Pesquisador divulga novo PoC de zero-day no Windows horas após o Patch Tuesday da Microsoft
15 de Julho de 2026

O pesquisador de segurança Chaotic Eclipse, também conhecido como Nightmare-Eclipse, divulgou um novo exploit de prova de conceito, batizado de LegacyHive.

O exploit foi descrito como uma vulnerabilidade de elevação de privilégios no Windows User Profile Service, que permite carregar arbitrary hive.

O Windows User Profile Service, também chamado de ProfSvc, é um componente central do sistema responsável por gerenciar contas de usuário e ambientes.

“O PoC exige outra credencial de usuário padrão e um terceiro nome de usuário, que pode ser uma conta de administrador”, disse Chaotic Eclipse.

“Se o PoC for bem-sucedido, ele acabará montando o hive do usuário-alvo na raiz de classes do usuário atual.”

O pesquisador afirmou que o exploit foi simplificado para evitar exploração pública.

Segundo ele, o exploit original não exigia credenciais adicionais e não estava limitado ao hive “usrclass.dat”.

“Qualquer hive poderia ser carregado usando essa vulnerabilidade, mas você precisaria de alguns neurônios para fazer o PoC realizar isso”, observou o pesquisador.

O que chama atenção é que ele funciona em todas as versões com suporte do Windows para desktop e servidores, incluindo as que receberam a atualização mais recente do Patch Tuesday de julho de 2026.

Chaotic Eclipse e a Microsoft estão em forte atrito desde pelo menos abril de 2026.

Nesse período, o pesquisador divulgou detalhes de vários exploits antes que a empresa pudesse corrigi-los, alegando uma ruptura na comunicação.

Três vulnerabilidades no Microsoft Defender passaram a ser exploradas ativamente logo após a divulgação pública.

No começo deste mês, a gigante de tecnologia lançou atualizações de segurança para outra vulnerabilidade do Defender, conhecida como RoguePlanet, que também havia sido revelada pelo pesquisador.

Depois disso, surgiu a informação de que as novas “atualizações de defesa em profundidade” criadas para corrigir a falha podem fazer o Microsoft Defender vazar 8 bytes de dados ao tentar abrir um arquivo em determinados cenários.

A Microsoft informou, segundo o The Hacker News, que está investigando o novo relato.

A reportagem também procurou a empresa para comentar o LegacyHive e será atualizada caso haja resposta.

### Falhas no SharePoint Server ganham destaque

O caso surge no momento em que a Microsoft liberou correções para um recorde de 622 falhas, incluindo duas brechas de elevação de privilégios no SharePoint Server, identificadas como CVE-2026-56164 , com pontuação CVSS de 5,3, e no Active Directory Federation Services, a CVE-2026-56155 , com CVSS de 7,8, ambas apontadas como exploradas ativamente.

A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos, a CISA, adicionou as duas vulnerabilidades ao catálogo Known Exploited Vulnerabilities, o KEV, que obriga as agências civis do Poder Executivo federal a aplicarem as correções até 17 e 28 de julho de 2026, respectivamente.

“Depois de anos de relativa estabilidade, o processo do Patch Tuesday enfrentou turbulências significativas até aqui em 2026”, afirmou Adam Barnett, engenheiro de software líder da Rapid7.

“Além do crescimento exponencial, impulsionado por IA, na divulgação e descoberta de vulnerabilidades, a Microsoft está lidando com o surgimento de uma série de falhas divulgadas de forma a causar o máximo de desconforto para Redmond.”

Em outro alerta, a agência disse ter conhecimento da exploração ativa de várias falhas no SharePoint Server, incluindo CVE-2026-32201 , CVE-2026-45659 e CVE-2026-56164 , que permitem que threat actors obtenham acesso não autorizado a instâncias vulneráveis.

“Essas vulnerabilidades afetam todas as versões suportadas do SharePoint Server instaladas localmente, nas edições Subscription, 2019 e 2016, e envolvem a obtenção de remote code execution, além de atividades pós-exploração, como roubo de chaves de máquina do Internet Information Services, o IIS, e uso de técnicas de desserialização para obter persistência e implantar malware”, disse a CISA.

“A falha decorre da ausência de autenticação para uma função crítica, o que permite que um invasor alcance uma funcionalidade que deveria exigir autorização”, afirmou Alex Vovk, CEO e cofundador da Action1, sobre a CVE-2026-56164 .

“Um invasor pode enviar requisições de rede especialmente preparadas para acessar uma funcionalidade que deveria exigir autenticação, resultando em elevação de privilégios.

A vulnerabilidade afeta principalmente a integridade do sistema, ao permitir ações não autorizadas sem autenticação prévia ou interação do usuário.

Servidores SharePoint expostos à internet estão especialmente vulneráveis, porque o ataque pode ser realizado remotamente, sem credenciais válidas.”

Vale destacar que a atualização de julho de 2026 também corrige outra vulnerabilidade crítica de bypass de um recurso de segurança do SharePoint Server, a CVE-2026-55040 , com CVSS de 9,1.

Ela poderia ser explorada por um invasor remoto e não autenticado para contornar a autenticação em um servidor SharePoint vulnerável e executar operações como um usuário do site SharePoint ou como administrador.

“A vulnerabilidade decorre de vários problemas no pipeline de validação do token JWT”, disse a Rapid7.

“Um invasor que explorar com sucesso a CVE-2026-55040 pode executar operações no site SharePoint-alvo como o usuário que identificar.

Além disso, esse bypass de autenticação pode ser combinado com outras vulnerabilidades dentro da superfície de ataque autenticada do site-alvo.”

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...