CEVIU News - CEVIU Segurança da Informação - 17 de fevereiro de 2026

O Google corrigiu a CVE-2026-2441 (CVSS 8.8), uma vulnerabilidade use-after-free no motor CSS do Chrome, que está sendo ativamente explorada, marcando o primeiro zero-day do Chrome em 2026. A falha permitia a atacantes remotos executar código arbitrário dentro de um sandbox através de páginas HTML manipuladas, em versões anteriores à 145.0.7632.75. Usuários devem atualizar o Chrome imediatamente em todas as plataformas, e organizações que utilizam navegadores baseados em Chromium, como Edge, Brave, Opera e Vivaldi, devem aplicar as correções assim que estiverem disponíveis. ️

Uma falha de heap buffer overflow (CVE-2026-25646, CVSS 8.3) na biblioteca libpng, presente desde sua criação há quase 30 anos, foi corrigida na versão 1.6.55. A vulnerabilidade reside na função png_set_quantize, usada para reduzir cores em imagens PNG. A exploração exige heap grooming cuidadoso e arquivos PNG especialmente elaborados, porém válidos, podendo levar a crashes, vazamento de informações ou execução remota de código em sistemas não corrigidos que utilizam essa biblioteca amplamente empacotada em ambientes Linux/Unix. Embora a função vulnerável seja raramente utilizada, o que reduz a severidade prática, especialistas em segurança alertam que ferramentas de caça a bugs com IA estão acelerando a descoberta de vulnerabilidades dormentes similares em bibliotecas de código aberto. Isso aumenta o risco de exploração por agentes de ameaça antes da divulgação coordenada. ️

Uma análise da infraestrutura do DigitStealer, um infostealer para macOS que visa 18 carteiras de criptomoedas e dispositivos Apple M2, revelou que o uso consistente pelo operador de um único ASN sueco (ab stract ltd), registro de domínio Tucows, nameservers Njalla e versões idênticas do OpenSSH criou uma impressão digital que permitiu o agrupamento de domínios C2 não relatados anteriormente. ️‍️ O malware atua como um backdoor persistente via Launch Agent, consultando os endpoints C2 a cada 10 segundos e empregando um mecanismo criptográfico de desafio-resposta para anti-análise, enquanto se comunica por quatro endpoints de API distintos para roubo de credenciais, exfiltração de arquivos e execução de comandos. A uniformidade da infraestrutura sugere fortemente uma campanha fechada, com um único operador, em vez de um modelo MaaS, um lembrete de que, quando os agentes de ameaça priorizam a eficiência em detrimento da segurança operacional, os defensores podem explorar esses padrões para identificar e neutralizar proativamente os ativos C2. ️

Este artigo explora dois modelos distintos de liderança de CISO: o Relojoeiro, focado em precisão, controles rigorosos e auditabilidade, e o Jardineiro, que promove uma cultura de segurança adaptável, capacitação da equipe e resiliência organizacional. O estilo Relojoeiro funciona bem em ambientes regulados, mas pode levar à rigidez e esgotamento. Em contraste, o Jardineiro incentiva a responsabilidade compartilhada , mas depende de alta confiança organizacional e compromisso cultural de longo prazo. Os CISOs mais bem-sucedidos combinam elementos de ambos, construindo controles fundamentais sólidos enquanto promovem um ambiente de segurança adaptável que evolui com as ameaças emergentes.

Uma vulnerabilidade crítica de RCE não autenticada (CVE-2026-26220, CVSS 9.3) foi revelada no LightLLM, um motor de inferência de LLM amplamente utilizado com 3.890 estrelas no GitHub. A falha reside nos endpoints WebSocket do sistema de desagregação prefill-decode, que chamam `pickle.loads()` em frames binários não autenticados. O código do servidor, por design, desabilita explicitamente a vinculação a localhost, expondo o servidor a ameaças de rede. ️ Esta vulnerabilidade reflete a CVE-2025-32444 (CVSS 10.0) no vLLM e destaca um problema recorrente de desserialização insegura em frameworks de inferência de ML, visto que arquiteturas de serviço desagregadas aumentam as superfícies de ataque entre os nós. Organizações que utilizam LightLLM no modo PD devem restringir imediatamente o acesso à rede aos endpoints WebSocket, pois os mantenedores ignoraram os relatórios de segurança por quase um ano sem uma correção.

A Ring cancelou uma integração planejada com a Flock Safety após a forte repercussão pública negativa de um anúncio do Super Bowl que apresentava rastreamento de vizinhança alimentado por IA ️, e preocupações mais amplas sobre um ecossistema de vigilância 'distópico' . A integração nunca foi lançada, portanto, nenhuma filmagem de clientes foi compartilhada. A controvérsia ampliou o escrutínio sobre os recursos de reconhecimento facial da Ring e a vasta rede de rastreamento de placas da Flock, em meio a crescentes críticas sobre privacidade e liberdades civis ️.

A polícia holandesa concedeu acidentalmente acesso a documentos confidenciais a um homem de Ridderkerk ‍️, ao enviar um link de download em vez de um link de upload. Ele foi subsequentemente preso por se recusar a excluir os arquivos sem compensação. Os oficiais apreenderam seus dispositivos, relataram uma violação de dados e o acusaram de acesso não autorizado.

OpenClaw, anteriormente conhecido como Clawdbot, é um assistente de IA open-source viral, identificado como uma grande ameaça interna devido a falhas de segurança críticas. Isso inclui vulnerabilidades como a CVE-2026-25253 (com score CVSS de 8.8), configurações padrão inseguras (como autenticação desabilitada), armazenamento de segredos em texto puro, e um ecossistema de habilidades maliciosas visado por infostealers como RedLine e AMOS. Seu design permite acesso privilegiado ao host, exposição a dados não confiáveis e recursos de comunicação externa, tornando-o um vetor de ataque significativo. ️ Para mitigar os riscos de shadow IA, as organizações devem detectar o OpenClaw através de caminhos de arquivo específicos, assinaturas de rede e atividade OAuth incomum. Recomenda-se a implementação de allowlisting de aplicativos, políticas de privilégio mínimo, implantações isoladas e políticas de uso transparentes, acompanhadas de treinamento para a equipe.

A atualização de segurança "Patch Tuesday" de fevereiro de 2026 da Microsoft bloqueou o preenchimento automático de credenciais em ferramentas de desktop remoto e compartilhamento de tela do Windows 11. Essa medida visa corrigir a vulnerabilidade CVE-2026-20804, uma falha de "tampering" no Windows Hello, demonstrada na Black Hat 2025, que permitia a atacantes injetar dados biométricos e contornar a autenticação sem detecção. ️

A Operação DoppelBrand é uma ação de phishing conduzida pelo grupo GS7, que explora domínios sósias e portais clonados de grandes bancos, seguradoras e empresas de tecnologia dos EUA . O objetivo é roubar credenciais e dados de dispositivos, que são então encaminhados para o Telegram para triagem .

Mais de 30 extensões do Chrome, que se faziam passar por assistentes de IA, desviaram e-mails, dados de navegação e informações sensíveis de mais de 260.000 usuários, inclusive em ambientes corporativos. Os invasores incorporam um iframe de tela cheia que atua como proxy para APIs de LLM reais enquanto exfiltra conteúdo e chaves de API, conseguindo evadir a revisão da Chrome Web Store devido a permissões locais mínimas e à lógica maliciosa executada fora da plataforma.