Esta publicação tem como objetivo divulgar o documento desenvolvido pela equipe de Threat Intelligence da Service IT Security que foi desenvolvido e fundamentado utilizando as documentações oficiais do NIST (National Institute Of Standards and Technology), MITRE e CVE.org, que são conhecidas mundialmente na área de cibersegurança, como modelo e padronização de melhores práticas de segurança, pesquisa de metodologias de ataques e defesa cibernética, e pesquisa e catalogação de novas vulnerabilidades em sistemas operacionais e aplicações.
Vulnerabilidades e Ameaças Descobertas:
1. Phishing no LinkedIn visa executivos financeiros
Descrição: Campanha de phishing no LinkedIn finge convites para conselhos de administração, visando roubo de credenciais Microsoft.
Exploração: Mensagens diretas levam a páginas falsas com CAPTCHA e Cloudflare Turnstile para coleta de senhas e cookies de sessão.
Impacto: Comprometimento de contas corporativas e risco de movimentação lateral em ambientes Microsoft 365.
Mitigação: Verificar autenticidade de mensagens, evitar links diretos, aplicar filtros de links e educar usuários sobre phishing direcionado.
2. Airstalk: nova família de malware para Windows
Descrição: Malware Airstalk rouba credenciais de navegadores e explora APIs MDM (AirWatch) para comunicações encobertas.
Exploração: Usa PowerShell e .NET com API AirWatch, criando canais “dead drop” para exfiltração sem conexão direta.
Impacto: Roubo de cookies, históricos e capturas de tela, afetando redes corporativas e endpoints gerenciados.
Mitigação: Monitorar tráfego MDM, revisar certificados, atualizar sistemas e aplicar EDR para detectar comunicação anômala.
3. Vulnerabilidades em plugins do Jenkins
Descrição: 13 plugins do Jenkins possuem falhas críticas, incluindo bypass SAML (CVE-2025-64131) e exposição de credenciais.
Exploração: Ataques permitem autenticação indevida, execução de builds e exposição de dados via CSRF e XXE.
Impacto: Comprometimento de pipelines CI/CD e risco de execução de código não autorizado.
Mitigação: Atualizar plugins SAML e MCP, remover extensões obsoletas e aplicar proteção CSRF e controle de permissões.
4. AzureHound usado para reconhecimento malicioso
Descrição: Ferramenta legítima de auditoria Azure está sendo usada para reconhecimento em ataques por grupos APT.
Exploração: Explora APIs Graph e REST para mapear usuários, permissões e recursos críticos em tenants Azure.
Impacto: Permite escalonamento de privilégios e comprometimento de identidades em nuvem.
Mitigação: Monitorar consultas suspeitas no Azure, aplicar princípio de menor privilégio e habilitar MFA forte.
5. Vulnerabilidade Brash no motor Blink
Descrição: Falha crítica no Blink (Chromium) permite travar navegadores via abuso da API document.title.
Exploração: Injeção de milhões de atualizações de título por segundo causa sobrecarga e travamento.
Impacto: Afeta Chrome, Edge, Opera e Brave, podendo causar DoS em 3 bilhões de dispositivos.
Mitigação: Evitar sites suspeitos e atualizar navegadores para versões corrigidas.
6. Falha crítica no plugin Anti-Malware para WordPress (CVE-2025-11705)
Descrição: Plugin vulnerável permite que assinantes leiam arquivos arbitrários como wp-config.php.
Exploração: Abusa da função GOTMLS_ajax_scan() sem verificação adequada de autorização.
Impacto: Exposição de credenciais e chaves de banco de dados em mais de 100 mil sites.
Mitigação: Atualizar para versão 4.23.83+, monitorar plugins e aplicar validação de permissões.
7. Vulnerabilidade crítica no WSUS (CVE-2025-59287)
Descrição: Falha no WSUS permite execução remota de código com privilégios de sistema.
Exploração: Atacantes não autenticados exploram falha residual de patch anterior para comprometer servidores.
Impacto: Controle total do servidor WSUS e possível movimentação lateral.
Mitigação: Aplicar patch de outubro/25, reiniciar servidores e monitorar processos suspeitos.
8. Gunra Ransomware vulnerável em versão Linux
Descrição: Erro no algoritmo ChaCha20 permite decifrar arquivos da versão Linux do Gunra.
Exploração: Uso da função time() gera chaves previsíveis, facilitando força bruta.
Impacto: Possível recuperação de dados sem pagamento de resgate.
Mitigação: Atualizar sistemas, usar IDS/EDR e manter backups offline regulares.
9. Falha no Kernel Linux (CVE-2025-40086)
Descrição: Referências nulas em processos de bind de VMs causam travamentos e instabilidade.
Exploração: Desalocação indevida de buffers em drm/xe gera ponteiros nulos.
Impacto: Risco de falhas de sistema e negação de serviço.
Mitigação: Aplicar patch do kernel e monitorar logs por erros de memória.
Para obter mais detalhes e verificar a versão completa do documento desta publicação, acesse-o clicando aqui.
