Esta publicação tem como objetivo divulgar o documento desenvolvido pela equipe de Threat Intelligence da Service IT Security que foi desenvolvido e fundamentado utilizando as documentações oficiais do NIST (National Institute Of Standards and Technology), MITRE e CVE.org, que são conhecidas mundialmente na área de cibersegurança, como modelo e padronização de melhores práticas de segurança, pesquisa de metodologias de ataques e defesa cibernética, e pesquisa e catalogação de novas vulnerabilidades em sistemas operacionais e aplicações.
Vulnerabilidades e Ameaças Descobertas:
1. Vulnerabilidades de Elevação de Privilégios no Windows (Windows LPE)
Descrição: Falhas de elevação de privilégios locais permitem que usuários com acesso inicial obtenham controle total do Windows.
Exploração: Exploradas pós-comprometimento via serviços mal configurados, ACLs incorretas, drivers inseguros, COMs vulneráveis e unquoted service paths.
Impacto: Escalada para SYSTEM, bypass de UAC, instalação de malware persistente e ampliação do controle do atacante.
Mitigação: Aplicar patches, auditar permissões/ACLs, corrigir serviços sem aspas, atualizar/remover drivers vulneráveis e reforçar hardening do sistema.
2. Sites falsos do WinRAR distribuem o malware Winzipper
Descrição: Campanha usa sites falsos do WinRAR para distribuir o trojan Winzipper por meio de instaladores trojanizados.
Exploração: Download de ZIP/SFX malicioso executa setup.hta em memória, gerando o processo nimasila360.exe e evitando detecção baseada em arquivo.
Impacto: Backdoor remoto, roubo de dados, perfilamento do sistema e possível movimento lateral em ambientes corporativos.
Mitigação: Baixar software apenas de fontes oficiais, bloquear domínios maliciosos, monitorar execução em memória e aplicar EDR/AppLocker.
3. Falha crítica no plugin Modular DS do WordPress
Descrição: Vulnerabilidade crítica (CVE-2026-23550) permite bypass de autenticação e acesso administrativo remoto.
Exploração: Modo direct request aceita requisições confiáveis sem validação criptográfica, expondo rotas sensíveis do plugin.
Impacto: Controle total do WordPress, criação de admins maliciosos, backdoors e comprometimento da hospedagem.
Mitigação: Atualizar para a versão 2.5.2+, desativar o plugin se necessário, auditar usuários, regenerar salts e revisar integridade dos arquivos.
4. Abuso de provedores de nuvem e CDN para hospedagem de phishing
Descrição: Atacantes hospedam kits de phishing em serviços legítimos como Azure, AWS, Firebase e Google Sites.
Exploração: Conteúdo malicioso é servido por domínios confiáveis, burlando filtros baseados apenas em reputação.
Impacto: Roubo de credenciais corporativas, acesso a e-mails e sistemas internos e maior dificuldade de detecção.
Mitigação: Usar análise comportamental, sandboxing, inspeção de HTML/JS, MFA resistente a phishing e integração com threat intelligence.
5. Falha no Windows Remote Assistance contorna Mark of the Web (CVE-2026-20824)
Descrição: Vulnerabilidade permite contornar o Mark of the Web em arquivos baixados via Windows Remote Assistance.
Exploração: Falha no processamento do conteúdo permite tratar arquivos maliciosos como confiáveis após interação do usuário.
Impacto: Evasão de controles de segurança, possível execução de código e comprometimento da confidencialidade.
Mitigação: Aplicar KBs da Microsoft, desabilitar Remote Assistance se não utilizado, reforçar AppLocker/WDAC e filtrar anexos suspeitos.
Para obter mais detalhes e verificar a versão completa do documento desta publicação, acesse-o clicando aqui.
