CEVIU Logo
CEVIU News

CEVIU News - CEVIU Segurança da Informação - 16 de julho de 2026

12 notícias16 de julho de 2026CEVIU Segurança da Informação
Compartilhar:

🚨 CEVIU Segurança da Informação

Dois grupos de ameaça estão explorando uma brecha no Microsoft Entra ID, utilizando spoofing de ID de cliente OAuth para validar credenciais roubadas sem acionar alertas de login. Os atacantes enviam requisições ROPC (Resource Owner Password Credentials) com IDs de Cliente falsas, mas sintaticamente válidas, e analisam os códigos de erro AADSTS para confirmar a validade de contas e senhas. As campanhas, identificadas como UNK_pyreq2323 e UNK_OutFlareAZ, já comprometeram milhões de usuários e milhares de clientes, utilizando infraestrutura robusta da AWS e Cloudflare.

Pesquisadores revelaram uma falha grave de execução remota de código (RCE) pré-autenticação no ServiceNow. A vulnerabilidade foi explorada através de filtros de consulta GlideRecord, que aceitam expressões JavaScript e operam dentro de um sandbox JS. A equipe demonstrou como escapar desse ambiente isolado, manipulando includes de script e objetos globais para executar código arbitrário em um contexto Rhino não isolado. Essa brecha permitiu a exfiltração de dados, criação de contas de administrador e execução de comandos em servidores proxy. O ServiceNow agiu rapidamente, classificando a falha como CVE-2026-6875 e implementando mitigações em 24 horas, bloqueando a modificação de funções JavaScript essenciais e introduzindo o Guarded Script para restringir drasticamente o código de filtro pré-autenticação.

A Lifeline Austrália, renomada organização de caridade, confirmou recentemente um incidente de segurança cibernética que resultou no vazamento de dados sensíveis. O incidente afetou aproximadamente 10.600 registros de seus voluntários e funcionários, comprometendo informações como nomes completos, datas de nascimento, e-mails corporativos, números de telefone e contatos de WhatsApp. A organização assegura que dados de solicitantes de ajuda e informações financeiras não foram expostos, mitigando parte do impacto. A gestão de vulnerabilidades e a proteção de dados de colaboradores tornam-se, mais uma vez, um alerta crítico para o terceiro setor.

A SonicWall emitiu um aviso urgente sobre a exploração ativa de duas vulnerabilidades zero-day em seus appliances SMA1000. A primeira, considerada crítica com CVSS 10, é uma falha de Server-Side Request Forgery (SSRF) na interface Appliance Work Place. Esta brecha permite que invasores remotos e não autenticados forcem o dispositivo a realizar requisições não intencionais. A segunda vulnerabilidade, de alta severidade (CVSS 7.2), é uma injeção de código pós-autenticação no Appliance Management Console, possibilitando a execução de comandos arbitrários no sistema operacional por administradores remotos autenticados. Empresas que utilizam esses dispositivos devem agir imediatamente para mitigar os riscos.

A Tracebit demonstrou uma técnica promissora para neutralizar agentes de IA autônomos em simulações de ataque Red Team. Utilizando modelos líderes como Opus 4.8 e Gemini 3.1 Pro, a pesquisa simulou invasões a contas AWS, onde "context bombs" (strings curtas) foram inseridas em segredos canary. Ao lerem essas strings, os filtros de segurança dos provedores interrompiam as operações dos modelos e disparavam alertas. Em 152 execuções, o acesso administrativo foi drasticamente reduzido de 57% para 5%, e o comprometimento total com persistência caiu de 36% para 1%, garantindo que nenhum caminho de ataque fosse concluído sem detecção. Esta abordagem oferece um novo vetor de defesa para a segurança cibernética impulsionada por IA.

O grupo cibercriminoso ShinyHunters, atuando entre meados de 2025 e 2026, orquestrou ataques sofisticados de vishing e comprometimento da cadeia de suprimentos para obter acesso OAuth a ambientes Salesforce. Disfarçando-se como suporte de TI ou explorando integrações vulneráveis como Salesloft, Gainsight e Klue, os criminosos executaram consultas API em larga escala, exfiltrando dados de CRM de alto valor e se mesclando ao tráfego legítimo. Em resposta, Microsoft e Salesforce aprimoraram a telemetria e o monitoramento em tempo real, além de introduzir visibilidade de risco para aplicações conectadas. Foram divulgadas consultas de hunting e detecções do Defender, visando auxiliar equipes de segurança a identificar atividades OAuth anômalas, aplicativos com privilégios excessivos e grandes exportações de relatórios ligadas a identidades e infraestruturas específicas, fortalecendo a defesa contra abusos de acesso.

O grupo de ransomware D1R reivindicou ter invadido a Synopsys e acessado um banco de dados de clientes contendo 40.000 registros, utilizando essas informações para atacar a propriedade intelectual da Bosch. Contudo, a Synopsys refuta as acusações, declarando que suas ferramentas de monitoramento não detectaram qualquer acesso não autorizado e que as alegações são infundadas. A 'prova' apresentada pelo D1R para chantagear a empresa parece ser um manual da Bosch já disponível publicamente, o que questiona a veracidade e o impacto do suposto ataque.

Autoridades dos EUA emitiram um alerta sobre campanhas persistentes do FSB russo, que visam comprometer roteadores domésticos e de pequenas empresas. Dispositivos mal protegidos estão sendo transformados em nós de proxy para ataques a setores críticos. Os cibercriminosos exploram roteadores com SNMP ativado e credenciais padrão, instalando malware e mascarando suas operações através de IPs confiáveis. A CISA recomenda desativar versões antigas do SNMP, reforçar senhas, manter o firmware atualizado e desabilitar serviços desnecessários, como o Cisco Smart Install, para mitigar os riscos.

Pesquisadores da TraceBit revelaram uma nova tática defensiva, batizada de Context Bombing, que se mostra eficiente contra ataques agênticos em sistemas de IA. A técnica consiste em inserir comandos proibidos, como solicitações para a criação de armamento nuclear ou biológico, próximos a dados sensíveis, ativando os "guardrails" dos modelos de IA. Em testes realizados na AWS, essa abordagem impediu com sucesso ataques agênticos, reforçando a segurança de plataformas baseadas em IA.

Rossen G. Iossifov, que já cumpria pena por lavagem de milhões em um esquema de fraude, foi indiciado por conspiração para subtrair US$ 290 mil em criptomoedas. A particularidade do caso é que o roubo teria ocorrido enquanto Iossifov estava detido e os ativos digitais estavam sob custódia do governo, levantando sérias questões sobre a segurança de bens apreendidos e a capacidade de criminosos atuarem mesmo atrás das grades.

A Tego AI divulgou uma vulnerabilidade crítica na integração do modelo Claude da Anthropic com o Slack. Foi demonstrado que o sistema pode ser levado a responder a menções literais de "@Claude", mesmo quando originadas por bots ou feeds automatizados e sem uma menção legítima. Este cenário cria um risco substancial de que conteúdo malicioso ou não verificado possa desencadear ações não autorizadas, como recuperação de dados sensíveis, publicações indevidas ou até exclusões em sistemas empresariais conectados. A descoberta acende um alerta para a necessidade de rigor na configuração de permissões e validação de entradas em sistemas de IA interligados a plataformas corporativas.

O Patch Tuesday de julho de 2026 da Microsoft revelou uma carga inédita de 622 vulnerabilidades corrigidas, mais que o dobro do mês anterior. Dentre as falhas, destacam-se duas zero-days já exploradas ativamente: a CVE-2026-56155 no Active Directory Federation Services (AD FS) e a CVE-2026-56164 no SharePoint Server. A criticidade dessas vulnerabilidades exige atenção imediata das organizações para a aplicação das atualizações.

Receba as melhores notícias de tech

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser