Acompanhando algumas notícias recentemente a China acusou a NSA de ter realizado um ataque ao serviço de tempo (National Time Service Center) responsável por manter e transmitir o horário de Pequim
Assim como alguns problemas geopolíticos recentes do Brasil com o Estados Unidos, em que surgiu rumores da possibilidade de bloquearem o serviço de GPS, o Time Service poderia ter causado um grande caos para os chineses, parando serviços como comunicação de rede e até sistemas financeiros.
O mais interessante é que tudo começou por um ataque de triangulação de celulares e em seguida o roubo de credenciais.
E várias vezes já pegamos de problemas de autenticação relacionados ao Active Directory em que a causa raiz era os relógios dessincronizados.
João Fuzinelli, formado em Sistemas de informação possui algumas certificações de mercado e vasta experiência em ambientes de infraestrutura crítica e cibersegurança. Atualmente trabalha nas operações de SOC da CYLO Cybersecurity.
Recentemente, venho trabalhando com a coleta e identificação de IOCs (Indicators of Compromise), analisando indicadores dos mais diversos tipos que, de alguma forma, foram ou estão sendo associados a atividades maliciosas ou ilícitas no ambiente digital. artefatos esses que podem ser endereços IP, domínios, hashes, chaves de registro e até e-mails.
Essa coleta é importante, pois, com ela, é possível garantir uma visibilidade mais abrangente em um ambiente, otimizando a detecção de, como o nome sugere, “indicadores de comprometimento” em um sistema ou rede de sistemas.
Durante a coleta desses artefatos, dúvidas foram levantadas internamente, sendo as principais:
A data de validade de um IOC deve ser a mesma, independentemente do tipo de artefato?
Um indicador de comprometimento deve possuir uma validade?
Qual é o prazo de validade ideal para um IOC?
Acredito que parte da resposta para essas perguntas pode ser encontrada na famosa “The Pyramid of Pain”, um modelo interessante que visa dividir tipos de indicadores em camadas, baseando-se no formato de uma pirâmide. A ideia é: quanto mais próximo um tipo de IOC está da base da pirâmide, maior será a facilidade de um adversário alterar esse indicador.
Como é possivel observar, na base da pirâmide encontramos “Endereços Hash” mas o que isso significa? Basicamente um endereço Hash tem a função de servir como uma “Impressão digital” de um arquivo ou processo no sistema, ou seja, cada arquivo existente, receberá um valor HASH único que tem o papel de identifica-lo (inclusive arquivos maliciosos).
Sem dúvidas, é uma fonte poderosa de informação, tornando possível a identificação de malwares conhecidos simplesmente com a coleta desse artefatos, porém, um fato que “enfraquece” a utilização de hash como IOC é que uma simples alteração de qualquer binário nesse arquivo acarretará na atribuição de um novo valor identificador completamente diferente para esse arquivo. Portanto, adversários podem, com muita facilidade, alterar o endereço hash de seus scripts maliciosos e evadir detecções previamente criadas em sistemas de segurança mais simples. Justamente por essa versatilidade de alteração nos valores, os endereços hash encontram-se na base da Pyramid of Pain.
Criação de um arquivo de texto nomeado “hash.txt” onde foi adicionado o valor “Isso é um malware cuidado!” é possivel ver o endereço HASH SHA-256 deste arquivo recém criado.Modificação do arquivo “hash.txt” recém criado, adicionando mais um carácter ” ! “ alterando seu valor inicial, endereço HASH SHA-256 foi COMPLETAMENTE alterado
Sabendo da facilidade que um Adversário possui para modificar qualquer binário em seus scripts, surge uma dúvida: “Qual seria a validade ideal para um IOC do tipo HASH?” Na minha visão, a resposta mais adequada seria: “Depende do quão bem é possível identificar o objetivo do Adversário“. Essa lógica se aplica não apenas as HASHES, mas também a outros tipos de Indicadores, como IPs, chaves de registro, domínios etc..
Tendo como exemplo atacantes que têm como principal objetivo “lucrar sem olhar a quem”, são agentes de ameaça que irão desenvolver scripts maliciosos buscando atrair o máximo de usuários desavisados possível a executar o seu malware, por meio de ataques de cryptojacking, adwares ou infostealers, que geralmente ficam abertamente disponíveis para download em websites que possuem títulos chamativos, como “Baixe mais memória RAM” ou “Cupom grátis de R$100,00 na Amazon”.
O ponto focal do tipo de kill chain adotado por esse adversário é que não há um alvo específico definido. Seu objetivo é infectar o máximo de vítimas e gerar lucro em um período de tempo pré-definido. Depois de esgotado esse tempo, o adversário provavelmente desaparecerá, não sendo muito relevante se o seu script for reconhecido e coletado como artefato em algum momento e bloqueado pela empresa “XYZ”, visto que muitos outros foram induzidos a serem infectados.
Para situações como a descrita acima, é sim importante coletar o máximo de indicadores possíveis e adicioná-los às suas regras de detecção. Porém, como essas campanhas “não direcionadas” costumam não ficar ativas por muito tempo, é plausível entender que não há necessidade da adoção de uma data de validade extensa, podendo, neste caso, configurar esses indicadores para serem detectados em um menor período de tempo.
Em contrapartida, há, de igual modo, cenários — ainda que mais raros — em que o agente de ameaça terá como alvo escolhido a dedo você ou a sua empresa. Nesses casos, toda a cadeia de ataque desenvolvida pelos adversários será inspirada em vulnerabilidades encontradas em seu ambiente. Situações como essas são atribuídas a agentes de ameaça mais experientes, tornando provável que os seus analistas de segurança sejam os primeiros a coletar certos artefatos. Cabe a eles identificá-los e entender seus graus de periculosidade.
Ao tomar ciência de que você está na mira de um atacante persistente, disposto a fazer de tudo para atingir seu objetivo final, os artefatos coletados devem, consequentemente, possuir um prazo de validade mais extenso. Pois, nesse cenário, não há como prever por quanto tempo você será um alvo. Campanhas direcionadas costumam durar meses ou até anos, e, nesse período, é de extrema importância coletar o máximo de IOCs possível.
Quanto mais indicadores forem detectados e bloqueados, maior será a necessidade de alteração dos artefatos utilizados pelo atacante, tornando-se um trabalho exaustivo para ele. Neste cenário, vale lembrar que a simples coleta de indicadores não é suficiente para mitigar um ataque persistente, sendo ainda necessária uma série de políticas bem desenvolvidas e ferramentas de segurança e monitoramento bem configuradas.
Para concluir, é certo que se faz necessária a adição de datas de validade para indicadores de comprometimento. Porém, deve-se levar em consideração sempre o cenário ao qual esses IOCs estão sendo atribuídos, assim como identificar se o tipo de ataque ao qual esses artefatos estão relacionados está direcionado exclusivamente a você ou ao seu ambiente, ou se está espalhado pela internet, a fim de atingir um alto volume de vítimas não relacionadas umas com as outras. A renovação de IOCs deve ser encarada como uma política de segurança essencial para o ambiente de toda empresa, e a definição do seu tempo de validade deve ser levantada e considerada com muita cautela.
Graduado em Análise e Desenvolvimento de Sistemas pela Universidade Paulista, e Pós-graduando em “Defensive Cyber Security” pela FIAP, atua como N1 no time de SOC da CYLO, é responsável por realizar a primeira análise e resposta de incidentes cibernéticos, realizou capacitações no campo de SOC/CSIRT, tendo como destaque os treinamentos promovidos pela CERT.BR em conjunto com a instituição Carnegie Mellon University “Foundations of Incident Management” e “Advanced Topics in Incident Handling”
Este alerta de segurança aborda a descoberta do HybridPetya, uma nova variante de ransomware que representa uma evolução significativa nas ameaças de firmware. Identificado em fevereiro de 2025, ele combina características dos notórios malwares Petya e NotPetya, que causaram estragos entre 2016 e 2017. A principal inovação do HybridPetya é sua capacidade de comprometer sistemas modernos baseados em UEFI, explorando a vulnerabilidade CVE-2024-7344 para contornar o Secure Boot em máquinas que não aplicaram as atualizações de revogação (dbx) da Microsoft de janeiro de 2025.
Embora ainda não haja evidências de campanhas ativas, a sofisticação técnica do HybridPetya exige atenção e preparação por parte dos profissionais de segurança.
Análise Técnica do HybridPetya
O HybridPetya, assim como seus predecessores, tem como alvo a Master File Table (MFT) em partições NTFS, tornando os arquivos do sistema operacional inacessíveis. No entanto, sua abordagem é mais sofisticada, utilizando um bootkit UEFI para garantir sua persistência e execução antes mesmo do carregamento do sistema operacional.
O Bootkit UEFI e o Processo de Criptografia
A principal inovação do HybridPetya é a sua capacidade de instalar uma aplicação EFI maliciosa na EFI System Partition (ESP). Este bootkit é responsável por orquestrar todo o processo de ataque. Uma vez executado, ele utiliza o algoritmo de criptografia Salsa20 para criptografar a MFT. Durante este processo, o malware exibe uma falsa mensagem do CHKDSK, o que leva o usuário a acreditar que o sistema está realizando uma verificação de disco, quando na verdade seus arquivos estão sendo criptografados.
O processo de ataque pode ser resumido da seguinte forma:
Instalação: O malware instala sua aplicação EFI maliciosa na ESP.
Configuração: O bootkit verifica um arquivo de configuração para determinar o estado da criptografia (pronto para criptografar, já criptografado ou resgate pago).
Criptografia: Se o sistema ainda não foi comprometido, o bootkit extrai a chave de criptografia Salsa20 e inicia a criptografia da MFT.
Falsa Verificação: Durante a criptografia, uma mensagem falsa do CHKDSK é exibida para enganar o usuário.
Reinicialização: Após a conclusão da criptografia, o sistema é reiniciado e a nota de resgate é exibida.
Exploração da Vulnerabilidade CVE-2024-7344
Uma das variantes analisadas do HybridPetya explora a vulnerabilidade CVE-2024-7344 para contornar o UEFI Secure Boot. Esta falha de segurança reside em uma aplicação UEFI assinada pela Microsoft, chamada “Reloader“, que permite a execução de código não assinado a partir de um arquivo chamado cloak.dat. O HybridPetya explora essa falha para executar seu bootkit UEFI mesmo em sistemas com o Secure Boot ativado, desde que não tenham recebido as atualizações de revogação da Microsoft.
Diferenças em Relação ao Petya e NotPetya
Apesar das semelhanças, o HybridPetya apresenta diferenças cruciais em relação aos seus predecessores:
Característica
Petya (2016)
NotPetya (2017)
HybridPetya (2025)
Propósito
Ransomware
Destrutivo (wiper)
Ransomware
Recuperação
Possível
Impossível
Possível
Alvo
MBR e MFT
MBR e MFT
MFT (via UEFI)
UEFI
Não
Não
Sim
Propagação
Limitada
Agressiva (rede)
Limitada (até o momento)
É importante notar que, ao contrário do NotPetya, o HybridPetya foi projetado para funcionar como um ransomware tradicional. O algoritmo de geração de chaves, inspirado no proof-of-conceptRedPetyaOpenSSL, permite que o operador do malware reconstrua a chave de descriptografia, tornando a recuperação dos dados possível mediante o pagamento do resgate.
Implicações de Segurança e Mitigação
O surgimento do HybridPetya reforça a importância da segurança de firmware e da necessidade de manter os sistemas atualizados. As seguintes medidas são recomendadas para mitigar o risco de ataques como este:
Atualizações de Firmware e SO: Manter o firmware UEFI e o sistema operacional sempre atualizados é a principal linha de defesa.
Atualizações de Revogação (dbx): Garantir que as atualizações de revogação do Secure Boot da Microsoft sejam aplicadas para bloquear a execução de binários vulneráveis conhecidos, como o explorado pela CVE-2024-7344.
Monitoramento da ESP: Monitorar a EFI System Partition em busca de modificações não autorizadas pode ajudar a detectar a instalação de bootkits UEFI.
Controle de Acesso: Restringir o acesso de gravação à ESP para usuários e processos não privilegiados.
Conclusão
O HybridPetya representa uma nova e sofisticada ameaça no cenário de ransomware, demonstrando a contínua evolução das técnicas de ataque para o nível de firmware. Embora ainda não tenha sido observado em campanhas ativas, seu potencial de dano é significativo, especialmente em ambientes que não seguem as melhores práticas de segurança de firmware. A comunidade de segurança deve permanecer vigilante e proativa na implementação de medidas de defesa para se proteger contra esta e outras ameaças emergentes.
Adriano Mauro Cansian, Doutor em Física Computacional e Professor Associado e pesquisador da UNESP – Universidade Estadual Paulista, possui 30 anos de experiência em pesquisa, desenvolvimento e ensino de segurança cibernética. Fundador e coordenador do Laboratório ACME! Cybersecurity Research, e revisor das revistas “Computers & Security” e “International Journal of Forensic Computer Science“, consultor e membro de vários comitês e organizações técnicas para promover a pesquisa em segurança da informação, além de atuar como voluntário em organizações de governança da Internet.
Este alerta de segurança aborda a descoberta de 14 vulnerabilidades graves que afetam os dispositivos das famílias de produtos Cisco IOS e IOS XE. A mais crítica destas vulnerabilidades, identificada como CVE-2025-20363, possui uma pontuação CVSS de 9.0 (Crítica) e permite a execução remota de código arbitrário sem necessidade de autenticação. A Cisco já disponibilizou as devidas atualizações de correção.
A exploração bem-sucedida destas vulnerabilidades pode levar a uma variedade de consequências danosas, incluindo a tomada de controlo total de dispositivos afetados, negação de serviço (DoS), escalonamento de privilégios e contorno de controlos de acesso. Dada a gravidade e o número de vulnerabilidades, recomenda-se a aplicação imediata das atualizações de segurança disponibilizadas pela Cisco para mitigar os riscos associados.
Vulnerabilidades Críticas
CVSS (Common Vulnerability Scoring System): Indica a gravidade técnica numa escala de 0 a 10.
EPSS (Exploit Prediction Scoring System): Estima a probabilidade de exploração nos próximos 30 dias numa escala de 0 a 1.
Percentil EPSS: Mostra a posição relativa comparada com todas as vulnerabilidades conhecidas. Percentis mais altos indicam maior probabilidade de exploração comparativa.
A lista a seguir resume as vulnerabilidades identificadas com os respectivos identificadores CVE e descrições.
CVE-2025-20363: Vulnerabilidade de estouro de memória que pode permitir a execução remota de código arbitrário. Produtos afetados: Cisco IOS e IOS XE. CVSS 9.0, EPSS 0.00164, Percentil 38.0%
CVE-2025-20334: Injeção de comandos nas interfaces de gestão do IOS XE, permitindo a execução remota de código. Produtos afetados: Cisco IOS XE. CVSS 8.8, EPSS 0.00098, Percentil 28.0%
CVE-2025-20315: Vulnerabilidade de negação de serviço (DoS) no reconhecimento de aplicações de rede do IOS XE. Produtos afetados: Cisco IOS XE. CVSS 8.6, EPSS 0.00105, Percentil 29.2%
CVE-2025-20160: Contorno do controlo de acesso do protocolo TACACS+ em dispositivos IOS e IOS XE. Produtos afetados: Cisco IOS e IOS XE. CVSS 8.1, EPSS 0.00069, Percentil 21.8%
CVE-2025-20352: Vulnerabilidade no SNMP que pode levar a DoS ou escalonamento de privilégios. Produtos afetados: Cisco IOS e IOS XE. CVSS 7.7, EPSS 0.00177, Percentil 39.7%
CVE-2025-20327: Vulnerabilidade que leva a DoS em switches industriais com IOS. Produtos afetados: Cisco IOS. CVSS 6.5, EPSS 0.00122, Percentil 32.1%
CVE-2025-20312: Vulnerabilidade de DoS no SNMP em dispositivos IOS XE. Produtos afetados: Cisco IOS XE. CVSS 6.5, EPSS 0.00174, Percentil 39.4%
CVE-2025-20311: Vulnerabilidade de DoS em dispositivos Cisco Catalyst 9000. Produtos afetados: Cisco Catalyst 9000. CVSS 6.5, EPSS 0.00019, Percentil 3.6%
CVE-2025-20149: Capacidade de um utilizador local causar DoS em dispositivos IOS XE. Produtos afetados: Cisco IOS XE. CVSS 5.5, EPSS 0.00023, Percentil 4.7%
CVE-2025-20240: Vulnerabilidade de Cross-Site Scripting (XSS) na interface de gestão do IOS XE. Produtos afetados: Cisco IOS XE. CVSS 5.4, EPSS 0.00040, Percentil 11.5%
CVE-2025-20338: Escalonamento de privilégios por um utilizador local em dispositivos IOS XE. Produtos afetados: Cisco IOS XE. CVSS 5.5, EPSS 0.00009, Percentil 0.6%
CVE-2025-20293: Contorno do controlo de acesso nos serviços de certificados para certos dispositivos IOS XE. Produtos afetados: Cisco IOS XE. CVSS 5.3, EPSS 0.00017, Percentil 2.8%
CVE-2025-20316: Contorno do controlo de acesso em certos dispositivos IOS XE. Produtos afetados: Cisco IOS XE. CVSS 5.3, EPSS 0.00023, Percentil 4.5%
Interpretação dos Valores EPSS
É importante notar que os valores EPSS apresentados são relativamente baixos (todos abaixo de 0.2%), o que pode parecer contraditório face à gravidade elevada das vulnerabilidades. Esta situação deve-se a estas vulnerabilidades terem sido publicadas muito recentemente (24 a 26 de setembro de 2025). O modelo EPSS baseia-se em dados históricos de exploração real e necessita de tempo para ajustar as suas previsões à medida que mais informações sobre tentativas de exploração se tornam disponíveis. Vulnerabilidades recém-descobertas começam tipicamente com pontuações baixas que aumentam gradualmente conforme os atacantes desenvolvem e implementam exploits. Apesar dos valores EPSS baixos, a gravidade técnica elevada (CVSS) destas vulnerabilidades, especialmente as que permitem execução remota de código, justifica a aplicação imediata das correções de segurança.
Sistemas Afetados
As vulnerabilidades afetam uma vasta gama de dispositivos da família de produtos Cisco IOS e IOS XE. Para uma lista detalhada dos dispositivos e versões de software afetados, é crucial consultar os avisos de segurança oficiais da Cisco.
Ações Recomendadas
Para mitigar os riscos associados a estas vulnerabilidades, recomendam-se as seguintes ações imediatas:
Identificação de Ativos: Realize um inventário completo de todos os dispositivos Cisco IOS e IOS XE presentes na sua rede.
Análise de Vulnerabilidade: Verifique as versões de software dos dispositivos identificados para determinar se estão vulneráveis.
Priorização de Correções: Dê prioridade à aplicação de correções nos dispositivos que estão expostos a redes externas ou que fazem parte de infraestruturas críticas.
Aplicação de Atualizações: Aplique as atualizações de segurança disponibilizadas pela Cisco o mais rapidamente possível, com especial atenção para a vulnerabilidade CVE-2025-20363.
Referências
Para mais informações, consulte os avisos de segurança da Cisco:
Adriano Mauro Cansian, Doutor em Física Computacional e Professor Associado e pesquisador da UNESP – Universidade Estadual Paulista, possui 30 anos de experiência em pesquisa, desenvolvimento e ensino de segurança cibernética. Fundador e coordenador do Laboratório ACME! Cybersecurity Research, e revisor das revistas “Computers & Security” e “International Journal of Forensic Computer Science“, consultor e membro de vários comitês e organizações técnicas para promover a pesquisa em segurança da informação, além de atuar como voluntário em organizações de governança da Internet.
Com o aumento do número de vulnerabilidades descobertas diariamente, conhecer e saber categoriza-las no ambiente que está sendo gerenciado pela equipe de segurança se torna uma medida importante para mitigar os riscos de segurança em um ambiente de T.I.
A etapa da categorização das vulnerabilidades se torna fundamental para a equipe realizar a gestão do risco de forma eficiente e estruturar as ações de defesa do ambiente. Entendendo o que elas representam e seu potencial impacto, conseguimos elaborar um plano de ação mais eficiente e priorizar as ações de defesa.
Para ajudar na categorização, podemos utilizar alguns indicadores padrões de mercado que vão nos ajudar a direcionar o esforço, por exemplo o CVSS e o EPSS.
O CVSS (Common Vulnerability Scoring System), é um indicador padrão utilizado para medir a severidade de vulnerabilidades com um sistema de pontuação padronizado para avaliar e realizar a comparação da gravidade das vulnerabilidades de segurança, aplicando medidas quantitativa para medir o potencial de impacto da vulnerabilidade.
O CVSS atribui pontuações numéricas com base em diferentes métricas, onde este cálculo ajuda a equipe de segurança a priorizar os seus esforços para a correlação de vulnerabilidades e apoiar para uma melhor tomada de decisão para correção ou mitigação das vulnerabilidades.
Para realizar o seu cálculo, o CVSS, vamos exemplificar baseado na versão 3.X, utiliza algumas métricas como principais, como métricas de Base, Temporal e Ambiental. Cada métrica possui características diferentes e um peso no cálculo da pontuação da CVSS.
Métrica de Base são métricas onde são avaliados o potencial dano que a vulnerabilidade pode causar no ambiente, facilidade de exploração e a complexidade do atacante conseguir realizar o ataque bem sucedido.
Métrica Temporal são métricas onde são avaliados a evolução da vulnerabilidade ao longo do tempo, podendo incluir algumas características que são considerados no calculo da sua pontuação, como a maturidade do exploit, facilidade da sua correção, confiabilidade da fonte da informação e a quantidade de evidencias disponíveis.
Métrica Ambiental são métricas relacionadas a importância do impacto real para a organização em particular, baseadas em controles de mitigação que podem existir no ambiente para reduzir ou aumentar o impacto da vulnerabilidade ser explorada no ambiente.
Diante do número elevado de CVSS dos ambientes e com as equipes de segurança enfrentando uma grande dificuldade para priorizar as correções. Um grupo de pesquisadores do FIRST (Forum of Incident Response and Security Teams – https://www.first.org/about/), pensando em resolver esse problema, desenvolveu o EPSS, um modelo para calcular informações sobre exploração das vulnerabilidades e apoiar no direcionamento melhor das ações de correção de vulnerabilidades pela equipe.
O EPSS (Exploit Prediction Scoring System), fornece um “score” que é um indicador baseado em dados do CVSS para estimar a probabilidade de uma vulnerabilidade de software estar sendo explorada ativamente no ambiente, cujo seu objetivo, é auxiliar a equipe de segurança a priorizar os esforços de correção de vulnerabilidades com base no EPSS score.
O EPSS fornece uma perspectiva mais dinâmica e contextual, permitindo que as equipes priorizem vulnerabilidades que estão ativamente sendo exploradas, mesmo que tenham um score no CVSS baixo.
Correlacionando dados de CVSS + EPSS e aplicando inteligencia artificial, concluimos o valor do “Score EPSS”, um indicador mais robusto para a categorização de vulnerabilidades, onde podemos exemplificar conforme informações abaixo :
CVSS alto + EPSS alto = prioridade máxima
CVSS alto + EPSS baixo = monitoramento e mitigação planejada
CVSS baixo + EPSS alto = atenção especial, pois pode indicar ataques em andamento
Com essa informação, conseguimos que as equipe realizem uma gestão de risco mais inteligente, baseada não apenas em um unico indicador, mas também relacionando com a probabilidade real de ataque.
Categorizar as vulnerabilidades com base em métricas como CVSS e EPSS é essencial para uma resposta proativa e eficiente às ameaças cibernéticas. Em vez de reagir a cada alerta, as organizações podem tomar decisões assertivas, proteger seus ativos mais críticos e manter a confiança de seus clientes e parceiros.
Se você gerencia dispositivos Cisco, verifique imediatamente se o Smart Install está ativado e aplique mitigações, especialmente dado as explorações recentes por atores estatais. Consulte o advisory oficial para versões específicas:
Estamos cientes que, apesar de ter sido divulgada há mais de sete anos, a vulnerabilidade CVE-2018-0171 no recurso Smart Install do software Cisco IOS e IOS XE permanece uma ameaça ativa, com explorações recentes por grupos cibernéticos apoiados por governos estrangeiros. Essa falha crítica permite que atacantes remotos não autenticados causem negação de serviço (DoS) ou executem código arbitrário em dispositivos afetados, facilitando o roubo de configurações de rede e o estabelecimento de acesso persistente.
Recentemente, agências como o FBI e a Cisco emitiram alertas sobre o uso contínuo dessa vulnerabilidade por atores estatais russos e chineses, enfatizando a necessidade urgente de mitigações em dispositivos legados ou não atualizados.
A vulnerabilidade CVE-2018-0171 tem uma pontuação EPSS (Exploit Prediction Scoring System) de aproximadamente 0.909, o que corresponde a uma probabilidade de exploração de cerca de 91%. O seu percentil de EPSS é de 98.1%, colocando-a no percentil 100 em termos de probabilidade de exploração.
A CVE-2018-0171 surge de uma validação inadequada de dados em pacotes recebidos pelo recurso Smart Install, que é projetado para simplificar a instalação e configuração automática de switches Cisco. Um atacante pode explorar a falha enviando pacotes maliciosos para a porta TCP 4786, causando um overflow de buffer que leva a recargas inesperadas do dispositivo, crashes ou execução remota de código (RCE).
• Vetor de Ataque: Remoto, sem autenticação necessária. Basta que o dispositivo esteja exposto à rede com o Smart Install ativado (padrão em muitos modelos antigos).
• Impacto Técnico: Pode resultar em extração de arquivos de configuração via TFTP, injeção de comandos ou implantação de implantes como o SYNful Knock para persistência.
• Sistemas Afetados: Switches e roteadores Cisco rodando IOS ou IOS XE com Smart Install ativado, incluindo modelos industriais como os Rockwell Automation Stratix. Dispositivos end-of-life (EOL) são particularmente vulneráveis, pois não recebem mais atualizações.
A fraqueza está associada ao CWE-119 (buffer overflow) e CWE-20 (validação inadequada de entrada), tornando-a explorável por meio de provas de conceito (PoCs) públicas disponíveis desde 2018.
Explorações Recentes e Contexto Histórico
Embora corrigida pela Cisco em março de 2018, a CVE-2018-0171 continua sendo explorada em 2025 devido à persistência de dispositivos não patchados em infraestruturas críticas.
• Atividade Russa (Static Tundra / FSB Center 16): Desde 2022, o grupo russo Static Tundra, ligado ao FSB, explora ativamente a vulnerabilidade para comprometer milhares de dispositivos globais, incluindo roteadores em telecomunicações, educação e manufatura nos EUA, Ásia, África e Europa. Eles usam SNMP para acesso inicial, roubam configurações e implantam túneis GRE para persistência, com foco intensificado em alvos ucranianos desde a guerra Rússia-Ucrânia. O FBI emitiu um alerta em 20 de agosto de 2025, destacando ataques a infraestrutura crítica.
• Atividade Chinesa (Salt Typhoon): Em dezembro de 2024 e janeiro de 2025, o grupo chinês Salt Typhoon explorou a CVE-2018-0171 em conjunto com credenciais roubadas para infiltrar redes de telecomunicações nos EUA, persistindo por mais de três anos. IPs maliciosos de origens como Suíça e EUA foram observados em tentativas de exploração.
Essas campanhas demonstram como vulnerabilidades antigas em dispositivos legados facilitam espionagem cibernética em escala global, com alertas recentes da CSA de Singapura e Cyber.gc.ca reforçando a urgência.
Impacto e Riscos
• Severidade: CVSS 9.8 (Crítica), com alta exploitability devido à ausência de autenticação e PoCs públicas. Probabilidade de exploração (EPSS) é elevada, especialmente em redes expostas.
• Consequências: Roubo de dados sensíveis, DoS em infraestrutura crítica, pivoteamento para outros sistemas e implantação de malware persistente. Setores como telecom, energia e governo são os mais afetados, com potencial para interrupções em massa.
• Por Que Ainda Relevante?: Milhões de dispositivos Cisco EOL ou não patchados permanecem online, detectáveis via ferramentas como Shodan, facilitando scans em massa.
Recomendações e Mitigação
A Cisco recomenda ações imediatas para mitigar o risco:
• Workarounds: Desative o Smart Install com o comando no vstack no modo de configuração global. Bloqueie a porta TCP 4786 via ACLs ou firewalls. Desative SNMP se não essencial, ou use versões seguras (v3 com autenticação).
• Melhores Práticas: Realize scans regulares de vulnerabilidades, monitore tráfego na porta 4786 e adote hardening de rede (ex.: senhas fortes, SSH em vez de Telnet). Use ferramentas como Cisco Talos para inteligência de ameaças.
• Detecção: Verifique logs por acessos SNMP suspeitos ou tentativas na porta 4786.
Epílogo
Essa vulnerabilidade destaca a importância de gerenciar patches em dispositivos de rede, mesmo anos após a divulgação. Organizações com dispositivos Cisco devem priorizar auditorias imediatas, especialmente em ambientes OT ou de infraestrutura crítica, para evitar compromissos por atores como Static Tundra ou Salt Typhoon.
Adriano Mauro Cansian, Doutor em Física Computacional e Professor Associado e pesquisador da UNESP – Universidade Estadual Paulista, possui 30 anos de experiência em pesquisa, desenvolvimento e ensino de segurança cibernética. Fundador e coordenador do Laboratório ACME! Cybersecurity Research, e revisor das revistas “Computers & Security” e “International Journal of Forensic Computer Science“, consultor e membro de vários comitês e organizações técnicas para promover a pesquisa em segurança da informação, além de atuar como voluntário em organizações de governança da Internet.
Estamos cientes de uma vulnerabilidade de alta gravidade, a qual permite que um agente de ameaça cibernética com acesso administrativo a um servidor Microsoft Exchange local aumente privilégios explorando configurações híbridas vulneráveis. Essa vulnerabilidade, se não for corrigida, pode afetar a integridade da identidade do serviço Exchange Online de uma organização. Uma vez explorada, permite que um atacante com acesso administrativo a um servidor MS Exchange local consiga elevar seus privilégios para o ambiente em nuvem (Exchange Online), potencialmente comprometendo todo o domínio.
Ela foi catalogada como a vulnerabilidade CVE-2025-53786 com pontuação CVSS de 8.0 (Alta).
Impacto: Permite que um atacante com acesso administrativo local acesse o ambiente em nuvem sem deixar rastros facilmente detectáveis, explorando a confiança entre o Exchange local e o Exchange Online.
Causa principal: O uso de um service principal compartilhado para autenticação entre o servidor local e a nuvem em configurações híbridas, criando uma ligação que pode ser explorada.
OBSERVAÇÃO: Não há evidências de exploração ativa até o momento, 08 de agosto de 2025, mas a Microsoft classifica a vulnerabilidade como “Exploitation More Likely“ (Exploração Razoavelmente Provável) devido à sua gravidade. Independente de não haver relatos da exploração da vulnerabilidade em larga escala, nós recomendamos fortemente a aplicação de mitigação sugerida nesse documento.
A exploração é particularmente perigosa porque pode passar despercebida. O ataque não gera logs ou alertas evidentes, dificultando a detecção, já que usa funções legítimas do sistema.
RESUMO DA VULNERABILIDADE
O atacante já deve ter privilégios administrativos no servidor Exchange local, por exemplo, via uma senha fraca, outra vulnerabilidade, ação de phishing ou credenciais roubadas.
Como ocorre a exploração da vulnerabilidade:
O atacante acessa as keyCredentials do service principal, armazenadas na configuração do Exchange ou via PowerShell/Graph API.
Com essas chaves, ele gera um token S2S (server-to-server) válido para autenticação na nuvem.
Isso permite acesso a recursos como caixas de e-mail no Exchange Online, envio de e-mails em nome de outros usuários, alterações em configurações de segurança ou até pivô para outros serviços, como SharePoint Online.
Para entender o que é o service principal e o KeyCredentials e como esses se combinam para o ataque, consulte o apêndice desse alerta.
Quais os riscos associados:
Comprometimento de dados sensíveis (e-mails, configurações de segurança).
Movimento lateral para outros serviços na nuvem (como SharePoint).
Potencial para comprometimento total do domínio em ambientes híbridos.
A exploração é particularmente perigosa porque pode passar despercebida, mesmo com ferramentas de monitoramento como Conditional Access ou de autenticação MFA.
MITIGAÇÃO RECOMENDADA
1. Aplicar o hotfix de abril de 2025:
Instale a atualização de segurança em todos os servidores Exchange locais (2016, 2019 ou Subscription Edition) em modo híbrido.
Verifique se os servidores estão dentro do ciclo de suporte (ex.: Exchange 2019 CU14/CU15, Exchange 2016 CU23).
2. Fazer inventário e verificação:
Use o script HealthChecker.ps1 da Microsoft para identificar servidores afetados e gerar relatórios.
3. Migrar para um service principal dedicado:
Execute o Hybrid Configuration Wizard (HCW) atualizado para configurar uma nova entidade de serviço dedicada:
Redefina as keyCredentials do service principal compartilhado:
Connect-MgGraph -Scopes "Application.ReadWrite.All"
$sp = Get-MgServicePrincipal -Filter "displayName eq 'Exchange Hybrid Modern Auth Service Principal'"
Update-MgServicePrincipal -ServicePrincipalId $sp.Id -KeyCredentials @()
4. Adotar boas práticas
Minimize permissões administrativas.
Habilite e monitore logs detalhados.
Desconecte da internet servidores Exchange ou SharePoint em fim de vida (EOL).
Considere migrar para protocolos mais seguros, como Graph API, e reduzir o uso de Exchange Web Services (EWS).
INFORMAÇÕES ADICIONAIS
Descoberta: A vulnerabilidade foi reportada por Dirk-jan Mollema da Outsider Security e apresentada na conferência Black Hat no último dia 6 de agosto de 2025.
Diretiva da CISA: Agências federais dos EUA foram obrigadas a mitigar a falha até 11 de agosto de 2025, mas a recomendação se estende a todas as organizações com ambientes híbridos.
Contexto maior: Tal falha reforça a necessidade de revisar configurações legadas em ambientes híbridos e adotar modelos de zero trust para minimizar riscos.
A keyCredentials é como um “chaveiro” criptográfico, que funciona como uma carteira de identidade do service principal híbrido. Ela é usada para autenticar um servidor Exchange local na nuvem. Na vulnerabilidade CVE-2025-53786, um atacante com acesso administrativo local pode roubar esse chaveiro (keyCredentials) e usá-lo para fazer se passar pelo servidor, acessando o Exchange Online sem deixar rastros óbvios.
O que é um Service Principal?
Um service principal é uma identidade não-humana usada em sistemas da Microsoft (como o Azure Active Directory, agora Microsoft Entra ID) para autenticar aplicativos ou serviços, permitindo que eles interajam com outros recursos na nuvem, como o Exchange Online. No caso de ambientes híbridos do Exchange, o service principal é usado para facilitar a comunicação segura entre o Exchange Server local (on-premises) e o Exchange Online (nuvem).
Função no ambiente híbrido: O service principal híbrido atua como uma “ponte” de autenticação, permitindo que o servidor local execute ações na nuvem, como sincronizar dados, gerenciar caixas de e-mail ou autenticar usuários. Ele é configurado automaticamente pelo Hybrid Configuration Wizard(HCW) durante a criação do ambiente híbrido.
O que é a keyCredentials?
A keyCredentials é uma propriedade do service principal que armazena as chaves criptográficas (certificados ou chaves assimétricas) usadas para autenticar o service principal no Microsoft Entra ID. Essas chaves são essenciais para o processo de autenticação server-to-server (S2S), permitindo que o servidor local consiga provar sua identidade ao acessar recursos na nuvem.
Formato: A keyCredentials contém informações como:
Chave pública de um certificado.
Identificador da chave (keyId).
Tipo de chave (geralmente assimétrica, como RSA).
Datas de validade (início e fim).
Uso: Quando o servidor Exchange local precisa acessar o Exchange Online, ele usa a chave privada correspondente à keyCredentials para assinar um token de autenticação (JWT). Esse token é validado pela nuvem usando a chave pública armazenada na keyCredentials.
Adriano Mauro Cansian, Doutor em Física Computacional e Professor Associado e pesquisador da UNESP – Universidade Estadual Paulista, possui 30 anos de experiência em pesquisa, desenvolvimento e ensino de segurança cibernética. Fundador e coordenador do Laboratório ACME! Cybersecurity Research, e revisor das revistas “Computers & Security” e “International Journal of Forensic Computer Science“, consultor e membro de vários comitês e organizações técnicas para promover a pesquisa em segurança da informação, além de atuar como voluntário em organizações de governança da Internet.
A vulnerabilidade crítica CVE-2025-53770, apelidada de ToolShell, está sendo ativamente explorada por agentes maliciosos para comprometer servidores Microsoft SharePoint on-premises. A falha permite execução remota de código não autenticada, extração de chaves criptográficas sensíveis e implantação de ransomwares.
A exploração ocorre por meio de uma cadeia de ataques que combina as vulnerabilidades CVE-2025-49706 (bypass de autenticação via spoofing) e CVE-2025-49704 (deserialização insegura), possibilitando o controle total dos sistemas afetados.
A ameaça é classificada com CVSS 9.8 (Crítica) e já comprometeu dezenas de organizações públicas e privadas. Este artigo técnico detalha os vetores de ataque, os impactos operacionais, os indicadores de comprometimento (IoCs) e as ações recomendadas de mitigação com base em orientações oficiais da Microsoft.
Nota importante
• Se você utiliza Microsoft SharePoint na nuvem da Microsoft, como parte do pacote Microsoft 365, ESSA VULNERABILIDADE NÃO SE APLICA A VOCÊ. • Se você usa sua própria instalação Microsoft SharePoint on-premises, seja no seu datacenter físico ou em colocation privado, ESSE ALERTA SE APLICA A VOCÊ.
Introdução
A vulnerabilidade CVE-2025-53770, apelidada de ToolShell, é uma falha crítica de execução remota de código (RCE) que afeta servidores on-premises do Microsoft SharePoint. Ela é uma variante da vulnerabilidade anterior CVE-2025-49706 e está sendo ativamente explorada em ataques reais. A exploração ocorre por meio de uma cadeia de vulnerabilidades que combina:
CVE-2025-49706: Permite bypass de autenticação por meio de técnicas de spoofing de rede, proporcionando acesso não autenticado aos sistemas.
CVE-2025-49704: Explora uma deserialização insegura de objetos manipulados, permitindo execução remota de código e acesso autenticado subsequente.
Essa cadeia de exploração, publicamente conhecida como ToolShell, foi demonstrada na competição Pwn2Own Berlin em maio de 2025 e possibilita que atores maliciosos obtenham controle total sobre os servidores SharePoint afetados. Os impactos incluem:
Acesso irrestrito ao conteúdo: Arquivos, configurações internas e sistemas de arquivos armazenados no SharePoint.
Execução remota de código: Capacidade de executar comandos maliciosos na rede interna, incluindo a implantação de web shells (.aspx), executáveis (.exe) e bibliotecas dinâmicas (.dll).
Persistência de acesso: Extração de chaves criptográficas (ValidationKey e DecryptionKey), permitindo a criação de tokens de autenticação forjados, mesmo após a aplicação de patches.
Escalada de ataques: Recentemente, observou-se o uso de técnicas de criptografia de arquivos e a distribuição do ransomware Warlock, indicando um aumento no potencial destrutivo dos ataques.
A vulnerabilidade está relacionada a uma deserialização insegura de dados não confiáveis no endpoint /ToolPane.aspx, explorado por meio de solicitações HTTP POST com cabeçalhos Referer forjados (ex.: apontando para /_layouts/SignOut.aspx). A pontuação CVSS da CVE-2025-53770 é 9.8 (Crítica), refletindo sua gravidade devido à facilidade de exploração e ao impacto devastador.
A combinação de acesso não autenticado, execução de código e implantação de ransomware amplia o risco, podendo resultar em:
Violações de dados sensíveis.
Interrupções operacionais críticas.
Comprometimento de sistemas interconectados na rede.
Detalhes técnicos
A exploração da ToolShell ocorre em duas etapas principais:
Bypass de autenticação (CVE-2025-49706): Atacantes utilizam técnicas de spoofing para enviar solicitações HTTP POST maliciosas, manipulando cabeçalhos Referer e explorando falhas de validação no endpoint /ToolPane.aspx.
Execução remota de código (CVE-2025-49704): A deserialização insegura de objetos manipulados permite a execução de payloads maliciosos, resultando em RCE. Isso inclui a criação de web shells (ex.: spinstall0.aspx) e a extração de chaves criptográficas.
Os atacantes também evoluíram suas táticas, empregando:
Payloads variados: Além dos tradicionais web shells (.aspx) e executáveis (.exe), também foram detectadas bibliotecas dinâmicas (.dll), ampliando a superfície de ataque.
Ransomware Warlock: Técnicas de criptografia de arquivos e distribuição de ransomware foram detectadas, indicando uma escalada no impacto dos ataques.
Essas táticas demonstram a sofisticação dos operadores e reforçam a urgência na aplicação das medidas de mitigação descritas a seguir.
Mitigações recomendadas
A Microsoft lançou atualizações de segurança em 21 de julho de 2025 para as versões suportadas do SharePoint Server (2016, 2019 e Subscription Edition), abordando a CVE-2025-53770 e a CVE-2025-53771 (uma vulnerabilidade de spoofing relacionada, mas não explorada ativamente). As seguintes medidas são recomendadas:
Aplicar patches imediatamente: instale as atualizações de segurança mais recentes para SharePoint Server 2016, 2019 e Subscription Edition.
Habilitar o AMSI: O Antimalware Scan Interface, ativado por padrão em atualizações de setembro de 2023 (SharePoint Server 2016/2019) e na versão 23H2 (Subscription Edition), pode bloquear exploits não autenticados.
Implantar o Microsoft Defender Antivirus: Ative o Defender em todos os servidores SharePoint para detectar e mitigar atividades maliciosas.
Rotacionar chaves criptográficas: Antes e após aplicar patches, rotacione as chaves ValidationKeye DecryptionKey do ASP.NET e reinicie o servidor IIS.
Desconectar servidores expostos: Servidores SharePoint voltados para a internet, especialmente versões obsoletas (ex.: SharePoint Server 2013), devem ser desconectados até serem atualizados.
Monitorar logs: Verifique solicitações POST ao endpoint /_layouts/15/ToolPane.aspx e a criação de arquivos suspeitos, como spinstall0.aspx.
Restringir privilégios: Audite e minimize privilégios administrativos e de layout no SharePoint.
Bloquear IPs maliciosos: Monitore e bloqueie tráfego de IPs associados aos ataques, como 107.191.58.76, 104.238.159.149, 96.9.125.147 e 45.77.155.170.
A exploração da ToolShell é facilitada pela ausência de autenticação necessária e pela capacidade de extrair chaves criptográficas, garantindo acesso persistente. A introdução do ransomware Warlock eleva o risco, podendo causar perdas financeiras e operacionais significativas.
Conclusão
A vulnerabilidade CVE-2025-53770 (ToolShell), combinada com as falhas CVE-2025-49706 e CVE-2025-49704, representa uma ameaça crítica para servidores SharePoint on-premises. A aplicação imediata de patches, a habilitação do AMSI, a rotação de chaves criptográficas e o monitoramento contínuo são essenciais para mitigar os riscos. A escalada para ataques de ransomware, como o Warlock, reforça a necessidade de uma resposta rápida e coordenada. Para mais detalhes, consulte as orientações oficiais da Microsoft Microsoft:
Adriano Mauro Cansian, Doutor em Física Computacional e Professor Associado e pesquisador da UNESP – Universidade Estadual Paulista, possui 30 anos de experiência em pesquisa, desenvolvimento e ensino de segurança cibernética. Fundador e coordenador do Laboratório ACME! Cybersecurity Research, e revisor das revistas “Computers & Security” e “International Journal of Forensic Computer Science“, consultor e membro de vários comitês e organizações técnicas para promover a pesquisa em segurança da informação, além de atuar como voluntário em organizações de governança da Internet.