Pesquisador divulga PoC de zero-day no Serviço de Perfil do Windows após Patch Tuesday

Pesquisador divulga PoC de zero-day no Serviço de Perfil do Windows após Patch Tuesday

Vulnerabilidade no ProfSvc permite carregamento arbitrário de hive de registro e elevação de privilégios em versões atualizadas do sistema operacional.

ComponenteServiço de Perfil de Usuário do Windows (ProfSvc)
VetorCarregamento arbitrário de hive de registro através de operações de perfil de usuário, exigindo credenciais de outro usuário na versão pública do PoC (LegacyHive).
ImpactoElevação de privilégios locais, permitindo ao atacante montar o hive de registro de um usuário alvo (como um administrador) dentro do contexto do usuário atual.
PrioridadeMonitoramento de tentativas de manipulação de perfis e hives, restrição de credenciais locais e aplicação de correções assim que disponíveis.
Resumo técnico

Um pesquisador de segurança identificado como Chaotic Eclipse divulgou uma prova de conceito (PoC) para uma vulnerabilidade de dia zero no Windows, horas após o ciclo de atualizações Patch Tuesday de julho de 2026. O exploit, batizado de LegacyHive, explora uma falha de elevação de privilégios no Serviço de Perfil de Usuário, conhecido como ProfSvc. Este componente é responsável pelo gerenciamento de contas e ambientes de usuário no sistema operacional, sendo um elemento crítico para a estabilidade e segurança das sessões interativas.

  • A PoC foi lançada imediatamente após a disponibilização das correções de segurança da Microsoft.
  • A falha afeta todas as versões suportadas do Windows, incluindo desktops e servidores.
Fluxo técnico

A vulnerabilidade reside na capacidade de carregar de forma arbitrária um hive de registro através do ProfSvc. O conceito de operação demonstrado pelo LegacyHive envolve a montagem do hive de um usuário alvo dentro da raiz de classes do usuário atual (HKCU\Software\Classes). Em termos técnicos, a prova de conceito pública requer o acesso a credenciais de um segundo usuário padrão e o nome de um terceiro usuário, que pode ser uma conta com privilégios de administrador. Se a execução for bem-sucedida, o佩服 sistema montará o hive do alvo no contexto do atacante, facilitando a leitura ou modificação de configurações sensíveis.

O pesquisador afirmou que a versão divulgada do exploit foi reduzida para mitigar riscos de exploração em larga escala. Segundo Chaotic Eclipse, a vulnerabilidade original não exigia credenciais adicionais de usuário e não estava limitada ao arquivo usrclass.dat. Teoricamente, qualquer hive poderia ser carregado utilizando essa falha, embora isso exija modificações técnicas no código disponibilizado. O fato de o exploit funcionar em sistemas que acabaram de receber o Patch Tuesday indica que a falha permanece sem correção na atual base de código da Microsoft, desafiando os cronogramas tradicionais de mitigação.

Superficie afetada

A abrangência desta vulnerabilidade é significativa, pois afeta todas as versões de desktop e servidor do Windows atualmente suportadas pela Microsoft. Isso inclui ambientes que receberam a atualização cumulativa mais recente, sugerindo que a superfície de ataque para elevação de privilégios locais permanece exposta mesmo em sistemas supostamente "parcheados". Além do LegacyHive, o contexto de segurança atual envolve uma disputa contínua entre o pesquisador e a Microsoft desde abril de 2026, com a divulgação antecipada de múltiplas falhas em produtos como o Microsoft Defender.

No mesmo ciclo de atualizações, a Microsoft abordou outras brechas críticas, incluindo vulnerabilidades ativamente exploradas no SharePoint Server (CVE-2026-56164) e nos Serviços de Federação do Active Directory (CVE-2026-56155), que foram adicionadas ao catálogo KEV da CISA. O Patch Tuesday de julho corrigiu um recorde de 622 falhas, refletindo um cenário de turbulência na gestão de vulnerabilidades. Adicionalmente, uma falha de bypass de autenticação no SharePoint (CVE-2026-55040, pontuação CVSS 9.1) permite que atacantes remotos não autenticados realizem operações como usuários do site.

  • Todas as versões suportadas do Windows (Desktop e Server).
  • Sistemas atualizados com o Patch Tuesday de julho de 2026.
  • Ambientes que utilizam o Microsoft Defender e SharePoint Server.
Hunting e telemetria

Equipes de segurança devem investigar atividades anômalas associadas ao Serviço de Perfil de Usuário (profsvc). A telemetria de logs de eventos deve ser analisada em busca de tentativas de acesso ou montagem de hives de registro que não correspondam aos padrões normais de login e uso do perfil. A monitoração de HKU\[SID]_Classes pode revelar a montagem inadequada de hives externos para o contexto do usuário atual.

  • Alertas sobre manipulação não autorizada de chaves de registro por parte de processos com baixos privilégios.
  • Sinais de leitura ou escrita em hives de usuários administradores por processos de usuário padrão.
  • Logs de auditoria do sistema indicando falhas ou sucessos inesperados no carregamento de perfil (ProfSvc).
Mitigação

Considerando que não há patch disponível no momento da divulgação, a principal medida defensiva é a aplicação rigorosa do princípio de menor privilégio. Organizações devem garantir que contas de usuário padrão não possuam credenciais de outros usuários armazenadas ou acessíveis no sistema, pois a PoC atual depende dessa condição. A restrição de interações locais e o isolamento de estáções de trabalho críticas são recomendados até que a Microsoft libere uma correção oficial.

É imperativo priorizar a aplicação das correções para as outras vulnerabilidades divulgadas neste Patch Tuesday, especialmente as falhas no SharePoint (CVE-2026-56164 e CVE-2026-55040) e no ADFS (CVE-2026-56155), que já estão sob exploração ativa. Agências federais e organizações críticas devem seguir os prazos estabelecidos pela CISA para a aplicação dessas atualizações, enquanto aguardam a resolução para a falha no ProfSvc.

  • Restringir permissões locais e evitar o armazenamento de credenciais múltiplas na mesma estáção.
  • Monitorar e investigar alterações no comportamento do Serviço de Perfil de Usuário.
  • Aplicar imediatamente as correções para as vulnerabilidades CVE-2026-56164 e CVE-2026-56155.

Postar um comentário

0 Comentários