Dataprev revisa números e confirma vazamento de 2,8 milhões de CPFs no Meu INSS

A Dataprev informou nesta terça-feira (26) que o vazamento de dados relacionado ao sistema Meu INSS atingiu cerca de 2,8 milhões de CPFs. O número é superior ao divulgado inicialmente, quando a estimativa apontava exposição de aproximadamente 2 milhões de segurados. Segundo a estatal responsável pela gestão tecnológica da Previdência Social, cerca de 98% dos CPFs expostos pertencem a pessoas já falecidas. Ainda assim, aproximadamente 52 mil pessoas vivas tiveram informações como data de nascimento acessadas durante o incidente ocorrido em abril. Os dados foram apresentados por Edmar dos Santos Ferreira Junior, representante da Dataprev, durante reunião do Conselho Nacional da Previdência Social. Falha ocorreu em consulta do Meu INSS De acordo com a Dataprev, as investigações identificaram uma vulnerabilidade em um serviço de consulta do Meu INSS. O sistema, que deveria exigir autenticação por login, acabou permitindo acesso sem a etapa de validação de segurança. Segundo Ferreira Junior, a consulta fazia parte de uma área originalmente protegida, mas apresentava uma resposta indevida quando acessada em ambiente público. “O sistema estava dentro de uma interface autenticada, porém aceitava consultas sem a exigência adequada de login”, explicou. A empresa informou ainda que o problema ficou ativo por apenas um dia e foi corrigido assim que identificado. Novas medidas de segurança Como resposta ao incidente, a Dataprev afirmou que está implementando atualizações para reforçar a segurança do sistema. Entre as mudanças previstas está a limitação de consultas, permitindo que cada usuário realize apenas uma verificação de CPF por vez. As investigações sobre a origem e o impacto total do vazamento continuam em andamento.Fonte: https://convergenciadigital.com.br/governo/dataprev-amplia-numero-de-cpfs-vazados-em-falha-do-meu-inss-agora-foram-28-milhoes/ acesso em 26 de maio de 2026 às 22:17
Apple barra milhões de aplicativos suspeitos e evita fraudes bilionárias na App Store

A Apple divulgou novos dados sobre suas ações de segurança na App Store e informou que mais de 2 milhões de aplicativos foram rejeitados em 2025 por apresentarem riscos de fraude, abuso ou violação das diretrizes da plataforma. Segundo a empresa, os mecanismos de proteção também impediram a criação de mais de 1,1 milhão de contas fraudulentas e bloquearam aproximadamente US$ 2,2 bilhões em transações consideradas potencialmente maliciosas ao longo do ano. A companhia atribui os resultados à combinação entre inteligência artificial e análise humana, utilizada para identificar comportamentos suspeitos, detectar padrões de fraude e acelerar o processo de revisão de aplicativos. De acordo com a Apple, mais de US$ 11 bilhões em fraudes já foram evitados nos últimos seis anos. Contas falsas e desenvolvedores banidos Além de barrar novas contas fraudulentas, a Apple informou que desativou cerca de 40,4 milhões de contas por atividades ligadas a fraude e abuso em 2025. A empresa também rejeitou mais de 138 mil tentativas de cadastro de desenvolvedores e encerrou aproximadamente 193 mil contas de desenvolvedores suspeitas de envolvimento em práticas maliciosas. Outro foco das ações de segurança foi o combate a canais ilegais de distribuição de aplicativos. Segundo a Apple, cerca de 28 mil apps maliciosos foram identificados e bloqueados em lojas piratas que distribuíam malware, versões adulteradas de softwares e outros conteúdos nocivos. Somente no último mês, a companhia afirma ter impedido 2,9 milhões de tentativas de instalação ou execução de aplicativos distribuídos fora da App Store ou de marketplaces alternativos autorizados. Milhões de análises e avaliações fraudulentas Durante 2025, a App Store recebeu mais de 9,1 milhões de aplicativos para avaliação. Desse total, mais de 1,2 milhão de novos apps e cerca de 800 mil atualizações foram recusados por descumprirem as políticas da plataforma. Entre os principais motivos para rejeição estavam funcionalidades ocultas, aplicativos enganosos do tipo “bait-and-switch” — quando o app promete uma função e entrega outra após a aprovação —, além de spam, clones e violações de segurança. Ao mesmo tempo, aproximadamente 306 mil novos desenvolvedores foram aprovados para atuar na plataforma. A Apple também revelou que analisou cerca de 1,3 bilhão de avaliações e reviews em 2025, identificando e bloqueando aproximadamente 195 milhões considerados fraudulentos. As medidas de segurança também impediram o uso de mais de 5,4 milhões de cartões de crédito roubados em compras ilegítimas e resultaram no banimento de quase 2 milhões de contas de usuários envolvidas em atividades suspeitas. Em comunicado, a Apple afirmou que suas políticas de proteção têm como objetivo garantir mais segurança para usuários e criar um ambiente mais confiável para desenvolvedores dentro da App Store. Fonte: https://seginfo.com.br/2026/05/22/apple-rejeita-mais-de-2-milhoes-de-apps-e-bloqueia-fraudes-bilionarias-na-app-store/ acesso em 26 de maio de 2026 às 22:14
Inteligência artificial pode transformar satélites em possíveis armas no espaço

Avanços recentes em inteligência artificial estão acendendo um alerta no setor espacial. Especialistas apontam que, nos próximos anos, sistemas autônomos podem viabilizar ataques cibernéticos em larga escala contra satélites, com o risco de provocar colisões em cadeia e comprometer a segurança do ambiente orbital por longos períodos. O aviso foi feito por pesquisadores do centro de cibersegurança CR14, da Estônia, em entrevista ao site Space.com. Agentes de IA como ameaça orbital Segundo Kristjan Keskküla, líder do Space Cyber Range do CR14, a principal preocupação está na capacidade da IA de agir de forma independente, tomando decisões, analisando dados e até identificando novas vulnerabilidades. Ele destaca que muitos satélites antigos ainda em operação não contam com proteção cibernética adequada, tornando-se alvos fáceis para invasores. Esses dispositivos poderiam ser sequestrados e usados como “armas orbitais”, sendo direcionados para colidir com outros satélites. Redução da barreira técnica Outro ponto de atenção é a redução da complexidade técnica para explorar esses sistemas. Andrzej Olchawa, engenheiro de cibersegurança espacial da VisionSpace, explica que modelos avançados de linguagem já conseguem interpretar dados complexos, como telemetria e comandos de satélites, sem a necessidade de conhecimento aprofundado. Isso diminui significativamente a barreira de entrada para possíveis ataques. Uso de IA por grupos de ameaça Embora ainda não haja registros de ataques desse tipo utilizando IA, sinais de alerta já existem. De acordo com Clémence Poirier, pesquisadora da ETH Zurique, grupos ligados a governos têm usado essas tecnologias para identificar falhas em sistemas espaciais. Em 2024, por exemplo, empresas como OpenAI e Microsoft relataram que o grupo russo Fancy Bear utilizou ferramentas baseadas em IA para investigar comunicações via satélite e sistemas de radar. Cenário de colisão catastrófica Os especialistas alertam que um ataque intencional poderia gerar milhares de detritos na órbita terrestre baixa — região onde está concentrada a maior parte dos satélites — criando um efeito em cadeia perigoso e duradouro. Com cerca de 8 mil satélites lançados apenas nos últimos três anos e um número crescente de constelações em operação, o risco se torna ainda mais preocupante. Para se preparar, o CR14 já realiza simulações desses cenários em ambientes virtuais, com equipes atuando tanto na defesa quanto no ataque. Fonte: https://www.cisoadvisor.com.br/ia-pode-transformar-satelites-em-armas-orbitais/ acesso em 31 de março de 2026 às 10:26.
Sistema financeiro brasileiro registra alta de fraudes e soma 12 milhões de indícios em 2025

O sistema financeiro do Brasil contabilizou cerca de 12 milhões de indícios de fraude ao longo de 2025, de acordo com um levantamento da Quod baseado em dados do Registro Unificado de Fraudes (Rufra). O volume representa um avanço significativo em relação ao ano anterior e evidencia o crescimento desse tipo de crime no país. Maior compartilhamento amplia visibilidade dos casos Parte desse aumento está relacionada à ampliação da troca de informações entre instituições financeiras, impulsionada por novas exigências regulatórias. Com mais empresas integradas ao sistema e maior transparência, o número de registros cresce — revelando, ao mesmo tempo, a real dimensão das fraudes. Fraudes recorrentes e foco em públicos mais jovens Os dados apontam ainda que muitos consumidores foram alvo de tentativas repetidas, o que indica uma atuação contínua e direcionada por parte dos criminosos. Outro ponto de atenção é a maior concentração de casos entre pessoas mais jovens, reforçando a necessidade de ações específicas de prevenção e educação digital. Tecnologia avança, mas golpes também evoluem O cenário atual reflete tanto o avanço das ferramentas de detecção — com uso de inteligência analítica e integração de dados — quanto a sofisticação das estratégias criminosas. Entre as práticas mais comuns estão o uso de dados vazados, engenharia social e exploração de falhas em processos digitais. Fraude em escala exige resposta estruturada Para as instituições financeiras, o desafio se tornou mais complexo. A fraude deixou de ser pontual e passou a ocorrer em larga escala, exigindo estratégias mais robustas, com análise contínua, correlação de informações e respostas rápidas. Prevenção e cooperação são fundamentais Medidas como autenticação multifator, monitoramento em tempo real, validação rigorosa de identidade e integração com bases externas se tornam cada vez mais essenciais. Além disso, o compartilhamento seguro de dados entre organizações surge como um fator decisivo na redução de riscos. Ecossistema mais maduro e consciente das ameaças O crescimento dos registros não indica apenas mais tentativas de fraude, mas também um avanço na capacidade do sistema financeiro de identificar e compreender essas ameaças. O cenário atual revela um ecossistema mais preparado — e mais consciente da complexidade dos desafios que enfrenta. Fonte: https://seginfo.com.br/2026/03/23/sistema-financeiro-registra-12-milhoes-de-indicios-de-fraude-em-2025/ acesso em 31 de março de 2026 às 10:29.
Cibersegurança no setor privado ganha papel estratégico para a segurança nacional, dizem líderes da NSA

Durante a RSA Conference 2026, autoridades ligadas ao U.S. Cyber Command (CYBERCOM), braço da National Security Agency (NSA), destacaram que a proteção digital das empresas se tornou peça-chave para a segurança nacional. O painel reuniu os quatro últimos diretores do comando, que analisaram a evolução dos conflitos cibernéticos e seus impactos em governos e organizações. Ataques miram serviços essenciais A discussão destacou como a ciberguerra tem atingido diretamente estruturas críticas da sociedade. Setores como energia, abastecimento de água, sistema financeiro e transporte estão entre os principais alvos, com ataques capazes de gerar interrupções relevantes e efeitos em cadeia na economia e no cotidiano da população. Ameaças exploram fragilidades estratégicas Na avaliação dos especialistas, adversários internacionais têm focado em comprometer operações essenciais, explorando vulnerabilidades que podem desestabilizar países sem a necessidade de confrontos militares tradicionais. Esse cenário tem pressionado governos a acelerar o desenvolvimento de estratégias mais robustas de defesa digital. Infraestrutura privada amplia riscos Nos Estados Unidos, cerca de 85% da infraestrutura crítica está nas mãos da iniciativa privada, o que amplia a responsabilidade das empresas. Ataques a essas organizações podem gerar impactos tão graves quanto os direcionados a órgãos governamentais, indicando uma mudança no foco das ameaças cibernéticas. Origem do CYBERCOM e evolução dos desafios O general Keith Alexander, primeiro diretor do CYBERCOM, relembrou que a criação do comando, em 2008, ocorreu após a identificação de malwares em redes sigilosas do governo. Desde então, a expansão de dados e sistemas digitais tornou a proteção ainda mais complexa. Cooperação entre governo e empresas é essencial Os participantes reforçaram que governos não conseguem enfrentar sozinhos o atual nível de risco. A colaboração com o setor privado e o amadurecimento das práticas de segurança nas empresas são considerados fundamentais para aumentar a resiliência cibernética. Para o almirante Mike Rogers, ex-diretor do comando, as empresas já reconhecem a importância de investir em segurança para manter suas operações. No entanto, ele avalia que os governos ainda precisam avançar, adotando medidas mais estruturadas e até regulatórias. Impactos comparáveis a conflitos tradicionais Rogers também destacou que ataques cibernéticos podem gerar efeitos semelhantes aos de ações militares convencionais em determinados cenários, o que exige maior prioridade e preparo por parte das nações. Experiência operacional fortalece defesa Outro ponto abordado foi a importância da experiência adquirida em operações cibernéticas ofensivas. Segundo o general Paul Nakasone, ações realizadas em regiões como o Oriente Médio ajudaram a desenvolver conhecimento estratégico para enfrentar ameaças digitais, especialmente de países como Rússia e China. Tecnologias emergentes elevam o nível de atenção Os diretores também alertaram para o impacto de tecnologias como a inteligência artificial, que ampliam tanto as capacidades de defesa quanto de ataque no ambiente digital. Para o general Tim Haugh, atual líder do CYBERCOM, o grande desafio é garantir que a inovação seja aplicada com segurança, protegendo sistemas críticos e a estabilidade da sociedade em um cenário cada vez mais complexo. Fonte: https://seginfo.com.br/2026/03/27/diretores-da-nsa-destacam-papel-da-ciberseguranca-corporativa-na-seguranca-nacional/ acesso em 31 de março de 2026 às 10:33
Google atualiza Chrome para corrigir falhas exploradas em ataques cibernéticos

A Google lançou uma atualização emergencial de segurança para o navegador Chrome com o objetivo de corrigir duas vulnerabilidades consideradas críticas e que estavam sendo exploradas em ataques reais. As falhas, identificadas como CVE-2026-3909 e CVE-2026-3910, afetam usuários dos sistemas Windows, macOS e Linux, e foram descobertas pela própria equipe de segurança da empresa. Falhas permitiam execução de código Segundo a Google, uma das vulnerabilidades está relacionada a uma falha de gravação fora dos limites na biblioteca gráfica Skia, que poderia ser utilizada para provocar travamentos no navegador ou até permitir a execução de códigos maliciosos. A segunda falha foi identificada no motor V8, responsável pela execução de JavaScript e WebAssembly, e envolve uma implementação inadequada que também pode ser explorada por invasores. Em comunicado oficial, a empresa confirmou que existem evidências de exploração ativa das duas vulnerabilidades, mas não divulgou detalhes técnicos adicionais por questões de segurança. Atualização já está disponível As correções foram incluídas nas versões: A Google informou que a atualização automática pode levar alguns dias ou semanas para chegar a todos os usuários, mas a instalação manual já pode ser feita nas configurações do navegador. Terceira falha zero-day em 2026 Com essa atualização, chegam a três as vulnerabilidades zero-day corrigidas no Chrome apenas em 2026. Em fevereiro, a empresa já havia lançado um patch para a falha CVE-2026-2441, relacionada a um erro em recursos de fontes CSS. No ano passado, a Google corrigiu oito falhas zero-day, muitas delas identificadas pelo Grupo de Análise de Ameaças (TAG), equipe interna responsável por monitorar ataques avançados. A recomendação da empresa é que os usuários mantenham o navegador sempre atualizado para evitar riscos de invasões e roubo de dados. Fonte: https://www.cisoadvisor.com.br/chrome-atualiza-para-corrigir-falhas-exploradas-em-ataques/acesso em 16/03/2026 às 11:41
Meta vai encerrar chat com criptografia de ponta a ponta no Instagram a partir de maio de 2026

A Meta anunciou que deixará de oferecer suporte ao recurso de criptografia de ponta a ponta (E2EE) nas conversas do Instagram a partir de 8 de maio de 2026. A mudança afetará os usuários que utilizam o sistema de mensagens diretas com proteção extra de privacidade dentro da plataforma. De acordo com a empresa, os usuários que tiverem conversas protegidas por criptografia receberão orientações dentro do aplicativo para baixar mensagens, fotos e vídeos antes da desativação do recurso. Em alguns casos, será necessário atualizar o aplicativo para conseguir salvar os conteúdos. Baixa adesão motivou decisão Em nota, a Meta informou que a decisão foi tomada porque poucos usuários estavam utilizando a criptografia de ponta a ponta no Instagram. Segundo a empresa, quem quiser continuar usando mensagens com esse nível de proteção poderá fazer isso pelo WhatsApp, que mantém a criptografia ativada por padrão. A criptografia de ponta a ponta garante que apenas as pessoas envolvidas na conversa consigam ler as mensagens, impedindo o acesso por terceiros, inclusive pela própria plataforma. Recurso foi testado desde 2021 A Meta começou a testar a criptografia nas mensagens diretas do Instagram em 2021, dentro do plano de reforçar a privacidade nas redes sociais, iniciativa anunciada pelo CEO Mark Zuckerberg. O recurso nunca foi ativado para todos os usuários por padrão e permaneceu disponível apenas em algumas regiões. Em 2022, após o início da guerra entre Rússia e Ucrânia, a empresa liberou mensagens criptografadas para usuários adultos nesses países. Debate entre privacidade e segurança A decisão acontece em meio a discussões globais sobre o uso de criptografia em redes sociais. Recentemente, o TikTok afirmou que não pretende adotar criptografia de ponta a ponta em mensagens diretas, alegando que a tecnologia pode dificultar a proteção dos usuários, especialmente menores de idade. Relatórios anteriores também indicaram que a própria Meta recebeu alertas internos sobre possíveis dificuldades para identificar crimes, como exploração infantil ou propaganda terrorista, quando as mensagens são totalmente criptografadas. Autoridades de segurança defendem que a criptografia pode dificultar investigações, pois impede o acesso ao conteúdo das conversas mesmo com autorização judicial, situação conhecida como “going dark”, quando as informações ficam inacessíveis para as autoridades. Discussão internacional continua A Comissão Europeia deve apresentar ainda este ano um plano para avaliar soluções que permitam o acesso legal a dados criptografados, tentando equilibrar privacidade, segurança digital e combate ao crime. Com o fim do recurso no Instagram, a Meta reforça a estratégia de concentrar as mensagens criptografadas principalmente no WhatsApp, aplicativo que já utiliza esse sistema de proteção de forma padrão. Fonte: https://thehackernews.com/2026/03/meta-to-shut-down-instagram-end-to-end.html acesso em 16/03/2026 às 20:25
Banco Central propõe regras mais rígidas para uso de nuvem, TI e segurança cibernética no sistema financeiro

O Banco Central do Brasil abriu consulta pública para atualizar as normas que regulam a infraestrutura tecnológica do sistema financeiro nacional. A proposta prevê regras mais rigorosas para tecnologia da informação, computação em nuvem e segurança cibernética das Instituições Operadoras de Sistemas do Mercado Financeiro, com novas exigências de planejamento, auditoria e controle. Plano obrigatório de Tecnologia da Informação Entre as principais mudanças está a exigência de que cada instituição elabore e mantenha um Plano Diretor de Tecnologia da Informação (PDTI). O documento deverá orientar as estratégias e objetivos da área de TI, além de ser revisado anualmente. As instituições também terão que monitorar formalmente a execução do plano e produzir relatórios anuais, que deverão permanecer disponíveis para o Banco Central por pelo menos cinco anos. Segundo o regulador, a medida se justifica pela rápida evolução da tecnologia no sistema financeiro, tornando necessário um planejamento contínuo para garantir segurança e eficiência. O PDTI passará a ter o mesmo nível de importância do Plano Diretor de Segurança da Informação, já exigido atualmente. Regras mais duras para serviços em nuvem no exterior A proposta também endurece as regras para contratação de serviços de computação em nuvem prestados por empresas estrangeiras. As instituições terão que comprovar que possuem mecanismos eficazes de continuidade de negócios, incluindo testes periódicos para garantir o funcionamento das operações mesmo em caso de interrupção do serviço fora do país. Além disso, o Banco Central poderá exigir que os prestadores de serviço forneçam informações diretamente ao regulador, inclusive em português, sempre que solicitado. Avaliação obrigatória de cibersegurança a cada dois anos Outro ponto importante da proposta é a definição de uma periodicidade mínima para a avaliação das estruturas de segurança da informação e segurança cibernética, que deverá ocorrer pelo menos a cada dois anos. A análise terá duas etapas obrigatórias: O mesmo modelo também será aplicado à gestão de continuidade de negócios. De acordo com o Banco Central, a norma atual não detalhava o tipo de auditoria necessário, o que permitia contratações com qualidade abaixo do esperado. Consulta pública aberta por 90 dias As mudanças fazem parte de ajustes na Resolução BCB nº 304, de 2023, que regula o funcionamento dos sistemas de liquidação e registro de ativos financeiros no Sistema de Pagamentos Brasileiro. A proposta completa está disponível no portal Participa + Brasil e no site do Banco Central. O prazo para envio de contribuições é de 90 dias, e as manifestações só serão aceitas por meio do formulário oficial disponibilizado pelo órgão. Fonte: https://convergenciadigital.com.br/governo/banco-central-vai-apertar-regras-de-uso-de-nuvem-ti-e-seguranca-cibernetica-do-sistema-financeiro/ acesso em 16/03/2025 às 17:58
Receita Federal divulga regras do Imposto de Renda 2026 e amplia uso de ferramentas digitais

A Receita Federal anunciou nesta segunda-feira (16) as regras para a Declaração do Imposto de Renda Pessoa Física 2026, referente ao ano-calendário 2025. Entre as principais mudanças estão o aumento do limite de renda que obriga a declaração, a ampliação da declaração pré-preenchida e a manutenção da prioridade na restituição para contribuintes que utilizarem Pix e recursos digitais. O anúncio foi feito durante coletiva no Ministério da Fazenda e por meio de norma publicada no Diário Oficial da União. Novo limite para obrigatoriedade Uma das principais alterações é o aumento do valor mínimo de rendimentos tributáveis que obrigam o envio da declaração. Em 2026, deve declarar quem recebeu mais de R$ 35.584 em 2025.No ano anterior, o limite era de R$ 33.888. Segundo a Receita Federal, a atualização acompanha ajustes na tabela do imposto e reduz o número de contribuintes obrigados a declarar. Declaração pré-preenchida desde o primeiro dia A Receita também ampliou o uso da declaração pré-preenchida, que reúne automaticamente diversas informações fiscais do contribuinte. Entre os dados incluídos automaticamente estão: Em 2026, a declaração pré-preenchida estará disponível desde o primeiro dia do prazo de entrega, que começa em 23 de março. O acesso poderá ser feito por quem possui: A medida, segundo o órgão, reduz erros no preenchimento e agiliza o processamento das declarações. Prioridade na restituição para quem usar Pix A Receita manterá a prioridade na restituição para contribuintes que utilizarem a declaração pré-preenchida e indicarem chave Pix com CPF para receber o valor. Esses contribuintes terão prioridade logo após os grupos que já possuem preferência legal, como: Prazo de envio da declaração O período para entrega da declaração começa em 23 de março de 2026, às 8h, e termina em 29 de maio de 2026, às 23h59. O envio poderá ser feito pelos seguintes canais: Mais integração digital A Receita Federal destacou que vem ampliando o uso de tecnologia para facilitar o preenchimento e aumentar o controle sobre as informações enviadas. Com a integração de bases de dados, diversos dados fiscais já aparecem automaticamente na declaração, o que reduz inconsistências e melhora o cruzamento de informações pelo Fisco. O acesso aos serviços pode ser feito pela conta Gov.br ou por certificado digital, que permite consultar dados fiscais, acompanhar o processamento da declaração e utilizar a pré-preenchida com maior segurança. Resumo das principais mudanças A Receita recomenda que os contribuintes não deixem para enviar a declaração nos últimos dias para evitar erros e atrasos na restituição. Fonte: https://cryptoid.com.br/contabil-e-fiscal/receita-federal-divulga-novas-regras-e-amplia-ferramentas-digitais/ acesso em 16/03/2026 às 15:17
Falhas recentes no SolarWinds podem ter sido exploradas como zero-days, alerta Microsoft

A Microsoft emitiu um alerta informando que ataques direcionados a instâncias do SolarWinds Web Help Desk (WHD) expostas à internet podem ter explorado vulnerabilidades recém-corrigidas como zero-days, possibilitando o acesso inicial de invasores aos ambientes afetados. Segundo a empresa, os ataques fizeram parte de uma campanha de intrusão em múltiplas etapas identificada em dezembro de 2025. Nesse cenário, agentes maliciosos comprometeram implantações vulneráveis do WHD para executar comandos em PowerShell, além de baixar e executar cargas adicionais nos sistemas atingidos. Apesar da análise conduzida, a Microsoft afirma não ter conseguido determinar com exatidão quais vulnerabilidades foram utilizadas, uma vez que os sistemas comprometidos estavam suscetíveis tanto a falhas antigas quanto a vulnerabilidades mais recentes do SolarWinds, já conhecidas por estarem sendo exploradas ativamente. Vulnerabilidades envolvidas De acordo com a investigação, o produto afetado apresentava falhas relacionadas aos seguintes CVEs: A vulnerabilidade CVE-2025-26399 é classificada como uma falha de execução remota de código (RCE) não autenticada, causada por deserialização insegura no componente AjaxProxy. Trata-se de um bypass de correções anteriores associadas aos CVEs CVE-2024-28988 e CVE-2024-28986. Já a CVE-2025-40551 possui a mesma origem no componente AjaxProxy e também permite RCE não autenticada por meio da deserialização de dados não confiáveis. Essa falha foi recentemente incluída no catálogo de vulnerabilidades exploradas ativamente (KEV) da CISA, o que reforça seu alto nível de criticidade. A CVE-2025-40536, por sua vez, representa um bypass de mecanismos de segurança que pode permitir a criação de instâncias válidas do AjaxProxy, viabilizando a exploração da CVE-2025-40551 para execução remota de código. “Como os ataques ocorreram em dezembro de 2025 e os sistemas estavam vulneráveis simultaneamente a CVEs antigos e novos, não é possível afirmar com segurança qual vulnerabilidade foi explorada para o acesso inicial”, destacou a Microsoft. Persistência e movimentação lateral Após o comprometimento inicial, os atacantes estabeleceram persistência no ambiente por meio da instalação da ferramenta legítima de monitoramento e gerenciamento remoto (RMM) ManageEngine, além da criação de acessos reversos utilizando SSH e RDP. Também foi identificada a criação de uma tarefa agendada para iniciar uma máquina virtual QEMU com privilégios de sistema, explorando o ambiente virtualizado como técnica de evasão e permitindo acesso SSH por meio de encaminhamento de portas. Em alguns casos, os invasores recorreram à técnica de DLL sideloading para acessar a memória do processo LSASS, com o objetivo de extrair credenciais. Credenciais de alto privilégio também foram utilizadas em ataques do tipo DCSync, permitindo a solicitação direta de dados de senha aos controladores de domínio. Recomendações de mitigação A Microsoft orienta que as organizações adotem as seguintes medidas: Segundo a empresa, o incidente reforça um padrão recorrente de alto impacto: “Uma única aplicação exposta pode ser suficiente para permitir o comprometimento completo de um domínio quando vulnerabilidades não são corrigidas ou monitoradas adequadamente. Nesta intrusão, os atacantes utilizaram amplamente técnicas de living off the land, ferramentas administrativas legítimas e mecanismos de persistência de baixo ruído”, concluiu a Microsoft. Fonte: www.cisoadvisor.com.br acesso em 10/02/2025 às 11:48
