CEVIU News - CEVIU Segurança da Informação - 17 de abril de 2026

Agentes de codificação de fronteira já colapsaram a economia do desenvolvimento de exploits. A consequência é que a atenção de elite não é mais escassa: os atacantes deixarão de escolher cuidadosamente alvos de nível Chrome e, em vez disso, direcionarão agentes para tudo, incluindo bancos de dados, roteadores, impressoras, sistemas hospitalares e infraestrutura de bancos regionais, onde o patching exige a presença física de alguém, ficando diretamente no raio de explosão. Os defensores devem assumir que exploits de cadeia completa contra sandboxes em camadas são iminentes, acelerar as migrações para segurança de memória e a redução da superfície de ataque, implementar loops de agentes contra suas próprias bases de código antes que os adversários o façam, e começar a advogar agora pelos direitos de pesquisa de vulnerabilidades antes que os legisladores reajam ao primeiro ciclo de notícias de ransomware movido por IA com políticas inadequadas.

Após uma conversa com um amigo, o autor deste post iniciou uma pesquisa para verificar se Atalhos do iOS poderiam ser criados usando deeplinks. O artigo detalha o processo de engenharia reversa do esquema de URL utilizado pelos Atalhos para deeplinking, mas, infelizmente, conclui que isso não é possível. Os Atalhos são suportados por um banco de dados SQLite que possivelmente poderia permitir esse trabalho, mas exigiria um dispositivo com jailbreak para edição.

Os certificados UEFI Secure Boot de 2011 da Microsoft começarão a expirar em 24 de junho. Empresas devem verificar seus sistemas para evitar falhas de inicialização.

A Express expôs páginas de confirmação de pedidos que vazaram nomes de clientes, detalhes de contato, endereços, conteúdo dos pedidos e dados parciais de cartão, utilizando números de pedido sequenciais facilmente adivinháveis. O bug foi descoberto por Rey Bango enquanto investigava um pedido fraudulento e confirmado pelo TechCrunch, sendo corrigido após a notificação à Express.

O Cookeville Regional Medical Center, no Tennessee, descobriu uma intrusão na sua rede em 14 de julho de 2025, com arquivos roubados dias antes. Dados expostos podem incluir nomes, datas de nascimento, endereços, números de SSN, carteira de motorista, detalhes financeiros, registros de tratamento e informações de seguro para mais de 337 mil pessoas. Os atores do ransomware Rhysida listaram o hospital, tentaram vender 500 GB de dados e, após não conseguir a venda, divulgaram-nos.

O Ministro da Defesa Civil da Suécia, Carl-Oskar Bohlin, confirmou publicamente pela primeira vez um ciberataque frustrado em 2025 contra uma usina de aquecimento no oeste da Suécia, atribuindo-o a um grupo pró-russo ligado à inteligência russa. O incidente se insere em uma campanha mais ampla de mais de 150 eventos de sabotagem e atividades maliciosas em toda a Europa que autoridades ocidentais vincularam à Rússia desde a invasão da Ucrânia em fevereiro de 2022. Operadores de infraestruturas de aquecimento distrital, água e rede elétrica devem considerar um direcionamento ativo, segmentar redes OT/IT, auditar caminhos de acesso remoto em ambientes SCADA/ICS, impor MFA em contas de fornecedores e de engenharia, e buscar pelos TTPs ligados ao Sandworm e clusters adjacentes vinculados ao GRU que dominaram as recentes intrusões em ICS europeus.

Esta publicação detalha o processo de armazenamento de chaves privadas SSH dentro de um chip TPM, utilizando o tpm2-pkcs11 stack no Linux. Abrange a criação de tokens, a importação de chaves RSA/ECC256 geradas offline e a configuração do provedor PKCS#11 no ~/.ssh/config, garantindo que as chaves nunca permaneçam como arquivos em texto plano. São abordadas algumas compensações entre TPMs e HSMs portáteis, como Yubikeys: TPMs são vinculados ao dispositivo sem exigência de presença física, placas-mãe de consumo frequentemente apagam o TPM em atualizações de BIOS, e falhas históricas como ROCA (CVE-2017-15361) enfraqueceram chaves RSA geradas por chips TPM da Infineon. Para defensores, a recomendação é preferir chaves geradas offline e protegidas por senha, importadas para o TPM com backups seguros. É crucial adicionar usuários ao grupo tss em vez de executar as ferramentas como root e validar o conteúdo do token com tpm2_ptool verify e pkcs11-tool --list-objects antes de desativar as chaves baseadas em filesystem.

Betterleaks é um substituto direto, puro-Go, para Gitleaks, mantendo os flags e configurações CLI existentes, enquanto adiciona validação de regras baseadas em CEL, detecção padrão de codificação multi-camadas e varredura git paralelizada. Seu filtro diferenciado troca a entropia por uma pontuação de eficiência de token BPE, elevando o recall no benchmark CredData de 70,4% para 98,6%. A CLI é explicitamente projetada para ser operada por agentes de codificação como Claude Code, Codex e Cursor, em conjunto com humanos. Equipes que já utilizam Gitleaks em CI podem substituir o binário hoje mesmo, ganhando velocidade e reduzindo significativamente os falsos negativos. O roadmap da v2 adiciona suporte para mais tipos de fonte, classificação opcional assistida por LLM e auto-revogação via APIs de provedores.

A Anthropic afirma que seu modelo Mythos pode encontrar zero-days em sistemas operacionais e navegadores importantes, o que levou à restrição de acesso via Project Glasswing para cerca de 50 parceiros. Um pesquisador da VulnCheck buscou em registros de CVEs e identificou 40 vulnerabilidades possivelmente ligadas à Anthropic, principalmente em Firefox, wolfSSL, FreeBSD, OpenSSL e NGINX Plus. Até o momento, apenas a CVE-2026-4747 no FreeBSD está claramente associada ao Mythos, e várias falhas mais antigas não possuem CVEs. Um resumo público é esperado por volta de julho.

Vinte e um países realizaram uma semana de ação coordenada em 13 de abril contra usuários de serviços de DDoS-for-hire, enviando mais de 75.000 mensagens de aviso, efetuando 4 prisões, apreendendo 53 domínios e emitindo 25 mandados de busca. As autoridades desmantelaram infraestruturas de booter, rastrearam mais de 3 milhões de contas de usuários e iniciaram campanhas de prevenção, que incluíram anúncios de busca, remoções de URLs e avisos em blockchain.

O Recall da Microsoft captura extensas atividades no dispositivo e atualmente mantém seu banco de dados criptografado por trás do Windows Hello. No entanto, a ferramenta "TotalRecall Reloaded", do pesquisador Alexander Hagenah, utiliza o processo AIXHost.exe, que é menos protegido, para extrair capturas de tela, texto OCR e metadados assim que um usuário se autentica, por vezes até sem o Windows Hello. Essa vulnerabilidade tem levado aplicativos como Signal, AdGuard e Brave a bloquear ativamente o logging de seu conteúdo pelo Recall, evidenciando a preocupação com a privacidade e a segurança dos dados capturados.

Kejia “Tony” Wang e Zhenxing “Danny” Wang foram condenados a um total de 200 meses de prisão federal por gerenciar 'fazendas de laptops' e empresas de fachada que colocaram trabalhadores de TI da Coreia do Norte (DPRK) em mais de 100 empresas dos EUA.