Esta publicação tem como objetivo divulgar o documento desenvolvido pela equipe de Threat Intelligence da Service IT Security, que foi desenvolvido e fundamentado utilizando as documentações oficiais do NIST (National Institute Of Standards and Technology), MITRE e CVE.org, que são conhecidas mundialmente na área de cibersegurança, como modelo e padronização de melhores práticas de segurança, pesquisa de metodologias de ataques e defesa cibernética, e pesquisa e catalogação de novas vulnerabilidades em sistemas operacionais e aplicações.
Vulnerabilidade 0-Day no Windows PowerShell possibilita a execução remota de código malicioso por atacantes
Zero-day no PowerShell permite execução arbitrária de comandos sem geração adequada de logs, operando de forma furtiva e fileless.
Exploração: O ataque ocorre via Invoke-WebRequest, onde conteúdo HTML malicioso é interpretado e executado, resultando em command injection (CWE-77). Requer interação local do usuário.
Impacto: Permite execução de código no contexto do usuário, comprometimento de automações, exfiltração de dados, movimentos laterais e possível cascata operacional em ambientes corporativos.
Mitigação: Aplicar patches Microsoft (KBs listadas), revisar scripts que usam Invoke-WebRequest, restringir execução de PowerShell via AppLocker/WDAC, usar Constrained Language Mode e monitorar eventos 4104/4688 para hunting.
A Service IT Security segue monitorando ativamente novas exposições e mantendo seus clientes informados de qualquer evolução relevante.
👉 Para obter mais detalhes e verificar a versão completa do documento desta publicação, acesse-o clicando aqui.
