CEVIU News - CEVIU Segurança da Informação - 5 de maio de 2026

A CVE-2026-4670 é uma falha crítica de bypass de autenticação no MOVEit Automation, afetando versões anteriores a 2025.1.5, 2025.0.9 e 2024.1.8. Essa vulnerabilidade é explorável remotamente sem privilégios ou interação do usuário, e está acompanhada por uma falha de elevação de privilégios de alta gravidade, a CVE-2026-5174. Daniel Card, da PwnDefend, identificou mais de 1.400 instâncias de MOVEit Automation expostas à internet via Shodan, incluindo mais de uma dúzia ligadas a agências governamentais estaduais e locais dos EUA. Dado o histórico do grupo Clop de exploração em massa de plataformas MFT como Accellion FTA, SolarWinds Serv-U, GoAnywhere, Cleo, e a campanha de 2023 no MOVEit Transfer que afetou mais de 2.100 organizações, os defensores devem aplicar imediatamente a atualização completa do instalador e auditar sua exposição.

Um grupo ligado ao Vietnã está abusando do Google AppSheet para enviar e-mails de phishing totalmente autenticados, visando contas de negócios e de alto valor do Facebook. Essa campanha já resultou em pelo menos 30.000 comprometimentos. Entre as táticas empregadas pela operação “AccountDumpling” estão falsos centros de ajuda do Facebook hospedados no Netlify, fluxos de 'segurança' e de selo azul hospedados no Vercel, e PDFs do Google Drive que ocultam painéis de phishing ativos. Abordagens de emprego estilo recrutador também são usadas para mover as vítimas para conversas individuais. As credenciais roubadas, IDs e códigos 2FA são canalizados para bots do Telegram, onde operadores assumem as contas, revendem o acesso e operam esquemas de recuperação por contrato, vinculados a identidades e infraestruturas vietnamitas específicas.

As agências de inteligência Five Eyes publicaram orientações conjuntas sobre IA agentic.

A Instructure, criadora da plataforma de ensino Canvas, foi atingida por um ciberataque que interrompeu ferramentas baseadas em API e resultou em uma violação expondo nomes, endereços de e-mail, IDs de estudantes e mensagens de usuários. O grupo ShinyHunters reivindica 3,65 TB de dados de 275 milhões de indivíduos e acesso à instância do Salesforce da Instructure.

O jornal italiano La Repubblica atribuiu uma invasão ocorrida em abril de 2026 à Sistemi Informativi, subsidiária da IBM Itália que gerencia a infraestrutura de TI para agências públicas italianas e indústrias críticas, ao APT Salt Typhoon, grupo ligado à China, citando fontes de inteligência. A confirmação da IBM limitou-se a "identificado e contido", sem divulgar o escopo do incidente. A metodologia do Salt Typhoon privilegia zero-days de Citrix e Cisco e pontos de apoio na cadeia de suprimentos em detrimento de phishing. Vítimas entre 2025 e 2026 incluem Viasat, empresas de telecomunicações canadenses, a Guarda Nacional do Exército dos EUA e redes governamentais holandesas. O comprometimento de um provedor de serviços gerenciados (MSP) com essa profundidade representa um pivô de um-para-muitos para bancos de dados do governo italiano. Por isso, defensores em organizações dependentes de MSPs devem procurar por exfiltração prolongada de baixo volume em equipamentos de telecomunicações e de borda, além de revisar os escopos de acesso de terceiros.

A Purple Team detalhou a Ativação Entre Sessões (MITRE T1021.003), uma técnica de movimento lateral via DCOM onde atacantes com privilégios elevados sequestram CLSIDs configurados com RunAs=Interactive User para executar código dentro da sessão de outro usuário logado. Isso é realizado por meio de CoCreateInstanceEx e SetSessionId. O relatório inclui Proofs-of-Concept (PoCs) de Michael Zhmailo (IHxExec, sppui) e Andrew Oliveau (SessionHop), além de tooling como PermissionHunter, ComDiver e ComHijackWrite. AppIDs de alta prioridade suscetíveis a sequestro incluem Speech Runtime, sppui, Auth UI CredUI, ShellServiceHost e ActivatableApplicationRegistrar, todos acessíveis uma vez que o Remote Registry é iniciado e uma DLL é dropada via compartilhamento administrativo. Para defesa, é crucial monitorar processos filhos anômalos de HelpPane.exe e slui.exe (Event ID 4688), habilitar a Auditoria de Registro nos CLSIDs listados para capturar o Event ID 4663, e verificar os hooks de EDR nas APIs WTSEnumerateSessions/WinStation* usadas durante a descoberta de sessões.

A NVD anunciou recentemente que, devido ao aumento de vulnerabilidades provenientes de ferramentas de IA como Claude Mythos, ela enriquecerá CVEs apenas para vulnerabilidades presentes na KEV (Known Exploited Vulnerabilities), softwares utilizados em sistemas governamentais, ou softwares considerados críticos. Muitas ferramentas e equipes de segurança baseiam seus programas e priorização em CVEs e pontuações CVSS, que agora estarão ausentes para diversas vulnerabilidades. Equipes de segurança devem se preparar implementando proativamente mudanças arquiteturais e adicionando guardrails para fortalecer sistemas, além de considerar a inclusão de tooling de segurança em runtime.

Um arquivo source map publicado acidentalmente pela Anthropic expôs mais de meio milhão de linhas do código-fonte de Claude Code. O pesquisador de segurança Chaofan Shou foi o primeiro a identificar o diretório público e a realizar o tracing do código compilado de volta aos seus originais, antes que cópias se espalhassem pelo GitHub. A Anthropic reagiu com mais de 8.100 pedidos de remoção DMCA, posteriormente reduzidos para cerca de 100 cópias específicas. Contudo, a desenvolvedora coreana Sigrid Jin utilizou o Codex da OpenAI para criar o Claw-Code, uma reescrita em Python do framework agentic de Claude Code. Este repositório tornou-se o de crescimento mais rápido na história do GitHub e, segundo relatos, está sendo adotado pela xAI. O incidente levanta uma complexa questão de autoria, pois o Claude Code teria sido ~90% escrito por IA, e tribunais dos EUA já decidiram que criações de IA totalmente autônomas não se qualificam para proteção de direitos autorais. Isso coloca a Anthropic na situação delicada de tentar impor direitos sobre um código amplamente gerado por máquina, ao mesmo tempo em que expõe a fragilidade do processo DMCA quando plataformas precisam remover conteúdo sem revisão judicial.

Laurence Tennant, da Include Security, relata a BSidesSF 2026, onde 16 equipes resolveram completamente todos os desafios de CTF (em comparação com apenas uma equipe em 2025). Isso ocorreu porque agentes como Claude Code, Codex e similares agora resolvem desafios de dificuldade fácil a média, incluindo exploração binária, em minutos, mudando a competição da habilidade de resolução para o investimento em infraestrutura. As melhores equipes utilizavam pipelines de auto-scraping que geravam agentes paralelos assim que um desafio era lançado e submetiam as flags automaticamente. A equipe vencedora, inclusive, tornou open-source uma arquitetura de coordenador-LLM que executa GPT-5.4-mini, Claude Opus 4.6 com esforço máximo e outros em paralelo, compartilhando descobertas entre agentes travados. O sucesso automatizado em CTFs, contudo, não se traduz diretamente em pentesting, pois engajamentos reais não possuem a flag inequívoca, a base de código limitada e o ambiente sem consequências que tornam os CTFs um campo de testes ideal para LLMs. A triagem de falsos positivos, a disciplina de escopo e o contexto de negócios ainda exigem julgamento humano.

Uma atualização defeituosa de inteligência do Microsoft Defender, em 3 de maio, rotulou erroneamente certificados raiz da DigiCert como Trojan:Win32/Cerdigent.A!dha, levando endpoints a colocá-los em quarentena ou removê-los e quebrando a confiança baseada em certificados. Usuários relataram falhas em sites TLS, aplicativos travando e interrupção de atualizações, enquanto administradores inicialmente suspeitavam de um ataque ativo. A Microsoft distribuiu definições corrigidas e recomendou atualizações rápidas do Defender, além de verificações para certificados removidos.

A Microsoft confirmou que as atualizações de segurança de abril de 2026 adicionaram o driver de kernel psmounterex.sys à lista de bloqueio de drivers vulneráveis para mitigar a CVE-2023-43896, um estouro de buffer de alta severidade que pode levar ao escalonamento de privilégios ou à execução arbitrária de código. Esta ação está causando timeouts de snapshot VSS e falhas de montagem de imagem em softwares como Macrium Reflect, Acronis Cyber Protect Cloud, UrBackup Server e NinjaOne Backup, afetando sistemas Windows 10, 11 e Server.

Atacantes estão explorando ativamente a vulnerabilidade CVE-2026-41940 no cPanel e WHM para sequestrar servidores.