O Diário do Analista
Vol. 2  |  N. 5  |  Pp. 136–140  |  2026  |  ISSN xxxx-xxxx

Hashcat v7.1.2 expõe estações de análise a 3 vulnerabilidades críticas sem correção

Publicado por: Adriano Cansian.
Data de publicação: 18 de maio de 2026 às 22:43.
Data de atualização: 18 de maio de 2026 às 22:52.
Identificador: ark:/69775/c11921 .

Esse é um alerta particularmente importante para equipes e profissionais de cibersegurança que precisam executar operacões de quebra de senhas com finalidade de recuperação de contas, análise forense, verificação de compliance, pentests, e outras pesquisas e operações de segurança de forma gerall

O hashcat v7.1.2 [1] [2], ferramenta amplamente usada para recuperação de senhas e cracking offline de hashes, está associado a três vulnerabilidades críticas sem correção publicada até o momento: CVE-2026-42482, CVE-2026-42483 e CVE-2026-42484. As três falhas receberam pontuação CVSS 9.8 e afetam o processamento de entradas não confiáveis, como arquivos de regras, hashes Kerberos e hashes PKZIP, criando risco direto para a própria máquina do analista ou pesquisador que executa a ferramenta.

Organizações, equipes de pesquisa, laboratórios, pentesters, e demais profissionais que utilizam hashcat em atividades de auditoria, pesquisa, pentest ou resposta a incidentes devem tratar imediatamente o uso da versão 7.1.2 como operação de risco e restringi-la a ambientes controlados até a publicação de atualização corretiva. O ponto crítico deste alerta é simples: o arquivo analisado pode ser a arma, e a estação do analista pode ser o alvo.

No momento da escrita desse relatório, existe pelo menos uma PoC de exploração publicada no GitHub.

Sobre o número de vulnerabilidades

Este alerta refere-se a 3 CVEs oficiais (CVE-2026-42482, CVE-2026-42483, CVE-2026-42484) publicadas no NVD/MITRE em 1º de maio de 2026 com CVSS 9.8.

Uma pesquisa independente (sgInnora, Gist GitHub) reportou 6 achados de segurança [3] em hashcat v7.1.2, mas apenas 3 foram oficializados como CVEs até o momento. Os outros 4 achados (relacionados a “weak authentication“) ainda não receberam CVEs oficiais pelo MITRE/NVD [web:96][web:92].

Recomenda-se monitorar o repositório do projeto [2] para atualizações sobre os outros achados.

Resumo executivo

O risco central não está em um serviço exposto do hashcat, mas no fato de que a exploração ocorre quando a vítima processa localmente um arquivo malicioso que aparenta ser legítimo para atividades de auditoria, pentest, resposta a incidentes ou CTF. Em termos práticos, o operador baixa um hash, uma regra ou um material de teste de origem não confiável, executa o hashcat normalmente e dispara um overflow no host local, com impacto potencial em confidencialidade, integridade e disponibilidade.

CVE Componente afetado Tipo Vetor prático Impacto provável
CVE-2026-42482 Rule engine Stack buffer overflow Carregamento de arquivo .rule malicioso ou uso de regras que expandem candidatos sem validação adequada. DoS confiável e possibilidade de exploração mais limitada por proteções modernas de pilha.
CVE-2026-42483 Parser Kerberos Heap buffer overflow Processamento de hashes Kerberos forjados, inclusive em cenários de Kerberoasting. Maior potencial de execução arbitrária de código por envolver escrita em heap com dados controlados pelo atacante.
CVE-2026-42484 Parser PKZIP Heap buffer overflow Processamento de hashes PKZIP maliciosos extraídos de arquivos ZIP protegidos por senha. DoS e potencial execução de código no contexto do processo hashcat.

Detalhamento técnico

CVE-2026-42482 [4]: reside na engine de regras, em rotinas associadas à conversão de candidatos para hexadecimal, o que pode duplicar o tamanho do conteúdo processado sem a devida validação do buffer de destino. Na prática, um arquivo .rule malicioso pode causar estouro de buffer já no carregamento da regra, mesmo quando a sessão aparenta ser normal para o operador.

CVE-2026-42483 [5]: afeta o parser de hashes Kerberos, que calcula comprimentos a partir de delimitadores presentes na string recebida e usa esse valor em operações de cópia sem um limite superior adequado para o buffer de destino. Esse cenário é particularmente sensível em fluxos de Kerberoasting, porque o pesquisador ou pentester frequentemente transfere hashes de um ambiente controlado por terceiros para a própria estação de análise e pode acionar a falha ao iniciar o cracking offline.

CVE-2026-42484 [6]: está no parser PKZIP, em uma rotina de decodificação hexadecimal para binário que pode operar sobre dados excessivos sem checagem adequada de tamanho em determinados fluxos de processamento. Como cracking de arquivos ZIP protegidos por senha é comum em avaliações de segurança e desafios técnicos, esse vetor é relevante para laboratórios, equipes de pentest e ambientes acadêmicos.

Cenário de ataque

O cenário mais plausível é um ataque por arquivo malicioso disfarçado de insumo legítimo de trabalho. Um ator malicioso pode publicar uma regra adulterada em repositório público, compartilhar hashes Kerberos obtidos em ambiente hostil ou distribuir um hash PKZIP preparado para exploração; quando o analista executa o hashcat v7.1.2 em sua estação, o overflow ocorre localmente e o atacante passa a mirar a máquina do próprio operador.

Esse modelo é especialmente perigoso porque se encaixa em fluxos normais de trabalho em cibersegurança: coleta de artefatos para cracking offline, uso de wordlists e rules de terceiros, atividades de CTF, análise de amostras e testes de robustez de credenciais. Em outras palavras, a cadeia de confiança é invertida: a ferramenta usada para avaliar a segurança de credenciais pode se tornar o vetor de comprometimento da estação que a executa.

Ambiente afetado

As falhas decorrem de código-fonte compartilhado do hashcat e, por isso, afetam as plataformas em que a ferramenta é suportada, incluindo Linux, Windows e macOS. O comprometimento ocorre no host que executa o hashcat, com os privilégios do usuário que iniciou o processo, independentemente de o material analisado ter sido obtido pela rede, por e-mail, por repositório público ou por mídia removível.

Impacto para organizações

O impacto operacional é alto para equipes de pentest, resposta a incidentes, threat intelligence, forense e pesquisa acadêmica, porque esses grupos lidam rotineiramente com artefatos oriundos de ambientes não confiáveis. Um comprometimento bem-sucedido pode levar à interrupção da análise, exfiltração de dados, instalação de persistência, roubo de credenciais e movimentação lateral a partir da estação do pesquisador ou analista.

Mitigações recomendadas

  • Não executar hashcat v7.1.2 em estações principais, hosts administrativos ou máquinas com acesso a credenciais sensíveis ao processar entradas de terceiros.

  • Isolar o uso da ferramenta em máquina virtual descartável, com snapshots, mínimo privilégio e sem acesso direto a dados institucionais críticos.

  • Tratar arquivos .rule, hashes Kerberos, hashes PKZIP e outros artefatos de cracking como conteúdo potencialmente malicioso, mesmo quando publicados em plataformas conhecidas.

  • Restringir o uso de hashcat em fluxos automatizados até que haja versão corrigida, implementando validações prévias de tamanho e formato nas entradas sempre que possível.

  • Monitorar crashes, comportamento anômalo do processo hashcat, tentativas inesperadas de conexão de saída e alterações locais após sessões de cracking.

  • Inventariar rapidamente ambientes com hashcat v7.1.2 por meio do comando hashcat --version e estabelecer política temporária de isolamento para qualquer operação que envolva material externo.

Situação de correção

Os relatórios públicos consultados indicam que as três CVEs foram publicadas no fim de abril e início de maio de 2026 e que, até o momento desta redação, não havia correção oficialmente disponibilizada em release do projeto para o hashcat v7.1.2. [2] Há menções públicas a correções propostas e discussões técnicas [7], mas a recomendação prática permanece a mesma: assumir a versão 7.1.2 como insegura para processamento de material não confiável fora de ambientes isolados.

Referências

[1] Hashcat Project – https://hashcat.net/hashcat/

[2] Hashcat GitHub – https://github.com/hashcat/hashcat

[3] sgInnora, Gist GitHub – https://gist.github.com/sgInnora/107f2eb20367e47d58c911e38d56a91f

[4] CVE-2026-42482 (NVD) – https://nvd.nist.gov/vuln/detail/CVE-2026-42482

[5] CVE-2026-42483 (NVD) – https://nvd.nist.gov/vuln/detail/CVE-2026-42483

[6] CVE-2026-42484 (NVD) – https://nvd.nist.gov/vuln/detail/CVE-2026-42484

[8] Jolanda de Koff. Hashcat 7.1.2 Has Three Unpatched Vulnerabilities That Can Compromise Your Machine

 

Tags: , , , .

Categorias: Alerta, CVE, Vulnerabilidade, Zero Day.

Adriano Cansian Adriano Mauro Cansian, Doutor em Física Computacional e Professor Associado e pesquisador da UNESP - Universidade Estadual Paulista, possui 30 anos de experiência em pesquisa, desenvolvimento e ensino de segurança cibernética. Fundador e coordenador do Laboratório ACME! Cybersecurity Research, e revisor das revistas "Computers & Security" e "International Journal of Forensic Computer Science", consultor e membro de vários comitês e organizações técnicas para promover a pesquisa em segurança da informação, além de atuar como voluntário em organizações de governança da Internet.