Esta publicação tem como objetivo divulgar o documento desenvolvido pela equipe do comitê editorial da Service IT Security que foi desenvolvido e fundamentado utilizando as documentações oficiais do NIST (National Institute Of Standards and Technology), MITRE e CVE.org, que são conhecidas mundialmente na área de cibersegurança, como modelo e padronização de melhores práticas de segurança, pesquisa de metodologias de ataques e defesa cibernética, e pesquisa e catalogação de novas vulnerabilidades em sistemas operacionais e aplicações.
Vulnerabilidades e Ameaças Descobertas:
1 – Hackers Abusando do Microsoft Teams & Quick Assist.
Descrição: Hackers estão explorando o Microsoft Teams e o Quick Assist para obter acesso remoto a dispositivos, utilizando técnicas de engenharia social e ferramentas legítimas como o OneDriveStandaloneUpdater.exe para execução de malwares e persistência. Grupos como Black Basta e Cactus estão envolvidos.
Exploração:
Ataques iniciam com sobrecarga de e-mails maliciosos;
Invasores utilizam identidades falsas no Teams para solicitar acesso remoto;
Arquivos maliciosos são extraídos para o OneDrive e usados para sideload de DLL maliciosa (winhttp.dll);
Persistência estabelecida via BackConnect, permitindo execução remota e movimentação lateral.
Impacto:
Acesso total ao dispositivo comprometido;
Movimentação lateral e execução de comandos remotamente;
Roubo de credenciais e dados sensíveis.
Mitigação:
Restringir o uso de ferramentas de acesso remoto não autorizadas;
Implementar MFA e monitoramento rigoroso no Teams;
Bloquear IPs maliciosos conhecidos;
Monitorar sideload de DLLs e atividades suspeitas usando Trend Vision One;
Adotar políticas de Zero Trust e treinamentos contínuos
2 – Vulnerabilidade Crítica no Palo Alto Firewall (CVE-2025-0108)
Descrição: Falha crítica de TOCTOU no VMware ESXi e Workstation permite que invasores executem código arbitrário no hipervisor, escapem de sandbox e vazem dados confidenciais.
Exploração:
CVE-2025-22224: Exploração de condição de corrida para execução de código no hipervisor;
CVE-2025-22225: Escape de sandbox e acesso ao kernel para execução de malware;
CVE-2025-22226: Vazamento de memória do hipervisor, expondo dados críticos.
Impacto:
Controle completo sobre sistemas virtuais e movimentos laterais;
Comprometimento de ambientes de nuvem e clusters inteiros;
Roubo de credenciais e dados confidenciais.
Mitigação:
Aplicar patches imediatamente: ESXi80U3d-24585383, ESXi70U3s-2458529, Workstation 17.6.3, Fusion 13.6.3;
Monitorar atividades anômalas de VMs e acessos privilegiados;
Alinhar correções com cronogramas KEV da CISA;
Implementar defesa proativa contra ameaças avançadas.
Para obter mais detalhes e verificar a versão completa do documento desta publicação, acesse-o clicando aqui.
