CEVIU News - CEVIU Segurança da Informação - 3 de março de 2026

O Madison Square Garden confirmou um vazamento de dados ligado à campanha '2025 Oracle E-Business Suite', na qual o grupo Cl0p explorou vulnerabilidades em uma instância hospedada por terceiros . Mais de 210 GB de informações pessoais, incluindo nomes e números de Seguro Social, foram roubados. Notificações estão sendo enviadas aos indivíduos afetados pela violação.

A atualização de segurança do Android de março de 2026 do Google corrige 129 vulnerabilidades, o maior número mensal desde abril de 2018. Entre elas, destaca-se um zero-day da Qualcomm (CVE-2026-21385) que está sendo ativamente explorado e afeta 234 chipsets. O Threat Analysis Group do Google relatou em dezembro uma falha de corrupção de memória de alta gravidade em um componente de display open-source da Qualcomm, com as correções disponibilizadas aos OEMs em janeiro. Usuários de dispositivos Android devem aplicar as atualizações de segurança assim que forem liberadas pelos fabricantes de seus aparelhos.

Uma antiga falha TOCTOU em Node.js ClientRequest.path permite que atacantes ignorem a validação CRLF ao modificar o path após a construção, mas antes que _implicitHeader() serialize a linha de requisição. Isso possibilita injeção de cabeçalho, injeção de corpo e HTTP Request Splitting completo em bibliotecas proxy e de cliente HTTP populares, que juntas somam mais de 160 milhões de downloads semanais. O rastreamento da correção original da CVE-2018-12116 aponta a lacuna de design restante, demonstra exploits práticos contra padrões comuns de proxy e compara bibliotecas vulneráveis com aquelas cujas arquiteturas naturalmente fecham essa janela. O Node.js considera isso fora do escopo de seu modelo de ameaças, transferindo a responsabilidade para autores de bibliotecas e desenvolvedores de aplicações, que são alertados a revalidar paths, evitar expor objetos ClientRequest brutos antes do flushing e auditar o código onde a entrada do usuário flui para req.path ou proxyReq.path durante essa janela crítica.

O grupo hacktivista "Department of Peace" afirma ter invadido um escritório de aquisições de tecnologia do DHS, vazando registros de contratos do ICE envolvendo mais de 6.000 fornecedores, incluindo grandes empresas de defesa e vigilância. Os dados expõem valores de contratos e informações de contato detalhadas, intensificando os riscos de doxxing, direcionamento e da cadeia de suprimentos para empresas envolvidas na infraestrutura de fiscalização imigratória dos EUA.

Utilizar a extensão WebAuthn PRF (Pseudo-Random Function) de passkeys para derivar chaves de criptografia para dados E2EE (criptografados de ponta a ponta) acopla perigosamente a disponibilidade dos dados às credenciais de autenticação, aumentando dramaticamente o "blast radius" da perda ou exclusão rotineira de credenciais. As UIs comuns de gerenciadores de senhas não comunicam claramente que a exclusão de uma passkey pode desassociar permanentemente backups criptografados. Dessa forma, usuários podem recuperar suas contas por outros métodos, mas ainda serem incapazes de descriptografar ou restaurar seus dados, um cenário de perda de dados autoinfligido e irreversível. Se for essencial usar PRF, implemente avisos proeminentes e documentação de suporte, e incentive os gerenciadores de credenciais a exibir alertas explícitos de exclusão para passkeys com PRF habilitado. ️

Múltiplos canais de notícias paquistaneses, incluindo Geo News, ARY News e Samaa TV, tiveram seus feeds de satélite sequestrados em 1º de março para exibir mensagens anti-militares durante o horário de pico de audiência do Ramadã. Os atacantes comprometeram os feixes de satélite PakSat e as transmissões ao vivo. A violação desencadeou contra-ataques cibernéticos de um grupo chamado Pakistan Cyber Force contra meios de comunicação indianos. As autoridades estão investigando o incidente coordenado, que também teria afetado sites em 19 países através de campanhas de anúncios não autorizadas do Google.

Este é um guia técnico sobre o funcionamento da criptografia de curvas elípticas (ECC). A segurança da ECC deriva da natureza unidirecional da multiplicação escalar, em vez da dificuldade do Problema do Logaritmo Discreto em Curvas Elípticas, permitindo chaves muito menores que o RSA para uma segurança comparável. O artigo detalha a mecânica por trás da adição de pontos, aritmética de corpo finito, ECDH, ECDSA e ECIES. Destaca-se um risco operacional crucial: nonces ECDSA reutilizados podem vazar chaves privadas. Para profissionais de segurança, a recomendação é preferir curvas e implementações modernas bem-validadas, garantir o manuseio robusto de nonces e a geração de chaves. Lembre-se que a ECC é eficiente e amplamente utilizada hoje, mas não é segura contra ataques pós-quânticos. ️

As requisições Kerberos TGT geram Eventos do Windows com o ID 4768, que incluem uma vasta quantidade de informações sobre a requisição . É possível identificar atividades suspeitas comparando as flags da requisição com aquelas comumente definidas por ferramentas como Metasploit, as incluídas em Indicadores de Compromisso (IoCs) de campanhas de malware, ou aquelas que divergem de uma baseline estabelecida. Este post detalha as flags e fornece uma query KQL para a caça a essas anomalias.

O AWS Security Hub Extended introduz um plano de segurança unificado e full-stack que combina detecções nativas da AWS com ferramentas de parceiros selecionadas, abrangendo endpoints, identidade, e-mail, dados, rede, navegador, nuvem, IA e SecOps. Ele padroniza os achados via OCSF, centralizando-os no Security Hub, e oferece aquisição no modelo pay-as-you-go, com a AWS atuando como vendedor oficial. ️

Pesquisadores da StepSecurity descobriram um bot de hacking automatizado, apelidado de “hackerbot-claw” , que afirma ter escaneado mais de 47 mil repositórios em busca de vulnerabilidades de segurança. No entanto, o bot explorou essas vulnerabilidades para comprometer 6 projetos populares de código aberto, incluindo repositórios da DataDog, Microsoft e Aqua Security . A Aqua Security, por exemplo, renomeou e tornou o Trivy privado após o bot tê-lo comprometido completamente.

Uma vulnerabilidade séria no assistente de IA OpenClaw permitiu que atacantes assumissem o controle de agentes de IA. A exploração ocorria através de sites maliciosos, aproveitando conexões WebSocket inseguras no localhost e permitindo tentativas ilimitadas de força bruta de senhas. A falha foi corrigida na versão 2026.2.25.

Uma mulher da Flórida foi condenada a 22 meses de prisão e multada em US$ 50.000 por traficar dezenas de milhares de selos COA da Microsoft roubados, extrair as chaves de produto e vendê-las em grande volume para clientes em todo o mundo, em um esquema que totalizou mais de US$ 5 milhões. ️

O Chrome está implementando Certificados de Árvore Merkle e um repositório de raiz dedicado resistente a quânticos para tornar o HTTPS pós-quântico seguro, sem aumentar o tamanho dos handshakes TLS.