CEVIU News - CEVIU Segurança da Informação - 7 de maio de 2026

A Palo Alto Networks alertou os usuários sobre uma vulnerabilidade crítica e ainda sem correção no PAN-OS User-ID Authentication Portal. A falha, decorrente de um buffer overflow, pode ser explorada por atacantes para executar código arbitrário como root. A Palo Alto Networks está desenvolvendo uma correção e recomenda que os usuários restrinjam ou desabilitem o acesso aos portais enquanto isso.

O cofre do Proton Pass suporta uma segunda senha separada, mas o recurso de Acesso de Emergência, com o tempo de espera definido como “Nenhum”, permite que alguém com acesso à caixa de e-mail adicione uma conta de atacante como contato de emergência imediato e acesse o cofre sem essa segunda senha. Um atacante também pode ocultar e-mails de notificação usando regras da caixa de e-mail e, em seguida, usar o Acesso de Emergência para fazer login, abrir o Proton Pass e exportar todo o cofre.

Após um processo judicial em 2022, a FTC propôs proibir a venda de dados de localização pela Kochava sem o consentimento explícito do consumidor. A Kochava, um data broker, foi processada por coletar dados de localização precisos de usuários sem permissão e depois vendê-los no AWS Marketplace. Sob a ordem proposta, a Kochava seria proibida de comercializar dados de localização sem consentimento explícito, exigida a estabelecer um programa para dados de localização sensíveis e obrigada a permitir que usuários solicitem a divulgação de quem comprou seus dados, entre outras determinações.

Atacantes sobrescreveram o pacote intercom/intercom-php 5.0.2 no Packagist com um plugin malicioso do Composer que executa no momento da instalação. Este plugin baixa o runtime Bun e um payload ofuscado que exfiltra tokens do GitHub, chaves SSH, credenciais de cloud e variáveis de ambiente para zero.masscan.cloud. A campanha estende o ataque Mini Shai-Hulud do npm (onde intercom-client 7.0.4 foi comprometido via um preinstall hook no mesmo dia) para PHP, explorando o modelo de reindexação do Packagist, que é acionado por webhooks e não possui uma quarentena pré-publicação. Para defesa, é crucial fixar as versões, auditar o `composer.lock` em busca da release maliciosa, procurar por IOCs (Indicadores de Compromisso), incluindo `setup-intercom.sh`, `router_runtime.js`, `src/composerPlugin.php` e artefatos `.claude/.vscode`, além de rotacionar quaisquer credenciais expostas em máquinas que executaram `composer install` ou `composer update` desde o comprometimento.

A CVE-2026-23918 (CVSS 8.8) é uma falha de double-free no caminho de limpeza de stream do mod_http2 do Apache httpd 2.4.66 (h2_mplx.c). Ela é acionada quando um cliente envia um frame HEADERS imediatamente seguido por um RST_STREAM no mesmo stream antes que o multiplexador o registre, fazendo com que o mesmo ponteiro h2_stream seja adicionado duas vezes ao array de limpeza "spurge". Os pesquisadores Bartlomiej Dmitruk (Striga.ai) e Stanislaw Strzalkowski (ISEC.pl) demonstraram um DoS trivial contra qualquer implementação padrão do mod_http2 com um MPM multi-threaded, além de uma prova de conceito (PoC) de RCE x86_64 funcional. Esta PoC explora a reutilização de mmap para injetar um h2_stream falso e utiliza o scoreboard de endereço fixo do Apache para chamar system(), sendo o caminho de RCE prático em sistemas derivados de Debian e na imagem oficial do httpd Docker devido ao padrão do alocador mmap da APR. Os defensores devem atualizar para a versão 2.4.67 imediatamente. O mod_http2 está incluído nas builds padrão, e a configuração prefork MPM é a única não afetada.

Quando vulnerabilidades de injeção de código retornam apenas números decimais válidos, sem reflexão, tráfego externo ou temporização, atacantes podem exfiltrar dados alfanuméricos. Isso é feito codificando as saídas de comandos como inteiros em base-36, utilizando funções como int(command_output, 36) em Python ou base_convert() em PHP, após a remoção de caracteres não alfanuméricos por meio de funções de tradução de strings. A limitação de 4.300 dígitos inteiros do Python permite a exfiltração de até 2.762 caracteres alfanuméricos (mais de 2KB) em uma única operação. Em sistemas de 64 bits, como JavaScript e PHP, há uma limitação de aproximadamente 12 caracteres por conversão. No entanto, as funções BC Math do PHP possibilitam a divisão do payload em blocos e sua concatenação para lidar com volumes maiores de dados. A codificação Base27 pode, em ambientes restritos de 64 bits, comprimir um caractere adicional ao deslocar o alfabeto para a esquerda e excluir caracteres numéricos, sacrificando densidade de informação por uma maior capacidade de saída.

Remco van der Meer aprimorou seu fuzzer de MS-RPC com manipulação recursiva de estruturas via New-FuzzedInstance, limitado a 8 níveis de profundidade com rastreamento de tipos visitados, e suporte a tipos union através de seleção aleatória de campos Arm_N com configuração discriminante apropriada. Ele substituiu o Process Monitor pelo monitoramento ETW nativo dos provedores Microsoft-Windows-Kernel-File e Microsoft-Windows-Kernel-Registry para detectar canary strings ("incendiumrocks_") em syscalls em tempo real. O fuzzer descobriu a função RpcAddPrintProvidor em spoolsv.exe, que carrega DLLs arbitrárias como NT AUTHORITY\SYSTEM ao receber um caminho de arquivo (anexando .DLL à entrada). Embora o procedimento exija privilégios de administrador e suporte ncacn_ip_tcp para potencial exploração remota, defensores devem monitorar cargas suspeitas de DLLs pelo serviço Print Spooler e considerar restringir o acesso RPC a funções de gerenciamento de impressora. Isso representa um caminho de escalada de admin para SYSTEM que pode permitir movimento lateral em ambientes onde atacantes já possuem credenciais administrativas.

O CloudZ RAT utiliza um plugin Pheno personalizado para sequestrar a ponte do Windows Phone Link em sistemas Windows 10 e 11 comprometidos. Ele monitora processos ativos do Phone Link e acessa o banco de dados SQLite do aplicativo para roubar dados de SMS e OTPs sincronizados, sem a necessidade de infectar o telefone. Os invasores obtêm acesso inicial por meio de um executável falso do ConnectWise ScreenConnect que libera um .NET loader. Este, por sua vez, implanta o CloudZ modular, conecta-se ao C2 e executa comandos para roubo de credenciais, exfiltração de dados de navegadores e gravação de tela.

A Microsoft implementou mudanças significativas no Windows Update. Usuários agora podem pular atualizações durante o OOBE e estender a pausa para até 35 dias indefinidamente. As opções de "Reiniciar" ou "Desligar" foram separadas de "Atualizar e reiniciar" no menu Liga/Desliga. Adicionalmente, atualizações de drivers, .NET e firmware foram consolidadas em uma única reinicialização mensal, alinhada com as atualizações de qualidade, e o sistema agora oferece recuperação automática para instalações com falha.

A Braintrust relatou um incidente de acesso não autorizado envolvendo uma conta AWS que continha chaves de API de clientes.

O Guardio Labs descobriu um framework de phishing AitM privado que abusa dos resultados patrocinados do Google para a consulta 'managewp', para atuar como proxy de credenciais e códigos 2FA através de um painel de C2 operado por atacantes.