CEVIU News - CEVIU Segurança da Informação - 12 de junho de 2026

A vulnerabilidade Ghost-Sender permite que atacantes enviem e-mails internos ou externos falsificados para tenants do Exchange Online e ambientes híbridos, contornando completamente SPF, DKIM e DMARC com um simples comando PowerShell. O problema, que já está sendo explorado, é tratado pela Microsoft como uma limitação arquitetural. Defensores devem desativar o Direct Send, implementar um partner connector com validação de IP e certificado, ou configurar regras de fluxo de e-mail que coloquem em quarentena mensagens onde o campo X-MS-Exchange-Organization-AuthAs não seja identificado como interno vindo de IPs não autorizados.

A partir da versão 12, com lançamento previsto para julho, o npm desativará por padrão os scripts preinstall, install e postinstall. A mudança exigirá que os usuários utilizem listas de permissão explícitas (allowlists) para executar esses comandos, aumentando o controle sobre a execução de código durante a instalação de pacotes.

O grupo ShinyHunters comprometeu a instância Oracle PeopleSoft da Universidade de Nottingham utilizando uma cadeia de zero-day, resultando na exfiltração de 40 GB de dados de 454.600 estudantes, incluindo números de passaporte, registros de cobrança, endereços e detalhes sobre deficiências. O incidente integra uma campanha que visou mais de 100 organizações mediante a exploração de vulnerabilidades legadas e zero-days encadeados. A eficácia da exploração depende da configuração e exposição do PeopleSoft. Para defesa, recomenda-se monitorar os logs PSAPPSRV.LOG e PS_HOME/appserv em busca de padrões anômalos de extração de dados SQL, validar as versões de patch do PeopleSoft e aplicar restrições de IP com MFA em contas administrativas.

A Kyushu Electric Power Co divulgou um incidente de segurança física que comprometeu os dados privados de mais de 10 milhões de clientes. Devido a limitações de capacidade durante um backup de rotina, a empresa armazenou as informações em um drive externo. No entanto, ao tentar recuperar o dispositivo no mês seguinte, a unidade foi dada como desaparecida. Os dados contidos no dispositivo incluem nomes, endereços de instalação, registros de consumo de energia, números de telefone, nomes de fornecedores de varejo e outras informações relacionadas.

A Doyensec realizou um teste comparativo entre o Attack AI Pentest da Aikido e o Lightspeed da XBOW utilizando duas aplicações web open source, validando manualmente cada descoberta. A Aikido identificou mais verdadeiros positivos e apresentou uma configuração rápida, embora o XBOW tenha obtido uma proporção ligeiramente melhor de falsos positivos. O XBOW, contudo, enfrentou falhas durante a execução, incluindo travamentos e exclusão de contas de teste, além de limitações em credenciais administrativas que podem ter ocultado vulnerabilidades de autorização. Ambas as soluções superaram ferramentas tradicionais de SAST/DAST em termos de ROI, mas apresentaram uma tendência comum de superestimar a severidade das falhas encontradas.

O Miasma explora o GitHub como C2 através de três canais de pesquisa de commits, entregando credenciais criptografadas, payloads JavaScript ou comandos remotos em Python sem interagir com a infraestrutura tradicional. A cadeia de ataque coleta segredos de ambientes AWS, Azure, GCP, Kubernetes e gerenciadores de senha, propagando-se via tokens OIDC de npm, PyPI ou RubyGems, além de movimentação lateral SSH, sequestro de orphan-commits no GitHub Actions e injeção em 13 ferramentas de codificação com IA via envenenamento de configurações.

Um pesquisador de segurança explorou APIs internas e públicas do Google utilizando uma estratégia automatizada de coleta de chaves, scraping de documentos de descoberta e um explorador de API personalizado integrado a um fuzzer orientado por IA. O sistema coletou milhares de chaves de API válidas de aplicativos, tráfego web e binários, mapeando o acesso a mais de 1.500 APIs com diferentes níveis de visibilidade e restrições. Ao realizar a reexecução e o agrupamento de sondas com múltiplas chaves, analisar padrões de erro padronizados do Google e aplicar suporte a autenticação robusta, o pesquisador identificou falhas reais de controle de acesso, incluindo endpoints internos que expunham dados sensíveis de contas, conteúdos e configurações, resultando em mais de US$ 500.000 em recompensas de programas de bug bounty.

O Claude Fable 5 foi lançado no Amazon Bedrock, oferecendo desempenho de nível Mythos em tarefas de longa duração e visão computacional. Contudo, o acesso requer a adesão obrigatória à retenção de dados por 30 dias e a permissão para que os dados de inference saiam do limite de segurança da AWS para processos de detecção de uso indevido pela Anthropic.

O modelo Claude Fable 5 da Anthropic obteve 59,8% de eficácia funcional e 19,0% de sucesso em segurança ao realizar 200 tarefas de correção de vulnerabilidades em cenários reais. O processo enfrentou diversos timeouts e 38 casos confirmados de trapaça, atribuídos majoritariamente ao recall de dados de treinamento.

O site do procurador-geral do Maine publicou uma notificação falsa de violação de dados do VRChat, que citava um funcionário inexistente e um número de telefone fora de serviço. O VRChat negou qualquer incidente e solicitou a remoção do documento. A notificação fraudulenta alegava acesso a dados na nuvem de cerca de 2,4 milhões de usuários, incluindo nomes de usuário, e-mails, históricos de login e IDs da plataforma, mas não mencionava senhas ou dados de pagamento.

O Chromium 150 remove a flag ExtensionManifestV2Disabled, enquanto a versão 151 elimina a ExtensionManifestV2Unsupported, AllowLegacyMV2Extensions e outras flags relacionadas. A alteração bloqueia permanentemente extensões baseadas em MV2, como o uBlock Origin, e inviabiliza todos os contornos via Registro do Windows.

A Microsoft lançou as atualizações KB5094125 para Windows Server 2025 e KB5093998 para Windows 11 23H2 para corrigir falhas que causavam solicitações inesperadas de recuperação do BitLocker. O problema era disparado após atualizações de abril de 2026 em sistemas com políticas de validação de plataforma TPM, afetando configurações que incluem PCR7, o certificado Windows UEFI CA 2023 no banco de dados Secure Boot e gerenciadores de boot incompatíveis.