Esta publicação tem como objetivo divulgar o documento desenvolvido pela equipe de Threat Intelligence da Service IT Security que foi desenvolvido e fundamentado utilizando as documentações oficiais do NIST (National Institute Of Standards and Technology), MITRE e CVE.org, que são conhecidas mundialmente na área de cibersegurança, como modelo e padronização de melhores práticas de segurança, pesquisa de metodologias de ataques e defesa cibernética, e pesquisa e catalogação de novas vulnerabilidades em sistemas operacionais e aplicações.
Vulnerabilidades e Ameaças Descobertas:
1. ClickFix usa nslookup para entregar payload via DNS
Descrição: Variante da campanha ClickFix utiliza o nslookup.exe para recuperar payload codificado no campo “Name” de respostas DNS.
Exploração: Usuários são induzidos a executar comandos e o DNS controlado pelo atacante entrega código malicioso de forma evasiva.
Impacto: Execução remota de código, movimentação lateral e exfiltração de dados com baixa detecção.
Mitigação: Monitorar logs DNS, criar regras EDR para nslookup anômalo, bloquear domínios suspeitos e treinar usuários.
2. Site falso do Google Forms rouba credenciais
Descrição: Campanha de phishing usa domínio semelhante ao Google Forms para capturar credenciais de candidatos a emprego.
Exploração: Links enviados por e-mail/LinkedIn redirecionam para página falsa com coleta de login Google.
Impacto: Comprometimento de contas Google/Workspace e possível fraude e movimentação lateral.
Mitigação: Bloquear IOCs, reforçar MFA, aplicar filtros antiphishing e conscientizar usuários.
3. CVE-2024-43468 – RCE no Microsoft Configuration Manager
Descrição: Falha crítica de injeção SQL permite execução remota de código não autenticada no ConfigMgr/SCCM.
Exploração: Requisições malformadas exploram o serviço para executar comandos no servidor e banco de dados.
Impacto: Comprometimento total da infraestrutura gerenciada e controle administrativo do ambiente.
Mitigação: Aplicar patches imediatamente, segmentar rede, restringir acesso ao servidor e monitorar logs.
4. CVE-2026-1357 – RCE no plugin WPvivid Backup & Migration
Descrição: Plugin WordPress com mais de 900 mil instalações permite upload arbitrário e execução remota de código.
Exploração: Falha na descriptografia RSA e ausência de sanitização permitem envio de arquivos PHP maliciosos.
Impacto: Tomada completa do site e possível instalação de webshell.
Mitigação: Atualizar para versão 0.9.124, desabilitar função vulnerável e monitorar uploads suspeitos.
5. Add-in malicioso do Outlook rouba 4.000+ credenciais
Descrição: Add-in “AgreeTo” teve infraestrutura abandonada e foi sequestrado para exibir phishing dentro do Outlook.
Exploração: Domínio reaproveitado hospedou página falsa de login Microsoft carregada via iframe confiável.
Impacto: Roubo de credenciais, dados financeiros e possível acesso a e-mails corporativos.
Mitigação: Remover add-in, bloquear domínio malicioso, revogar sessões, aplicar MFA e auditar logs.
Para obter mais detalhes e verificar a versão completa do documento desta publicação, acesse-o clicando aqui.
