CEVIU News - CEVIU Segurança da Informação - 6 de maio de 2026

O WhatsApp corrigiu duas falhas de segurança de gravidade média, reportadas através do programa de recompensa por bugs da Meta. Uma delas permitia que invasores falsificassem anexos do Windows usando bytes NUL, fazendo com que um documento aparentemente inócuo fosse executado. A outra falha lidava de forma inadequada com respostas ricas em IA para o Instagram Reels no iOS e Android, permitindo que URLs arbitrárias e esquemas de URL do sistema operacional fossem processados no dispositivo da vítima. A Meta informa que não houve exploração dessas vulnerabilidades em campo.

Uma varredura em cerca de 6.000 endpoints de webhook do tipo Stripe enviou um evento checkout.session.completed falso, sem o cabeçalho Stripe-Signature, e registrou quais servidores ainda retornavam 2xx. Aproximadamente 1.542 endpoints o fizeram, indicando que eles processam eventos de pagamento não assinados que parecem legítimos. Muitos fluxos de SaaS atualizam usuários ou confirmam reservas diretamente dos campos do payload do webhook, permitindo que atacantes automatizem upgrades de planos gratuitos ou reservas não pagas com JSON manipulado. A solução é implementar a verificação oficial de assinatura do webhook usando os raw request bodies e SDK helpers específicos da stack, e então realizar novas varreduras direcionadas para confirmar o comportamento.

A administração Trump está agora considerando análises pré-lançamento para modelos de IA de alto risco, após o Mythos Preview da Anthropic.

A Microsoft detalhou uma campanha multifásica de roubo de credenciais que visou mais de 35.000 usuários em 26 países. A campanha utilizou e-mails com temática de "código de conduta", enviados por um serviço de e-mail legítimo. As mensagens empregavam templates com estilo corporativo, acusações urgentes e PDFs que direcionavam para fluxos protegidos por CAPTCHA, culminando em páginas de phishing do tipo Adversary-in-the-Middle (AiTM) que coletavam credenciais e tokens da Microsoft, contornando o MFA.

Pesquisadores da empresa de threat intelligence Vega reportam que agentes de ameaça estão explorando uma vulnerabilidade de execução remota de código (RCE) não autenticada no software de automação empresarial Weaver E-cology. Esta falha decorre de um endpoint de debug de API exposto que permite indevidamente que parâmetros fornecidos por usuários cheguem à funcionalidade RPC de backend sem autenticação. A recomendação é que os usuários atualizem para a versão mais recente, visto que não há outra solução alternativa disponível.

A Huntress detalhou uma técnica de persistência de seis comandos contra o Windows Server 2025 totalmente corrigido, na qual um usuário de baixo privilégio com CreateChild em qualquer OU e WriteProperty em uma conta alvo cria uma Managed Service Account delegada (dMSA). Este usuário assume a propriedade para conceder a si mesmo GenericAll, implanta uma Shadow Credential em msDS-KeyCredentialLink para autenticação PKINIT e escreve o próprio SID da dMSA em msDS-GroupMSAMembership, autorizando-se a extrair o NT hash da conta substituída. Essa cadeia sobrevive à rotação de senha (PKINIT ignora a senha gerenciada e o KDC repopula o hash em cada requisição S4U2Self), à exclusão da conta original do atacante e pode bloquear os Domain Admins da remediação ao escrever um descritor de associação restritivo. Os defensores devem procurar por qualquer dMSA cujo próprio SID apareça em seu GroupMSAMembership, auditar as gravações de msDS-KeyCredentialLink em objetos dMSA, monitorar os Event IDs 5136, 4662 e 4768 para PKINIT contra dMSAs, e considerar a exclusão completa da dMSA maliciosa como a única correção eficaz, visto que a Microsoft encerrou o relatório como uma técnica de persistência que não atende aos critérios de manutenção.

À medida que os modelos se tornaram mais avançados, eles evoluíram de um simples “GPS informacional” para um potente “Waymo autônomo”. Esse poder adicional também acarreta um risco maior de vazamento de dados sensíveis pela janela de contexto ou outros mecanismos. A Sondera implementa um agent harness usando coding agent hooks no Claude Code para aplicar políticas fine-grained de policy-as-code do Cedar, protegendo contra a exfiltração de dados.

O CEO da KnownHost, Daniel Pearson, confirmou tentativas de exploração contra a CVE-2026-41940 (CVSS 9.8) a partir de 23 de fevereiro, aproximadamente 64 dias antes do aviso da cPanel em 28 de abril. Isso indica que os atacantes encontraram o bypass de autenticação de injeção CRLF na gestão de sessões do cPanel/WHM muito antes do pesquisador que o divulgou responsavelmente. A Censys identificou mais de 1 milhão de hosts cPanel/WHM expostos (a Rapid7 apontou um número próximo a 1,5 milhão em versões 11.86.0 a 11.136.0 e WP Squared v136.1.7 e anteriores). Somente em 1º de maio, 15.448 hosts cPanel (79,99% do rastreamento de hosts maliciosos da GreyNoise naquele dia) participaram de atividades de ataque, com 7.135 hosts já exibindo extensões ".sorry" do Sorry Ransomware em arquivos core do WordPress e uma variante separada do Mirai ("nuclear.x86") sendo implantada via Telnet pós-comprometimento. A CISA adicionou a CVE ao catálogo KEV em 30 de abril, com prazo federal até 3 de maio. A NocInit recomenda migrar qualquer servidor que esteve acessível pela internet nas portas 2082-2096 durante o período de fevereiro a abril para uma nova instalação a partir de backups pré-invasão, em vez de tentar limpar o sistema.

O mantenedor de software de código aberto (OSS) Jeremy Stanley aponta os riscos de que vulnerabilidades descobertas com o uso de tooling de LLM possam ser realimentadas nos dados de treinamento, tornando-as facilmente descobertas por outros usuários. Isso modifica a abordagem da divulgação coordenada e dos embargos, visto que Stanley defende que os mantenedores devem assumir que a vulnerabilidade já é passível de descoberta. Stanley ainda ressalta que mantenedores de OSS não deveriam empregar LLMs para desenvolver patches ou documentação referente a vulnerabilidades que ainda estão sob embargo.

O NHS England ordenou que os responsáveis mudassem centenas de repositórios GitHub de públicos para privados até 11 de maio.

O grupo ShinyHunters roubou informações pessoais de 119.000 usuários do Vimeo em abril, ao violar a Anodot, um fornecedor terceirizado de analytics.