Esta publicação tem como objetivo divulgar o documento desenvolvido pela equipe de Threat Intelligence da Service IT Security que foi desenvolvido e fundamentado utilizando as documentações oficiais do NIST (National Institute Of Standards and Technology), MITRE e CVE.org, que são conhecidas mundialmente na área de cibersegurança, como modelo e padronização de melhores práticas de segurança, pesquisa de metodologias de ataques e defesa cibernética, e pesquisa e catalogação de novas vulnerabilidades em sistemas operacionais e aplicações.
Vulnerabilidades e Ameaças Descobertas:
1. Splunk Enterprise (Windows) – Escalonamento para SYSTEM via DLL Hijacking
Descrição: Falha permite elevação de privilégio para SYSTEM por DLL search-order hijacking.
Exploração: Usuário local posiciona DLL maliciosa em caminho pesquisado antes da legítima e reinicia o serviço.
Impacto: Controle total do host Windows com privilégios máximos.
Mitigação: Atualizar para versões corrigidas, restringir permissões NTFS e monitorar carregamento de DLLs.
2. Phishing com OAuth Device Code compromete Microsoft 365
Descrição: Campanha abusa do fluxo OAuth Device Code para capturar tokens legítimos sem roubar senha.
Exploração: Vítima insere código em microsoft.com/devicelogin e concede acesso à aplicação maliciosa.
Impacto: Acesso persistente a Outlook, Teams e OneDrive com aparência legítima.
Mitigação: Auditar apps OAuth, revogar tokens, aplicar Conditional Access e restringir device code flow.
3. CVE-2026-20841 – RCE no Notepad moderno via arquivo .md
Descrição: Vulnerabilidade permite execução de código ao Ctrl+clicar em link malicioso em arquivo Markdown.
Exploração: Notepad envia URI malicioso para ShellExecuteExW sem validação adequada.
Impacto: Execução de comandos no contexto do usuário e possível instalação de malware.
Mitigação: Atualizar para versão 11.2510+, bloquear .md suspeitos e monitorar chamadas de ShellExecute.
4. CharlieKirk Grabber – Stealer em Python para Windows
Descrição: Malware empacotado com PyInstaller rouba credenciais, cookies e senhas Wi-Fi.
Exploração: Distribuído via phishing/cracks, usa LOLBins (NETSH, TASKKILL, PowerShell) e exfiltra via Discord/Telegram.
Impacto: Sequestro de contas, roubo de sessões e possível movimentação lateral.
Mitigação: Aplicar MFA, bloquear execução em diretórios temporários, monitorar exfiltração e uso de LOLBins.
5. CVE-2026-20127 – Bypass de autenticação no Cisco Catalyst SD-WAN
Descrição: Falha crítica permite acesso administrativo não autenticado ao vManage/vSmart.
Exploração: Requisições malformadas contornam autenticação e permitem controle do plano SD-WAN.
Impacto: Manipulação de rotas, tráfego e topologia de rede corporativa.
Mitigação: Aplicar patches obrigatoriamente, isolar interfaces de gerenciamento e revisar logs externos.
6. CVE-2026-2441 – Zero-day no Chrome/Chromium
Descrição: Corrupção de memória no motor de renderização permite RCE ao processar conteúdo web malicioso.
Exploração: Renderização de HTML/JS especialmente criado aciona acesso fora de limites.
Impacto: Execução de código no navegador, roubo de tokens e comprometimento de pipelines CI/CD.
Mitigação: Atualizar navegadores e runtimes Chromium, isolar serviços headless e revisar containers/imagens base.
Para obter mais detalhes e verificar a versão completa do documento desta publicação, acesse-o clicando aqui.
