do Windows. O exploit funciona em todas as versões suportadas do sistema, mesmo após a atualização do Patch Tuesday de julho de 2026, e intensifica a disputa entre o pesquisador e a Microsoft.


Ravie Lakshmanan Sexta - 17 de Julho de 2026 às 01:58
The Hacker News

O pesquisador de segurança Chaotic Eclipse (também conhecido como Nightmare-Eclipse) divulgou uma nova prova de conceito (PoC, do inglês Proof of Concept) de exploit chamada LegacyHive.

A falha foi descrita como uma vulnerabilidade de elevação de privilégios por carregamento arbitrário de hive (arquivo de registro do Windows) no Serviço de Perfil de Usuário do Windows. O Serviço de Perfil de Usuário do Windows, também chamado de ProfSvc, é um componente central do sistema que gerencia contas de usuário e ambientes.

"A PoC exige outra credencial de usuário padrão e um terceiro nome de usuário (que pode ser uma conta de administrador)", afirmou Chaotic Eclipse em comunicado. "Se a PoC for bem-sucedida, ela terminará montando o hive do usuário alvo na raiz de classes do usuário atual."

O pesquisador disse que o exploit foi reduzido para impedir a exploração pública, acrescentando que o exploit original não exigia credenciais adicionais de usuário e não se limitava ao hive "usrclass.dat".

"Qualquer hive poderia ser carregado usando essa vulnerabilidade, mas seria preciso ter neurônios funcionando para fazer a PoC fazer isso", observou o pesquisador.

O que chama a atenção é que o exploit é funcional em todas as versões desktop e servidor do Windows com suporte, incluindo as que executam a mais recente atualização do Patch Tuesday de julho de 2026.

Chaotic Eclipse e a Microsoft estão envolvidos em uma acirrada disputa desde pelo menos abril de 2026, com o pesquisador divulgando detalhes de múltiplos exploits antes que a fabricante do Windows tivesse a chance de corrigi-los, citando um rompimento na comunicação. Três das vulnerabilidades no Microsoft Defender foram alvo de exploração ativa logo após a divulgação pública.

No início deste mês, a gigante da tecnologia lançou atualizações de segurança para outra vulnerabilidade no Defender conhecida como RoguePlanet, que havia sido divulgada pelo pesquisador. No entanto, surgiu a informação de que as novas "atualizações de defesa em profundidade" introduzidas para corrigir a falha podem fazer o Microsoft Defender vazar 8 bytes de dados ao tentar abrir um arquivo em determinados cenários.

A Microsoft disse ao The Hacker News que está investigando o novo relato. Ao ser procurada para comentar, uma porta-voz da Microsoft afirmou que a empresa está investigando a nova vulnerabilidade e que está comprometida em atualizar os produtos afetados para proteger os clientes.

"A Microsoft está ciente da vulnerabilidade relatada e está investigando ativamente a validade e a aplicabilidade potencial dessas alegações", disse a porta-voz.

"A Microsoft está comprometida em investigar questões de segurança e atualizar os produtos afetados para proteger os clientes o mais rápido possível. É importante destacar que apoiamos a divulgação coordenada de vulnerabilidades, um padrão do setor que protege os clientes e apoia a comunidade de pesquisa, garantindo que suas descobertas sejam minuciosamente investigadas e tratadas antes de se tornarem públicas."

Falhas no SharePoint Server em destaque

O desenvolvimento ocorre enquanto a Microsoft envia correções para um recorde de 622 falhas, incluindo duas vulnerabilidades de escalonamento de privilégios no SharePoint Server (CVE-2026-56164, pontuação CVSS — Sistema Comum de Pontuação de Vulnerabilidades: 5,3) e nos Serviços de Federação do Active Directory (CVE-2026-56155, pontuação CVSS: 7,8) que foram marcadas como exploradas ativamente.

A Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA, na sigla em inglês) adicionou ambas as vulnerabilidades ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV, na sigla em inglês), que determina que agências do Ramo Executivo Civil Federal (FCEB, na sigla em inglês) apliquem as correções até 17 e 28 de julho de 2026, respectivamente.

"Após anos de relativa estabilidade, o processo do Patch Tuesday passou por uma turbulência significativa até agora em 2026", disse Adam Barnett, engenheiro de software líder na Rapid7, em comunicado. "Além do crescimento exponcial alimentado por inteligência artificial nos relatórios e na descoberta de vulnerabilidades, a Microsoft está lidando com o surgimento de uma série de vulnerabilidades divulgadas de forma a causar o máximo de desconforto para Redmond."

Em um alerta separado, a agência informou que está ciente da exploração ativa de múltiplas falhas no SharePoint Server, incluindo CVE-2026-32201, CVE-2026-45659 e CVE-2026-56164, que permitem que agentes de ameaças cibernéticas obtenham acesso não autorizado a instâncias vulneráveis.

"Essas vulnerabilidades afetam todas as versões do SharePoint Server local com suporte (Edição de Assinatura, 2019 e 2016) e envolvem o estabelecimento de execução remota de código (RCE, na sigla em inglês) e atividades pós-exploração, como roubo de chaves de máquina dos Serviços de Informações da Internet (IIS, na sigla em inglês) e realização de técnicas de desserialização, para obter persistência e implantar malware", disse a CISA.

"A falha decorre da ausência de autenticação para uma função crítica, permitindo que um invasor alcance funcionalidades que deveriam exigir autorização", disse Alex Vovk, CEO e cofundador da Action1, sobre a CVE-2026-56164.

"Um invasor pode enviar requisições de rede especialmente elaboradas para acessar funcionalidades que deveriam exigir autenticação, resultando em escalonamento de privilégios. A vulnerabilidade impacta principalmente a integridade do sistema ao permitir ações não autorizadas sem necessidade de autenticação prévia ou interação do usuário. Servidores SharePoint expostos à internet estão particularmente vulneráveis, pois o ataque pode ser realizado remotamente sem credenciais válidas."

Vale destacar que a atualização de julho de 2026 também aborda outra vulnerabilidade crítica de contorno de recurso de segurança no SharePoint Server (CVE-2026-55040, pontuação CVSS: 9,1) que um invasor remoto não autenticado poderia explorar para contornar a autenticação em um servidor SharePoint vulnerável e realizar operações como usuário ou administrador do site SharePoint.

"A vulnerabilidade se deve a diversos problemas no pipeline de validação de tokens JWT (Token Web JSON)", afirmou a Rapid7 em comunicado. "Um invasor que explorar com sucesso a CVE-2026-55040 pode realizar operações contra o site SharePoint alvo como o usuário que ele identificar. Além disso, esse contorno de autenticação pode ser encadeado a outras vulnerabilidades dentro da superfície de ataque autenticada do site alvo."

Atualização

Em uma postagem no Mastodon, o pesquisador Kevin Beaumont afirmou que o exploit LegacyHive funciona e não foi corrigido. O pesquisador de segurança Will Dormann disse que o LegacyHive concede a um usuário não administrador a capacidade de modificar o hive de registro de classes de um usuário administrador, chamando-o de "uma primitiva bastante poderosa".

"Por exemplo, como novidade, podemos associar arquivos .txt para abrir com o calc.exe", acrescentou o pesquisador em seu post. "Invasores inteligentes ou pessoas que querem realizar algo conseguirão facilmente descobrir como fazer coisas mais interessantes e/ou que nem sequer exigem interação do usuário."

A ThreatLocker disse que a PoC monta o hive UsrClass.dat de um usuário alvo com acesso de leitura em outra conta de usuário, o que fornece acesso a uma ampla gama de dados de aplicativos, histórico do Windows Explorer e artefatos forenses.

"Conforme abordado no README do projeto, o impacto final desta PoC não é imediatamente explorável e não revela diretamente hashes de senha nem permite execução de código privilegiado por si só, mas destaca claramente a vulnerabilidade: a resolução de caminhos por meio do Object Manager pode ser abusada para carregar hives de administrador como um usuário sem privilégios", disse a empresa de cibersegurança em comunicado.

(A reportagem foi atualizada após a publicação para incluir uma resposta da Microsoft.)

Segurança Windows Vulnerabilidades