
Vulnerabilidade no ProfSvc permite carregamento arbitrário de hive de registro e elevação de privilégios em versões atualizadas do sistema operacional.
| Componente | Serviço de Perfil de Usuário do Windows (ProfSvc) |
| Vetor | Carregamento arbitrário de hive de registro através de operações de perfil de usuário, exigindo credenciais de outro usuário na versão pública do PoC (LegacyHive). |
| Impacto | Elevação de privilégios locais, permitindo ao atacante montar o hive de registro de um usuário alvo (como um administrador) dentro do contexto do usuário atual. |
| Prioridade | Monitoramento de tentativas de manipulação de perfis e hives, restrição de credenciais locais e aplicação de correções assim que disponíveis. |
Um pesquisador de segurança identificado como Chaotic Eclipse divulgou uma prova de conceito (PoC) para uma vulnerabilidade de dia zero no Windows, horas após o ciclo de atualizações Patch Tuesday de julho de 2026. O exploit, batizado de LegacyHive, explora uma falha de elevação de privilégios no Serviço de Perfil de Usuário, conhecido como ProfSvc. Este componente é responsável pelo gerenciamento de contas e ambientes de usuário no sistema operacional, sendo um elemento crítico para a estabilidade e segurança das sessões interativas.
- A PoC foi lançada imediatamente após a disponibilização das correções de segurança da Microsoft.
- A falha afeta todas as versões suportadas do Windows, incluindo desktops e servidores.
A vulnerabilidade reside na capacidade de carregar de forma arbitrária um hive de registro através do ProfSvc. O conceito de operação demonstrado pelo LegacyHive envolve a montagem do hive de um usuário alvo dentro da raiz de classes do usuário atual (HKCU\Software\Classes). Em termos técnicos, a prova de conceito pública requer o acesso a credenciais de um segundo usuário padrão e o nome de um terceiro usuário, que pode ser uma conta com privilégios de administrador. Se a execução for bem-sucedida, o佩服 sistema montará o hive do alvo no contexto do atacante, facilitando a leitura ou modificação de configurações sensíveis.
O pesquisador afirmou que a versão divulgada do exploit foi reduzida para mitigar riscos de exploração em larga escala. Segundo Chaotic Eclipse, a vulnerabilidade original não exigia credenciais adicionais de usuário e não estava limitada ao arquivo usrclass.dat. Teoricamente, qualquer hive poderia ser carregado utilizando essa falha, embora isso exija modificações técnicas no código disponibilizado. O fato de o exploit funcionar em sistemas que acabaram de receber o Patch Tuesday indica que a falha permanece sem correção na atual base de código da Microsoft, desafiando os cronogramas tradicionais de mitigação.
A abrangência desta vulnerabilidade é significativa, pois afeta todas as versões de desktop e servidor do Windows atualmente suportadas pela Microsoft. Isso inclui ambientes que receberam a atualização cumulativa mais recente, sugerindo que a superfície de ataque para elevação de privilégios locais permanece exposta mesmo em sistemas supostamente "parcheados". Além do LegacyHive, o contexto de segurança atual envolve uma disputa contínua entre o pesquisador e a Microsoft desde abril de 2026, com a divulgação antecipada de múltiplas falhas em produtos como o Microsoft Defender.
No mesmo ciclo de atualizações, a Microsoft abordou outras brechas críticas, incluindo vulnerabilidades ativamente exploradas no SharePoint Server (CVE-2026-56164) e nos Serviços de Federação do Active Directory (CVE-2026-56155), que foram adicionadas ao catálogo KEV da CISA. O Patch Tuesday de julho corrigiu um recorde de 622 falhas, refletindo um cenário de turbulência na gestão de vulnerabilidades. Adicionalmente, uma falha de bypass de autenticação no SharePoint (CVE-2026-55040, pontuação CVSS 9.1) permite que atacantes remotos não autenticados realizem operações como usuários do site.
- Todas as versões suportadas do Windows (Desktop e Server).
- Sistemas atualizados com o Patch Tuesday de julho de 2026.
- Ambientes que utilizam o Microsoft Defender e SharePoint Server.
Equipes de segurança devem investigar atividades anômalas associadas ao Serviço de Perfil de Usuário (profsvc). A telemetria de logs de eventos deve ser analisada em busca de tentativas de acesso ou montagem de hives de registro que não correspondam aos padrões normais de login e uso do perfil. A monitoração de HKU\[SID]_Classes pode revelar a montagem inadequada de hives externos para o contexto do usuário atual.
- Alertas sobre manipulação não autorizada de chaves de registro por parte de processos com baixos privilégios.
- Sinais de leitura ou escrita em hives de usuários administradores por processos de usuário padrão.
- Logs de auditoria do sistema indicando falhas ou sucessos inesperados no carregamento de perfil (
ProfSvc).
Considerando que não há patch disponível no momento da divulgação, a principal medida defensiva é a aplicação rigorosa do princípio de menor privilégio. Organizações devem garantir que contas de usuário padrão não possuam credenciais de outros usuários armazenadas ou acessíveis no sistema, pois a PoC atual depende dessa condição. A restrição de interações locais e o isolamento de estáções de trabalho críticas são recomendados até que a Microsoft libere uma correção oficial.
É imperativo priorizar a aplicação das correções para as outras vulnerabilidades divulgadas neste Patch Tuesday, especialmente as falhas no SharePoint (CVE-2026-56164 e CVE-2026-55040) e no ADFS (CVE-2026-56155), que já estão sob exploração ativa. Agências federais e organizações críticas devem seguir os prazos estabelecidos pela CISA para a aplicação dessas atualizações, enquanto aguardam a resolução para a falha no ProfSvc.
- Restringir permissões locais e evitar o armazenamento de credenciais múltiplas na mesma estáção.
- Monitorar e investigar alterações no comportamento do Serviço de Perfil de Usuário.
- Aplicar imediatamente as correções para as vulnerabilidades CVE-2026-56164 e CVE-2026-56155.
0 Comentários