CEVIU News - CEVIU Segurança da Informação - 12 de março de 2026

A fabricante de pneus Michelin confirmou que atacantes exploraram uma vulnerabilidade zero-day no Oracle E-Business Suite , como parte de uma campanha mais ampla liderada pelo grupo Cl0p e ligada ao FIN11. Eles acessaram um pequeno volume de dados não sensíveis do ambiente da empresa. O grupo Cl0p alega ter vazado mais de 315GB de arquivos da Michelin .

A CVE-2025-68402 revela um bypass de autenticação na branch edge do FreshRSS . A vulnerabilidade surgiu de uma alteração no nonce de login, que passou de uma string hexadecimal SHA-1 de 40 caracteres para uma SHA-256 de 64 caracteres. Essa mudança, combinada com o limite de entrada de 72 bytes do bcrypt ️, resultou em dados dependentes da senha sendo truncados. Consequentemente, a função password_verify() retornava 'true' para qualquer senha até que a ordem de concatenação fosse corrigida .

Hackers atacaram a Bell Ambulance, em Wisconsin, e roubaram dados sensíveis de cerca de 238.000 pessoas, incluindo números de Social Security (SSN), documentos de identidade, detalhes financeiros, informações médicas e de seguro. A violação foi detectada em fevereiro de 2025, com as notificações sendo enviadas a partir de abril, à medida que mais vítimas eram identificadas. A gangue de ransomware Medusa reivindicou o ataque, exigindo um resgate de US$ 400.000 por 219 GB de dados roubados.

Uma campanha de phishing explorou o fluxo de código de dispositivo OAuth 2.0 da Microsoft, enganando vítimas para visitarem páginas hospedadas em Cloudflare Workers que imitavam o Adobe Acrobat Sign, utilizando domínios de remetentes comprometidos por BEC. A campanha automaticamente copiava um código de dispositivo gerado pelo atacante para a área de transferência e redirecionava as vítimas para o portal legítimo microsoft.com/devicelogin para coletar tokens. O backend do atacante consulta o endpoint de código de dispositivo da Microsoft a cada 3 segundos, troca o código completado por tokens OAuth de acesso e refresh com escopo para o Microsoft Graph, e então redireciona as vítimas silenciosamente para adobe.com, não deixando sinais de comprometimento. Indicadores de Compromisso (IOCs) de 23 subdomínios workers.dev, juntamente com endereços de remetentes suspeitos incorporados em nomes de conta, foram publicados. Profissionais de defesa devem procurar por eventos de autenticação de código de dispositivo nos Entra SigninLogs, filtrando por `AuthenticationProtocol == "deviceCode"`. Eles também devem sinalizar autenticações de código de dispositivo pela primeira vez sem histórico anterior de 30 dias (`ResultType == 0`) e alertar sobre URLs workers.dev em e-mails recebidos que estejam ligados a eventos de autenticação do mesmo usuário.

Quatro incidentes em 2026, envolvendo Excel Copilot, Chrome Gemini, Microsoft Copilot Personal e Perplexity Comet, revelaram um problema arquitetural comum: agentes de IA herdam permissões extensas (como acesso a arquivos, network egress, preenchimento automático de credenciais e acesso a câmera/microfone) e não conseguem distinguir de forma confiável instruções legítimas do usuário de conteúdo injetado por atacantes. Isso permite exfiltração zero-click, sequestro de sessão e tomada completa de cofres de credenciais por meio de indirect prompt injection (OWASP LLM01:2025). Embora todas as quatro vulnerabilidades tenham sido corrigidas, a lacuna estrutural persiste: 83% das organizações planejam implantar IA agentic, mas apenas 29% se sentem preparadas para protegê-la. Equipes de segurança devem impor restrições de rede outbound em aplicações com IA, auditar os escopos de permissão dos agentes para garantir o princípio do menor privilégio e tratar fontes de dados não confiáveis (documentos, convites de calendário e URLs) como potenciais vetores de injection em qualquer workflow agentic. ️

Um investigador disfarçado da unidade de Investigações do Departamento de Segurança Interna (DHS) empregou imagens de uma adolescente de 13 anos geradas por IA para atrair homens adultos a conversas online. Usando as imagens, o investigador criou um perfil na plataforma social Kik e obteve sucesso na captura de um adulto que estava distribuindo CSAM. Embora operações disfarçadas como esta não sejam novidade, no passado, os investigadores dependiam de fotos próprias ou de colegas que pudessem passar por menores de idade, expondo-os a potenciais riscos. A utilização da IA representa uma mudança na tática operacional.

Um ex-engenheiro de software do DOGE supostamente exfiltrou dois bancos de dados altamente restritos do Seguro Social, incluindo o Numident e o Master Death File, para um pendrive e gabou-se de reutilizá-los em um emprego de empreiteiro do governo.

A equipe de segurança de aplicações da Postman utilizou engenheiros de segurança embarcados para desenvolver um scorecard de segurança de produto personalizado ️. Esta ferramenta permite que equipes e gerência identifiquem rapidamente problemas de segurança e suas respectivas correções em todos os projetos. Os scorecards associam as falhas de segurança detectadas a controles preventivos, como a varredura de repositórios (repo scanning), e podem também integrar "solicitações de segurança" mais flexíveis, oriundas de tickets Jira. O scorecard de segurança possibilitou às equipes implementar o bloqueio de Pull Requests (PR blocking) em seus repositórios e usar pré-verificações de commit (commit pre-checks) para barrar commits não conformes .

Em menos de um dia após os ataques "Operation Epic Fury" dos EUA e Israel contra o Irã, o grupo Camaro Dragon direcionou entidades do Catar com iscas com temas do conflito , entregando uma variante do PlugX via DLL hijacking de um binário legítimo do Baidu NetDisk. Paralelamente, uma campanha separada ligada à China implementou o Cobalt Strike através de um novo loader baseado em Rust, explorando o DLL hijacking de nvdaHelperRemote.dll, um componente do leitor de tela NVDA, anteriormente observado em pouquíssimas operações chinesas. Ambos os ataques utilizaram iscas geradas por IA, que se passavam por governos regionais, para se misturar às comunicações rápidas de crise. Essa mudança reflete tanto a coleta de inteligência oportunista quanto uma alteração mais ampla nas prioridades de coleta, focando na posição do Catar na intersecção de potências globais concorrentes. Os defensores devem considerar o conflito iraniano como um tema ativo de isca geopolítica, reforçar a cobertura de EDR e MFA, e revisar os IoCs publicados pela Check Point para ambas as campanhas.

A equipe de hackers Handala, ligada ao Irã, reivindicou ataques contra a Stryker Corporation e a Verifone em 11 de março. A Stryker confirmou um incidente de rede, enquanto a Verifone negou qualquer violação, apesar de terem sido divulgadas capturas de tela de painéis de administração internos como prova. ️

O WhatsApp implementou contas gerenciadas pelos pais para crianças menores de 13 anos, concedendo aos pais controle protegido por PIN sobre contatos, participação em grupos e alertas de atividade ️, mantendo a criptografia de ponta a ponta em todas as mensagens ‍‍‍.