O pesquisador de segurança Chaotic Eclipse, também conhecido como Nightmare-Eclipse, divulgou um novo exploit de prova de conceito, batizado de LegacyHive.
O exploit foi descrito como uma vulnerabilidade de elevação de privilégios no Windows User Profile Service, que permite carregar arbitrary hive.
O Windows User Profile Service, também chamado de ProfSvc, é um componente central do sistema responsável por gerenciar contas de usuário e ambientes.
“O PoC exige outra credencial de usuário padrão e um terceiro nome de usuário, que pode ser uma conta de administrador”, disse Chaotic Eclipse.
“Se o PoC for bem-sucedido, ele acabará montando o hive do usuário-alvo na raiz de classes do usuário atual.”
O pesquisador afirmou que o exploit foi simplificado para evitar exploração pública.
Segundo ele, o exploit original não exigia credenciais adicionais e não estava limitado ao hive “usrclass.dat”.
“Qualquer hive poderia ser carregado usando essa vulnerabilidade, mas você precisaria de alguns neurônios para fazer o PoC realizar isso”, observou o pesquisador.
O que chama atenção é que ele funciona em todas as versões com suporte do Windows para desktop e servidores, incluindo as que receberam a atualização mais recente do Patch Tuesday de julho de 2026.
Chaotic Eclipse e a Microsoft estão em forte atrito desde pelo menos abril de 2026.
Nesse período, o pesquisador divulgou detalhes de vários exploits antes que a empresa pudesse corrigi-los, alegando uma ruptura na comunicação.
Três vulnerabilidades no Microsoft Defender passaram a ser exploradas ativamente logo após a divulgação pública.
No começo deste mês, a gigante de tecnologia lançou atualizações de segurança para outra vulnerabilidade do Defender, conhecida como RoguePlanet, que também havia sido revelada pelo pesquisador.
Depois disso, surgiu a informação de que as novas “atualizações de defesa em profundidade” criadas para corrigir a falha podem fazer o Microsoft Defender vazar 8 bytes de dados ao tentar abrir um arquivo em determinados cenários.
A Microsoft informou, segundo o The Hacker News, que está investigando o novo relato.
A reportagem também procurou a empresa para comentar o LegacyHive e será atualizada caso haja resposta.
### Falhas no SharePoint Server ganham destaque
O caso surge no momento em que a Microsoft liberou correções para um recorde de 622 falhas, incluindo duas brechas de elevação de privilégios no SharePoint Server, identificadas como
CVE-2026-56164
, com pontuação CVSS de 5,3, e no Active Directory Federation Services, a
CVE-2026-56155
, com CVSS de 7,8, ambas apontadas como exploradas ativamente.
A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos, a CISA, adicionou as duas vulnerabilidades ao catálogo Known Exploited Vulnerabilities, o KEV, que obriga as agências civis do Poder Executivo federal a aplicarem as correções até 17 e 28 de julho de 2026, respectivamente.
“Depois de anos de relativa estabilidade, o processo do Patch Tuesday enfrentou turbulências significativas até aqui em 2026”, afirmou Adam Barnett, engenheiro de software líder da Rapid7.
“Além do crescimento exponencial, impulsionado por IA, na divulgação e descoberta de vulnerabilidades, a Microsoft está lidando com o surgimento de uma série de falhas divulgadas de forma a causar o máximo de desconforto para Redmond.”
Em outro alerta, a agência disse ter conhecimento da exploração ativa de várias falhas no SharePoint Server, incluindo
CVE-2026-32201
,
CVE-2026-45659
e
CVE-2026-56164
, que permitem que threat actors obtenham acesso não autorizado a instâncias vulneráveis.
“Essas vulnerabilidades afetam todas as versões suportadas do SharePoint Server instaladas localmente, nas edições Subscription, 2019 e 2016, e envolvem a obtenção de remote code execution, além de atividades pós-exploração, como roubo de chaves de máquina do Internet Information Services, o IIS, e uso de técnicas de desserialização para obter persistência e implantar malware”, disse a CISA.
“A falha decorre da ausência de autenticação para uma função crítica, o que permite que um invasor alcance uma funcionalidade que deveria exigir autorização”, afirmou Alex Vovk, CEO e cofundador da Action1, sobre a
CVE-2026-56164
.
“Um invasor pode enviar requisições de rede especialmente preparadas para acessar uma funcionalidade que deveria exigir autenticação, resultando em elevação de privilégios.
A vulnerabilidade afeta principalmente a integridade do sistema, ao permitir ações não autorizadas sem autenticação prévia ou interação do usuário.
Servidores SharePoint expostos à internet estão especialmente vulneráveis, porque o ataque pode ser realizado remotamente, sem credenciais válidas.”
Vale destacar que a atualização de julho de 2026 também corrige outra vulnerabilidade crítica de bypass de um recurso de segurança do SharePoint Server, a
CVE-2026-55040
, com CVSS de 9,1.
Ela poderia ser explorada por um invasor remoto e não autenticado para contornar a autenticação em um servidor SharePoint vulnerável e executar operações como um usuário do site SharePoint ou como administrador.
“A vulnerabilidade decorre de vários problemas no pipeline de validação do token JWT”, disse a Rapid7.
“Um invasor que explorar com sucesso a
CVE-2026-55040
pode executar operações no site SharePoint-alvo como o usuário que identificar.
Além disso, esse bypass de autenticação pode ser combinado com outras vulnerabilidades dentro da superfície de ataque autenticada do site-alvo.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...