Um novo relatório revela que 48 nações insulares dependem de apenas 126 cabos submarinos para sua conectividade com a internet, tornando-as vulneráveis a interrupções. A maioria dos danos a esses cabos ocorre devido a ancoragens acidentais, representando entre 70% e 80% dos casos, enquanto o restante é atribuído a falhas técnicas ou ações maliciosas. Nações como Tuvalu, Nauru e Kiribati estão particularmente em risco, pois dependem de um único cabo submarino, o que significa que qualquer interrupção resulta em um apagão total da internet. O relatório também destaca que tensões geopolíticas estão transformando o fundo do mar em um novo campo de batalha, com países como Irã e Reino Unido monitorando a localização desses cabos. A falta de redundância e a dificuldade de monitoramento tornam essas nações ainda mais expostas a possíveis ataques ou danos acidentais, o que pode levar a uma desconexão total e prolongada. A situação é alarmante, pois a conectividade é crucial para a economia e a comunicação dessas nações.

Um pesquisador de cibersegurança divulgou um exploit de prova de conceito para uma vulnerabilidade zero-day no Windows, chamada MiniPlasma, que permite a atacantes obter privilégios de SYSTEM em sistemas Windows totalmente atualizados. O exploit foi publicado por Chaotic Eclipse, que alega que a Microsoft não corrigiu adequadamente uma vulnerabilidade reportada em 2020, identificada como CVE-2020-17103, que afeta o driver ‘cldflt.sys’. O pesquisador afirma que a falha ainda está presente e pode ser explorada, permitindo a criação de chaves de registro sem as devidas verificações de acesso. Testes realizados confirmaram que o exploit funciona em versões atualizadas do Windows 11, mas não na versão Insider Preview. Chaotic Eclipse também criticou o processo de recompensa por bugs da Microsoft, alegando que sua experiência com a empresa foi negativa. O MiniPlasma é o mais recente de uma série de divulgações de zero-days que incluem outras vulnerabilidades, como BlueHammer e RedSun, que já foram exploradas em ataques. A Microsoft foi contatada para comentar sobre a nova vulnerabilidade, mas ainda não respondeu.

Um novo estudo da F-Secure revela que mais da metade dos consumidores americanos, cerca de 56%, enfrentará tentativas de fraudes online mensalmente em 2025. A pesquisa, que abrangeu 10.000 consumidores, mostra que 52% dos afetados perderão dinheiro em ataques, com o número de vítimas financeiras mais que dobrando em relação ao ano anterior. Embora a exposição a fraudes não esteja aumentando tão rapidamente, a eficácia dos golpistas em monetizar ataques está crescendo. Os criminosos estão se concentrando em fraudes de maior valor, como golpes de faturas falsas e fraudes de investimento. A inteligência artificial (IA) tem sido um fator significativo, permitindo que os golpistas aprimorem suas táticas de ataque, incluindo a criação de e-mails personalizados e a utilização de vozes sintéticas. Além disso, 69% dos consumidores acreditam que podem identificar fraudes, mas 43% deles acabaram se tornando vítimas. O estudo também destaca a crescente importância das redes sociais como vetor de ataque, com um aumento de oito vezes nas perdas financeiras entre 2020 e 2025. A pesquisa sugere que as empresas de telecomunicações devem assumir um papel ativo na proteção dos consumidores, já que 93% dos entrevistados acreditam que essas empresas devem oferecer medidas de segurança.

O kit de phishing Tycoon2FA, que já havia sido interrompido por uma operação internacional de aplicação da lei em março, foi rapidamente reestruturado e voltou a operar em níveis normais. Recentemente, foi identificado em uma campanha que utiliza fluxos de autorização de dispositivo OAuth 2.0 para comprometer contas do Microsoft 365. O ataque de phishing com código de dispositivo envolve o envio de um pedido de autorização de dispositivo ao provedor de serviços, enganando a vítima para que insira um código gerado em uma página de login legítima da Microsoft. Isso permite que o atacante registre um dispositivo malicioso com a conta da vítima, obtendo acesso irrestrito a dados e serviços, como e-mails e armazenamento em nuvem. A Push Security relatou um aumento de 37 vezes nesse tipo de ataque este ano, com suporte de pelo menos dez plataformas de phishing como serviço (PhaaS). O Tycoon2FA também implementou camadas adicionais de ofuscação para dificultar a detecção. Especialistas recomendam desabilitar o fluxo de código de dispositivo OAuth quando não necessário e monitorar logs de autenticação para mitigar esses riscos.

Uma nova vulnerabilidade de segurança, identificada como CVE-2026-42945, afeta as versões do NGINX Plus e NGINX Open, com um alto índice de severidade de 9.2 no CVSS. Essa falha, que se trata de um estouro de buffer na memória, permite que atacantes não autenticados possam causar a queda de processos de trabalho ou até executar código remotamente, especialmente em sistemas onde a proteção Address Space Layout Randomization (ASLR) está desativada. A vulnerabilidade foi introduzida em 2008 e, embora a exploração para execução de código remoto (RCE) não seja trivial em configurações padrão, a possibilidade de causar uma negação de serviço (DoS) é considerada uma preocupação urgente. Pesquisadores de segurança já detectaram tentativas de exploração ativas, e recomenda-se que os usuários apliquem as correções mais recentes da F5 para proteger suas redes. Além disso, foram identificadas falhas críticas em openDCIM, que também estão sendo exploradas, destacando a necessidade de atenção redobrada em relação à segurança de aplicações e infraestrutura.

Uma pesquisa da NordVPN revelou que detalhes de cartões de pagamento roubados estão sendo vendidos em mercados da dark web por preços alarmantemente baixos, em torno de £9 (aproximadamente R$ 60) no Reino Unido. Pacotes completos de identidade digital, que incluem cópias de passaportes e carteiras de motorista, podem ser adquiridos por cerca de £30 (R$ 200). A pesquisa destaca que cidadãos britânicos são alvos valiosos, com seus dados sendo vendidos a preços superiores à média europeia. O CTO da NordVPN, Marijus Briedis, enfatiza que a facilidade com que criminosos podem adquirir informações pessoais, por valores equivalentes a um café, torna a situação ainda mais preocupante. A combinação de pequenos dados vazados pode levar a um roubo de identidade mais silencioso e gradual, dificultando a detecção de ataques. Para ajudar os consumidores a entenderem o valor de seus dados, a NordVPN lançou uma calculadora interativa da dark web. A empresa recomenda o uso de senhas únicas e autenticação em múltiplos fatores como medidas de proteção. A conscientização sobre o valor dos dados pessoais é crucial para a proteção contra fraudes e roubo de identidade.

A Grafana, empresa de tecnologia, revelou que um grupo não autorizado obteve um token que permitiu acesso ao seu ambiente no GitHub, possibilitando o download de sua base de código. A investigação da empresa confirmou que não houve acesso a dados de clientes ou informações pessoais, e que não foram identificados impactos nos sistemas dos clientes. Após a descoberta do incidente, a Grafana iniciou uma análise forense e invalidou as credenciais comprometidas, além de implementar medidas de segurança adicionais. O atacante tentou extorquir a empresa, exigindo pagamento para evitar a divulgação da base de dados roubada, mas a Grafana optou por não ceder à chantagem, seguindo a recomendação do FBI, que desencoraja negociações com criminosos. O ataque foi atribuído ao grupo de cibercrime CoinbaseCartel, que se especializa em extorsão de dados e já possui 170 vítimas em diversos setores. A Grafana não divulgou detalhes sobre a base de código acessada, mas oferece soluções como o Grafana Cloud, uma plataforma de observabilidade gerenciada na nuvem. O incidente destaca a crescente ameaça de grupos de extorsão de dados e a importância de medidas de segurança robustas para proteger informações sensíveis.

O grupo de hackers russo Secret Blizzard aprimorou seu malware Kazuar, transformando-o em uma botnet modular de peer-to-peer (P2P) com foco em persistência a longo prazo, furtividade e coleta de dados. Associado ao serviço de inteligência russo (FSB), o Secret Blizzard tem como alvo organizações governamentais, diplomáticas e sistemas críticos na Europa, Ásia e Ucrânia. Desde 2017, o Kazuar tem sido utilizado em ataques, com uma variante recente operando com três módulos distintos: kernel, bridge e worker. O módulo Kernel coordena as tarefas e controla a comunicação entre os sistemas infectados, enquanto o módulo Bridge atua como um proxy de comunicação externo. O Worker realiza operações de espionagem, como captura de telas e coleta de dados do sistema. A versatilidade do Kazuar é destacada, com 150 opções de configuração que permitem aos operadores ajustar a coleta de dados e contornar medidas de segurança. A Microsoft recomenda que as empresas priorizem a detecção comportamental em vez de assinaturas estáticas, dada a natureza evasiva do malware.

Uma vulnerabilidade crítica no plugin Funnel Builder para WordPress está sendo ativamente explorada para injetar código JavaScript malicioso nas páginas de checkout do WooCommerce, com o objetivo de roubar dados de pagamento. A falha afeta todas as versões do plugin anteriores à 3.15.0.3 e é utilizada em mais de 40.000 lojas WooCommerce. A vulnerabilidade permite que atacantes não autenticados injetem JavaScript arbitrário em cada página de checkout, disfarçando o código malicioso como scripts de análise do Google Tag Manager. Isso resulta na instalação de um skimmer de pagamento que captura números de cartões de crédito, CVVs e endereços de cobrança dos usuários durante a finalização da compra. A empresa responsável pelo plugin, FunnelKit, já lançou um patch para corrigir a falha. Os proprietários de sites são aconselhados a atualizar o plugin e revisar as configurações de scripts externos para remover qualquer código suspeito. A situação é alarmante, pois a injeção de código malicioso em plataformas amplamente utilizadas pode ter um impacto significativo na segurança das transações online.

O artigo da TechRadar destaca o Norton VPN como uma excelente opção para iniciantes em cibersegurança, especialmente para usuários que buscam proteger a privacidade online de familiares, como mães. Com uma avaliação de 4.7/5 no Trustpilot, o Norton VPN é elogiado por sua facilidade de uso, permitindo que usuários se conectem rapidamente com um simples clique no botão ‘Conectar’. Além disso, a TechRadar está oferecendo um cartão-presente de $30 da Amazon para quem assinar um dos planos de dois anos, reduzindo o custo efetivo de $59.99 para $29.99. O artigo sugere que, ao instalar o VPN para um familiar, é recomendável ativar a função de Conexão Automática, garantindo que a proteção esteja sempre ativa ao ligar o dispositivo. No entanto, é aconselhável ter cautela com a ativação do ‘kill switch’, que pode causar confusões ao bloquear o acesso à internet. O Norton VPN também oferece uma garantia de devolução do dinheiro em 60 dias, permitindo que os usuários testem o serviço sem riscos financeiros.

Pesquisadores de segurança descobriram uma falha crítica nos cortadores de grama robóticos Yarbo, que estão expostos online com senhas idênticas de administrador. Essa vulnerabilidade permite que hackers acessem remotamente os dispositivos, controlando suas lâminas e coletando informações sensíveis, como endereços de e-mail e senhas de Wi-Fi. O pesquisador Andreas Makris demonstrou a gravidade do problema ao acessar um cortador de 90 kg em Nova York, mostrando que um invasor pode espionar famílias e potencialmente ativar as lâminas do robô. Os cortadores, que operam em mais de 30 países, utilizam sistemas Linux e estão conectados à internet, funcionando como computadores expostos. Apesar das atualizações de firmware, a falha persiste, pois os dispositivos são redefinidos para as mesmas senhas fracas. A Yarbo, com sede em Nova York e origem na China, reconheceu as falhas e implementou algumas medidas de segurança, mas críticos apontam que a empresa ainda mantém um acesso remoto interno, o que levanta preocupações sobre a segurança de dispositivos inteligentes em geral.

Durante o segundo dia da competição Pwn2Own Berlin 2026, realizada entre 14 e 16 de maio, os participantes arrecadaram $385,750 ao explorar 15 vulnerabilidades zero-day em produtos como Windows 11, Microsoft Exchange e Red Hat Enterprise Linux. O evento, que ocorre na conferência OffensiveCon, foca em tecnologias empresariais e inteligência artificial. Os pesquisadores de segurança podem ganhar prêmios que ultrapassam $1,000,000 ao comprometer produtos totalmente atualizados em diversas categorias, incluindo aplicações empresariais e ambientes de nuvem.

Uma vulnerabilidade crítica no plugin Funnel Builder para WordPress está sendo explorada ativamente para injetar trechos de JavaScript malicioso nas páginas de checkout do WooCommerce. Essa falha, que não possui um identificador oficial, pode ser utilizada sem autenticação e afeta todas as versões do plugin anteriores à 3.15.0.3. O Funnel Builder, desenvolvido pela FunnelKit, é amplamente utilizado em mais de 40.000 sites para personalizar páginas de checkout. A empresa de segurança cibernética Sansec detectou que a carga maliciosa se disfarça como um script do Google Tag Manager/Google Analytics, estabelecendo uma conexão WebSocket com um servidor externo. Um atacante pode explorar essa vulnerabilidade para modificar as configurações globais do plugin, permitindo a injeção de JavaScript arbitrário nas configurações de “Scripts Externos”, resultando na execução de código malicioso em todas as páginas de checkout. Essa técnica permite que os criminosos roubem informações sensíveis, como números de cartões de crédito e endereços de cobrança. A FunnelKit lançou uma atualização para corrigir a vulnerabilidade, recomendando que os administradores de sites atualizem imediatamente para a versão mais recente e verifiquem possíveis scripts maliciosos nas configurações do plugin.

O grupo de hackers russo Turla, vinculado ao serviço de segurança FSB, atualizou seu backdoor Kazuar, transformando-o em uma botnet modular e peer-to-peer (P2P) projetada para acesso furtivo e persistente a sistemas comprometidos. Essa evolução, conforme relatado pela Microsoft, visa garantir acesso de longo prazo para coleta de inteligência, especialmente em setores governamentais e de defesa na Europa e na Ásia Central.

O Kazuar agora possui uma arquitetura modular composta por três tipos de módulos: o Kernel, que coordena as atividades da botnet; o Bridge, que atua como um proxy entre o Kernel e o servidor de comando e controle (C2); e o Worker, responsável por coletar dados e executar tarefas. Essa estrutura modular permite uma configuração flexível e reduz a visibilidade das operações, aumentando a eficácia do malware.

A OpenAI confirmou que dois de seus funcionários foram alvo de um ataque de cadeia de suprimentos, onde a biblioteca open source TanStack foi utilizada como vetor. Em um curto espaço de tempo, hackers distribuíram 84 versões maliciosas do software, resultando na infecção dos dispositivos dos funcionários antes que o problema fosse identificado. O malware tinha como objetivo roubar credenciais e se propagar para outros sistemas. Com as credenciais comprometidas, os invasores conseguiram acessar repositórios internos de código-fonte, embora a OpenAI tenha afirmado que apenas ‘material de credenciais limitado’ foi extraído e não houve acesso a dados de usuários ou alteração de software. Como medida de precaução, a empresa rotacionou os certificados digitais usados para assinar seus produtos e isolou os sistemas afetados. Este incidente destaca a crescente preocupação com ataques à cadeia de suprimentos, que têm se tornado uma tática comum entre hackers, permitindo comprometer múltiplos alvos simultaneamente.

A Fluke Corporation anunciou que notificou 18.517 pessoas sobre um vazamento de dados ocorrido entre agosto e outubro de 2025, que comprometeu números de Seguro Social, datas de nascimento e informações sobre deficiência. O incidente foi causado por uma vulnerabilidade em um aplicativo de terceiros utilizado pela empresa e foi explorado pelo grupo de ransomware Clop, conhecido por atacar software empresarial. O ataque durou dois meses, de 10 de agosto a 7 de outubro de 2025, e foi descoberto pela Fluke em 29 de setembro. A empresa não confirmou se pagou um resgate, mas está oferecendo 24 meses de monitoramento de crédito e seguro contra roubo de identidade aos afetados. O grupo Clop é responsável por uma série de ataques de ransomware, tendo reivindicado 458 ataques em 2025, afetando principalmente organizações que utilizam software vulnerável. O impacto desses ataques pode incluir interrupções significativas nas operações de negócios, além de riscos de fraude para os indivíduos cujos dados foram comprometidos.

A Microsoft anunciou uma nova funcionalidade chamada Cloud-Initiated Driver Recovery, que permitirá a reversão remota de drivers problemáticos do Windows distribuídos via Windows Update. Essa inovação elimina a necessidade de intervenção manual por parte de parceiros de hardware ou usuários finais para corrigir problemas de drivers, que podem afetar a performance dos dispositivos. O processo de recuperação será gerenciado exclusivamente pela Microsoft e será acionado apenas para drivers que foram rejeitados devido a problemas de qualidade durante a avaliação inicial. Atualmente, quando um driver apresenta falhas, a correção depende da submissão de um novo driver pelo parceiro de hardware ou da desinstalação manual pelo usuário, o que pode deixar os dispositivos vulneráveis a problemas por longos períodos. Com a nova funcionalidade, a Microsoft poderá reverter diretamente para uma versão anterior estável do driver, sem a necessidade de novas ferramentas ou ações dos parceiros. A implementação dessa funcionalidade está prevista para começar em setembro de 2026, após testes que ocorrerão entre maio e agosto do mesmo ano. Além disso, a Microsoft está investindo em uma iniciativa de qualidade de drivers para melhorar a confiabilidade e segurança no ecossistema Windows, em colaboração com diversos parceiros de hardware.

Nos últimos meses, o malware REMUS, um novo infostealer, tem chamado a atenção de pesquisadores de segurança e analistas de malware. Com capacidades avançadas de roubo de credenciais e um foco crescente na comercialização, o REMUS se destaca por sua evolução rápida e agressiva. Análises de postagens da operação underground revelam que, desde seu lançamento comercial em fevereiro de 2026, o REMUS tem se posicionado como uma plataforma de malware como serviço (MaaS), com atualizações frequentes e um forte foco na usabilidade. O malware não apenas coleta senhas, mas também cookies e tokens de sessão, permitindo o acesso a contas sem a necessidade de autenticação multifatorial (MFA). Essa mudança reflete uma tendência crescente no mercado underground, onde sessões autenticadas se tornam um ativo valioso. Além disso, o REMUS tem como alvo gerenciadores de senhas, como 1Password e LastPass, aumentando ainda mais seu potencial de dano. A operação sugere que o REMUS não é apenas uma ferramenta de roubo, mas uma plataforma em constante evolução, semelhante a um negócio de software legítimo, o que representa um risco significativo para empresas e usuários.

A Microsoft anunciou uma atualização para o navegador Edge, visando melhorar a segurança ao evitar que senhas salvas sejam carregadas em texto claro na memória do processo durante a inicialização. Essa mudança ocorre após a revelação de um problema por Tom Jøran Sønstebyseter Rønning, que demonstrou que as credenciais armazenadas no gerenciador de senhas do Edge eram descriptografadas no lançamento e mantidas na memória, mesmo quando não estavam em uso. Rønning também apresentou uma ferramenta de prova de conceito (PoC) que permitia a atacantes com privilégios de administrador extrair senhas de outros usuários. Em resposta, a Microsoft inicialmente defendeu que esse comportamento era ‘intencional’, mas agora se comprometeu a implementar mudanças em todas as versões suportadas do Edge, priorizando a redução da exposição de senhas na memória. Essa atualização já está disponível no canal Canary do Edge e será incluída nas próximas versões. A empresa também destacou um compromisso contínuo com a segurança, incluindo a proteção contra extensões maliciosas e a restrição do modo Internet Explorer do Edge após a exploração de vulnerabilidades. Essa atualização é um passo importante na proteção dos dados dos usuários e na mitigação de riscos de segurança.

Duas vulnerabilidades críticas foram identificadas no plugin Avada Builder para WordPress, que possui cerca de um milhão de instalações ativas. A primeira, identificada como CVE-2026-4782, permite que usuários autenticados com nível de acesso de assinante leiam arquivos arbitrários no servidor, incluindo o wp-config.php, que contém credenciais sensíveis do banco de dados. A segunda vulnerabilidade, CVE-2026-4798, é uma injeção SQL que pode ser explorada por atacantes não autenticados, desde que o plugin WooCommerce tenha sido ativado e depois desativado. Essa falha permite a extração de informações sensíveis do banco de dados, como hashes de senhas. Ambas as vulnerabilidades foram descobertas pelo pesquisador de segurança Rafie Muhammad e reportadas ao programa de recompensas da Wordfence. A atualização para a versão 3.15.3 do Avada Builder é altamente recomendada para mitigar esses riscos. O impacto potencial é significativo, pois a exploração dessas falhas pode levar a um comprometimento total do site, afetando a segurança e a privacidade dos dados dos usuários.

Recentemente, hackers injetaram malware que rouba credenciais em versões do pacote node-ipc, uma ferramenta popular para comunicação entre processos no Node.js. Este ataque de cadeia de suprimentos, que afeta o repositório npm, foi detectado por empresas de segurança como Socket e Ox Security, que identificaram três versões maliciosas: node-ipc@9.1.6, node-ipc@9.2.3 e node-ipc@12.0.1. O malware, que se esconde no ponto de entrada CommonJS do pacote, é capaz de coletar informações sensíveis, como credenciais de serviços em nuvem (AWS, Azure, GCP), chaves SSH, tokens de GitHub e arquivos .env. A exfiltração de dados é realizada através de consultas DNS TXT, utilizando um domínio falso para disfarçar o tráfego. O ataque foi atribuído a um ator externo que comprometeu a conta de um mantenedor inativo. Desenvolvedores afetados devem remover as versões comprometidas, rotacionar credenciais expostas e inspecionar arquivos de bloqueio e caches do npm.

Pesquisadores de cibersegurança revelaram quatro vulnerabilidades no OpenClaw, um sistema amplamente utilizado, que podem ser exploradas em cadeia para roubo de dados, escalonamento de privilégios e persistência maliciosa. As falhas, identificadas como CVE-2026-44112, CVE-2026-44113, CVE-2026-44115 e CVE-2026-44118, apresentam pontuações de severidade que variam de 7.7 a 9.6, indicando um alto risco de exploração.

A CVE-2026-44112, por exemplo, permite que atacantes contornem restrições de sandbox, enquanto a CVE-2026-44115 possibilita a execução de comandos não autorizados. A exploração dessas vulnerabilidades pode permitir que um invasor obtenha controle total sobre o ambiente, expondo dados sensíveis e configurando backdoors. A empresa Cyera destacou que a exploração dessas falhas pode parecer comportamento normal do agente, dificultando a detecção por controles tradicionais.

Na quinta-feira, a Microsoft divulgou mitigação para uma vulnerabilidade de alta severidade no Exchange Server, identificada como CVE-2026-42897. Essa falha de segurança, que afeta as versões mais recentes do Exchange Server 2016, 2019 e Subscription Edition, permite que atacantes executem código arbitrário por meio de um ataque de cross-site scripting (XSS) direcionado a usuários do Outlook na web. Embora ainda não existam patches disponíveis, a Microsoft recomenda a ativação do Exchange Emergency Mitigation Service (EEMS), que oferece mitigação automática para servidores on-premises. A vulnerabilidade pode ser explorada ao enviar um e-mail especialmente elaborado para um usuário, que, ao abrir o e-mail no Outlook Web Access, pode ter JavaScript malicioso executado em seu navegador. É importante ressaltar que a aplicação das medidas de mitigação pode causar problemas, como a não exibição correta de imagens e a funcionalidade de impressão do calendário. A Microsoft planeja lançar patches para as versões afetadas, mas estes estarão disponíveis apenas para clientes que participam do programa de suporte estendido. A situação é crítica, especialmente considerando que a CISA e a NSA já emitiram orientações para proteger servidores Exchange contra ataques.

A Microsoft divulgou uma nova vulnerabilidade de segurança que afeta as versões locais do Exchange Server, identificada como CVE-2026-42897, com uma pontuação CVSS de 8.1. Este problema, classificado como um bug de spoofing decorrente de uma falha de cross-site scripting, permite que atacantes não autorizados executem código JavaScript arbitrário no contexto do navegador ao enviar um e-mail malicioso. A vulnerabilidade já está sendo explorada ativamente, e a Microsoft recomenda que os usuários apliquem mitigação imediata através do Exchange Emergency Mitigation Service, que reescreve URLs automaticamente. As versões afetadas incluem Exchange Server 2016, 2019 e Subscription Edition, enquanto o Exchange Online não é impactado. Para aqueles que não podem usar o serviço de mitigação automática, a Microsoft disponibilizou um Mitigation Tool (EOMT) que deve ser aplicado manualmente. A empresa também está ciente de um problema conhecido onde a ferramenta pode indicar que a mitigação é inválida, mas assegura que a aplicação é bem-sucedida se o status mostrar ‘Applied’. Embora não haja informações sobre a identidade dos atacantes ou a escala das explorações, é crucial que as organizações adotem as medidas recomendadas para se protegerem.

A OpenAI revelou que dois dispositivos de seus funcionários foram afetados por um ataque à cadeia de suprimentos, conhecido como Mini Shai-Hulud, que comprometeu o TanStack. Apesar do incidente, a empresa afirmou que não houve comprometimento de dados de usuários, sistemas de produção ou propriedade intelectual. A atividade maliciosa observada incluiu acesso não autorizado e exfiltração de credenciais em um subconjunto limitado de repositórios de código interno. Em resposta, a OpenAI isolou os sistemas afetados, revogou sessões de usuários e rotacionou credenciais. Além disso, a empresa revogou certificados de assinatura para produtos iOS, macOS e Windows, exigindo que usuários de macOS atualizassem seus aplicativos. O ataque destaca uma tendência crescente em que atacantes visam dependências de software compartilhadas, refletindo uma mudança no cenário de ameaças. O grupo TeamPCP, responsável por ataques semelhantes, anunciou um concurso para comprometer pacotes de código aberto, aumentando a preocupação com a segurança na cadeia de suprimentos. A análise técnica revelou que o malware possui um servidor de comando e controle codificado e um mecanismo de fallback que busca URLs alternativas em mensagens de commit do GitHub. O ataque também apresenta comportamentos destrutivos em regiões específicas, como Israel e Irã.

O artigo da The Hacker News destaca que a maior ameaça à segurança nas organizações modernas não é mais o malware, mas sim o uso indevido de ferramentas confiáveis, como PowerShell e WMIC, que são frequentemente utilizadas por administradores de TI. Uma análise da Bitdefender revelou que 84% de 700.000 incidentes de alta severidade envolveram o abuso de ferramentas legítimas. Para ajudar as empresas a lidarem com essa questão, a Bitdefender oferece uma avaliação gratuita chamada Internal Attack Surface Assessment, que identifica e prioriza os riscos associados a usuários, endpoints e ferramentas que podem ser explorados por atacantes.

O grupo hacker TeamPCP está ameaçando vazar o código-fonte do projeto Mistral AI, a menos que um comprador seja encontrado para os dados. Em um post em um fórum de hackers, o grupo está pedindo US$ 25.000 por um conjunto de quase 450 repositórios. A Mistral AI, uma empresa francesa de inteligência artificial, confirmou que hackers comprometeram seu sistema de gerenciamento de código após um ataque à cadeia de suprimentos de software. O incidente começou com a violação de pacotes oficiais da TanStack e da Mistral AI, utilizando credenciais de CI/CD roubadas. O grupo afirma ter roubado cerca de 5 gigabytes de repositórios internos e código-fonte que a Mistral utiliza em seus projetos. Embora a Mistral tenha confirmado a contaminação de alguns de seus pacotes de SDK, a investigação forense revelou que os dados afetados não faziam parte dos repositórios principais. O impacto do ataque se estendeu a outros projetos de software, como UiPath e OpenSearch. A Mistral assegurou que seus serviços hospedados e dados gerenciados não foram comprometidos. O incidente destaca a vulnerabilidade das cadeias de suprimentos de software e a necessidade de vigilância constante em ambientes de desenvolvimento.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma nova vulnerabilidade crítica no catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), afetando o Cisco Catalyst SD-WAN Controller. A falha, identificada como CVE-2026-20182, permite que atacantes remotos não autenticados contornem a autenticação e obtenham privilégios administrativos no sistema. Com uma pontuação de 10.0 no sistema CVSS, a vulnerabilidade é considerada de máxima gravidade. A Cisco alertou que a exploração ativa dessa falha está ligada a um grupo de ameaças identificado como UAT-8616, que também está por trás da exploração de outras vulnerabilidades relacionadas. Os atacantes têm utilizado códigos de exploração disponíveis publicamente para implantar shells web, permitindo a execução de comandos arbitrários. A CISA exige que as agências do governo federal dos EUA remediem a vulnerabilidade até 17 de maio de 2026. Dada a gravidade da situação, a Cisco recomenda que os clientes sigam as orientações para proteger seus ambientes.

No primeiro dia do Pwn2Own Berlin 2026, pesquisadores de segurança arrecadaram impressionantes $523,000 em prêmios ao explorar 24 vulnerabilidades zero-day. O destaque do dia foi a apresentação de Orange Tsai, que recebeu $175,000 por escapar de um sandbox no Microsoft Edge ao combinar quatro falhas lógicas. Além disso, o Windows 11 foi comprometido três vezes, com pesquisadores como Angelboy e TwinkleStar03, Marcin Wiązowski e Kentaro Kawane, cada um recebendo $30,000 por novas falhas de escalonamento de privilégios. Valentina Palmiotti, da IBM X-Force, também se destacou, arrecadando $70,000 por explorar vulnerabilidades no Red Hat Linux e no NVIDIA Container Toolkit. O evento, que ocorre entre 14 e 16 de maio, foca em tecnologias empresariais e inteligência artificial, e os participantes têm a chance de ganhar mais de $1,000,000 em prêmios ao explorar produtos amplamente utilizados, como Microsoft SharePoint e Apple Safari. Após a competição, os fornecedores têm 90 dias para corrigir as falhas descobertas. O evento ressalta a importância da segurança cibernética em um cenário onde novas vulnerabilidades são constantemente descobertas e exploradas.

A OpenAI confirmou que dispositivos de dois de seus funcionários foram comprometidos em um recente ataque à cadeia de suprimentos, conhecido como TanStack, que afetou centenas de pacotes do npm e PyPI. Apesar da gravidade do incidente, a empresa assegurou que não houve impacto em dados de clientes, sistemas de produção ou propriedade intelectual. O ataque está associado à campanha de extorsão ‘Mini Shai-Hulud’, que introduziu atualizações maliciosas em pacotes de software confiáveis. A OpenAI observou atividades de malware, incluindo acesso não autorizado e exfiltração de credenciais, em um subconjunto limitado de repositórios de código interno. Embora algumas credenciais tenham sido roubadas, não há evidências de que tenham sido utilizadas em ataques adicionais. Como medida de precaução, a OpenAI isolou os sistemas afetados, revogou sessões e rotacionou credenciais. A empresa também está trocando certificados de assinatura de código, exigindo que usuários do macOS atualizem seus aplicativos até junho de 2026. O ataque destaca uma tendência crescente de atacantes visando a cadeia de suprimentos de software, o que pode ter um impacto amplo e rápido nas organizações.

A Cisco alertou sobre uma falha crítica de bypass de autenticação no Catalyst SD-WAN Controller, identificada como CVE-2026-20182, que está sendo ativamente explorada em ataques zero-day. Com uma gravidade máxima de 10.0, a vulnerabilidade afeta tanto o Cisco Catalyst SD-WAN Controller quanto o Cisco Catalyst SD-WAN Manager em implementações locais e na nuvem. A falha se origina de um mecanismo de autenticação de peering que não funciona corretamente, permitindo que atacantes enviem requisições manipuladas para obter privilégios administrativos. Uma vez explorada, a vulnerabilidade permite que o invasor acesse o sistema como um usuário interno de alto privilégio, podendo manipular a configuração da rede SD-WAN. A Cisco detectou a exploração da falha em maio, mas não divulgou detalhes sobre os métodos utilizados. A empresa recomenda que os administradores verifiquem os logs do SD-WAN Controller em busca de eventos de peering não autorizados e restrinjam o acesso às interfaces de gerenciamento. A CISA incluiu a CVE-2026-20182 no catálogo de vulnerabilidades conhecidas e ordenou que agências federais atualizassem os dispositivos afetados até 17 de maio de 2026.

Hackers estão explorando uma vulnerabilidade crítica de bypass de autenticação no plugin Burst Statistics do WordPress, que permite acesso administrativo a sites. Este plugin, focado em privacidade, está ativo em aproximadamente 200 mil sites WordPress e é uma alternativa leve ao Google Analytics. A falha, identificada como CVE-2026-8181, foi introduzida na versão 3.4.0 do plugin, lançada em 23 de abril, e também está presente na versão 3.4.1. A vulnerabilidade permite que atacantes não autenticados se façam passar por usuários administradores conhecidos durante requisições da API REST, podendo até criar contas de administrador fraudulentas. O problema decorre da interpretação incorreta dos resultados da função ‘wp_authenticate_application_password()’, que trata um erro como uma autenticação bem-sucedida. A Wordfence, que descobriu a falha, já bloqueou mais de 7.400 tentativas de ataque em 24 horas. Os usuários do plugin são aconselhados a atualizar para a versão 3.4.2 ou desativar o plugin, pois cerca de 115 mil sites ainda estão vulneráveis a ataques de tomada de conta administrativa.

Pesquisadores de cibersegurança alertam sobre a presença de atividades maliciosas em versões recentes do pacote npm node-ipc. Três versões específicas – node-ipc@9.1.6, node-ipc@9.2.3 e node-ipc@12.0.1 – foram identificadas como comprometidas, contendo comportamentos de roubo de dados e backdoor. O malware é capaz de coletar informações sensíveis, como credenciais de serviços em nuvem (AWS, Google Cloud, Azure), chaves SSH e senhas de banco de dados, e tenta exfiltrar esses dados para um servidor de comando e controle (C2) através de um domínio falso. A análise revela que o código malicioso é ativado quando o pacote é requisitado em tempo de execução, utilizando técnicas de ofuscação para evitar detecções. Além disso, o malware implementa um canal de exfiltração alternativo, codificando dados roubados em registros DNS TXT, o que dificulta a identificação do tráfego malicioso. Os usuários são aconselhados a remover as versões comprometidas e reinstalar versões seguras, além de auditar suas credenciais e atividades de publicação no npm. Este incidente destaca a vulnerabilidade de pacotes de código aberto e a necessidade de vigilância constante na segurança da cadeia de suprimentos de software.

A Cisco divulgou atualizações para corrigir uma falha de autenticação crítica no Catalyst SD-WAN Controller, identificada como CVE-2026-20182, que possui uma pontuação CVSS de 10.0. Essa vulnerabilidade permite que um atacante remoto não autenticado contorne a autenticação e obtenha privilégios administrativos no sistema afetado. O problema está relacionado ao mecanismo de autenticação de peering, que pode ser explorado através do envio de requisições manipuladas. A exploração bem-sucedida da falha permite que o invasor acesse o sistema como um usuário interno de alto privilégio, possibilitando a manipulação da configuração da rede SD-WAN. A vulnerabilidade afeta diversas implementações, incluindo a Cisco SD-WAN Cloud e a versão para governo (FedRAMP). A Cisco alertou sobre a exploração limitada da falha em maio de 2026 e recomendou que os clientes apliquem as atualizações imediatamente, especialmente aqueles que têm sistemas expostos à internet. Além disso, a empresa sugere que os clientes auditem logs de autenticação para identificar acessos não autorizados.

A Foxconn, uma das principais fornecedoras de eletrônicos do mundo e fabricante de chips para a Apple, confirmou que suas operações na América do Norte foram alvo de um ataque de ransomware. O incidente, que ocorreu no dia 1º de maio, comprometeu servidores e sistemas operacionais em fábricas localizadas no México e nos Estados Unidos, resultando em uma interrupção temporária das atividades. Os invasores conseguiram acessar documentos internos da empresa e roubaram 8 TB de dados, que incluem informações sobre projetos de clientes como Dell, Google, Apple e NVIDIA. A extensão do vazamento ainda está sendo investigada, e a Foxconn afirmou que já acionou seus protocolos de segurança e iniciou o processo de restauração dos sistemas afetados. Este não é o primeiro ataque que a Foxconn enfrenta; em dezembro de 2020, a instalação mexicana já havia sido atacada, resultando em um roubo de dados e exigência de resgate em bitcoins. O ataque atual destaca a crescente preocupação com a segurança cibernética em grandes corporações, especialmente aquelas que lidam com informações sensíveis de clientes.

A Western Orthopaedics, localizada em Denver, Colorado, notificou 113.330 pessoas sobre um vazamento de dados ocorrido em setembro de 2025. O incidente comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, dados financeiros, informações de seguro de saúde e registros médicos. A clínica tomou conhecimento do ataque em outubro, após um terceiro não autorizado acessar sua rede e roubar dados. O grupo de ransomware PEAR reivindicou a responsabilidade pelo ataque, alegando ter roubado 1,7 TB de dados, que foram publicados em seu site de vazamento no final de setembro. A Western Orthopaedics está oferecendo monitoramento de crédito e proteção contra roubo de identidade aos afetados. Este incidente destaca a crescente ameaça de ataques cibernéticos no setor de saúde, que já registrou 139 ataques confirmados em 2025, comprometendo mais de 12 milhões de registros pessoais. O grupo PEAR, que se especializa em roubo de dados sem criptografia, já foi responsável por 82 ataques, incluindo vários a prestadores de serviços de saúde.

O grupo de cibercriminosos KongTuke, conhecido como um corretor de acesso inicial, começou a utilizar o Microsoft Teams para realizar ataques de engenharia social, conseguindo acesso persistente a redes corporativas em apenas cinco minutos. Os atacantes convencem os usuários a executar um comando PowerShell que instala o malware ModeloRAT, já observado em ataques anteriores. Essa mudança de tática marca a primeira vez que KongTuke utiliza uma plataforma de colaboração para obter acesso inicial, além de suas abordagens anteriores baseadas na web. Os pesquisadores da ReliaQuest notaram que a campanha está ativa desde pelo menos abril de 2026, com o grupo alternando entre cinco locatários do Microsoft 365 para evitar bloqueios. O comando PowerShell malicioso baixa um arquivo ZIP do Dropbox que contém um ambiente WinPython portátil, que por sua vez executa o malware. O ModeloRAT evoluiu, apresentando uma arquitetura de comando e controle mais resiliente, múltiplos caminhos de acesso independentes e mecanismos de persistência expandidos. Para se proteger contra esses ataques, recomenda-se restringir a federação externa do Microsoft Teams e utilizar indicadores de comprometimento para detectar atividades suspeitas.

O artigo de Ben Wilkens destaca a crescente ameaça de crimes cibernéticos no setor de transporte, onde técnicas de ransomware estão sendo adaptadas para roubar cargas. Em 2025, perdas de aproximadamente US$ 725 milhões foram relatadas devido a crimes de carga na América do Norte, enquanto o FBI registrou perdas de cerca de US$ 21 bilhões em crimes cibernéticos. Os criminosos utilizam e-mails de phishing para obter credenciais e, em vez de implantar ransomware, redirecionam cargas legítimas para locais controlados por eles. Essa abordagem tem se tornado comum, especialmente entre grupos de crime organizado internacionais. A maioria das empresas de transporte, especialmente as de pequeno e médio porte, carece de recursos para implementar medidas de segurança cibernética adequadas, tornando-se alvos fáceis. O artigo também menciona a publicação de um guia pela NMFTA para ajudar as empresas a se protegerem contra esses crimes, destacando a necessidade urgente de uma mudança de paradigma na segurança do setor.

Uma falha de segurança de 18 anos no servidor web de código aberto NGINX, identificada por um sistema de varredura autônomo, pode ser explorada para causar negação de serviço e, em certas condições, execução remota de código. A vulnerabilidade, rastreada como CVE-2026-42945, recebeu uma classificação de severidade crítica de 9,2 no sistema CVSS. A falha, um estouro de buffer na heap no módulo ngx_http_rewrite_module, afeta versões do NGINX de 0.6.27 a 1.30.0. O problema ocorre quando as configurações do NGINX utilizam as diretivas ‘rewrite’ e ‘set’, uma prática comum em gateways de API e configurações de proxy reverso. Pesquisadores demonstraram que a exploração pode ser realizada através de requisições HTTP especialmente elaboradas, levando à execução de código não autenticado. Embora a execução remota de código tenha sido demonstrada em um ambiente sem proteção ASLR, a exploração em sistemas com ASLR habilitado é considerada complexa. Outras três falhas de segurança de gravidade média também foram descobertas. A F5, empresa que mantém o NGINX, já disponibilizou correções para as versões afetadas, e recomenda que os usuários atualizem ou modifiquem suas regras de reescrita para mitigar os riscos.

As alucinações de IA, que se referem a respostas apresentadas com confiança, mas que são factualmente incorretas, estão introduzindo riscos significativos na tomada de decisões em infraestruturas críticas. Um estudo de 2025 avaliou 40 modelos de IA e descobriu que a maioria deles tende a fornecer respostas incorretas em vez de corretas em questões complexas. Isso é preocupante, especialmente em ambientes de cibersegurança, onde decisões erradas podem resultar em interrupções operacionais e novas vulnerabilidades. As alucinações ocorrem devido a dados de treinamento falhos, viés nos dados de entrada e falta de validação das respostas. Três formas principais de impacto incluem ameaças não detectadas, ameaças fabricadas e remediações incorretas. Para mitigar esses riscos, as organizações devem exigir revisão humana antes de ações críticas, tratar os dados de treinamento como ativos de segurança e implementar acesso de menor privilégio para sistemas de IA. A educação sobre como formular prompts específicos também é essencial para reduzir a ambiguidade nas respostas geradas pela IA.

Recentemente, uma vulnerabilidade crítica foi identificada no PraisonAI, um framework de orquestração multi-agente de código aberto. A falha, classificada como CVE-2026-44338, possui um escore CVSS de 7.3 e se refere à falta de autenticação, permitindo que qualquer pessoa acesse endpoints sensíveis sem a necessidade de um token. O servidor API legado, baseado em Flask, vem com a autenticação desativada por padrão, expondo funcionalidades protegidas. A exploração dessa vulnerabilidade pode resultar em enumeração não autenticada do arquivo de agentes e ativação de fluxos de trabalho configurados, além de consumo indevido de quotas de modelo/API. A falha afeta todas as versões do pacote Python do PraisonAI, com correção disponível na versão 4.6.34. A Sysdig, empresa de segurança em nuvem, relatou que tentativas de exploração foram observadas apenas quatro horas após a divulgação pública da vulnerabilidade, destacando a rapidez com que atores maliciosos estão adotando novas falhas. Os usuários são aconselhados a aplicar as correções imediatamente, auditar implantações existentes e revisar atividades suspeitas relacionadas ao uso do PraisonAI.

O grupo de ameaças alinhado à Bielorrússia, conhecido como Ghostwriter, está realizando uma nova onda de ataques direcionados a organizações governamentais na Ucrânia. Desde 2016, o grupo tem sido associado a operações de espionagem cibernética e influência, especialmente em países vizinhos. Recentemente, foram identificados ataques que utilizam um malware chamado PicassoLoader, que serve como um canal para o Cobalt Strike Beacon e njRAT. Em 2023, o Ghostwriter explorou uma vulnerabilidade no WinRAR (CVE-2023-38831) para implantar seu malware. Além disso, uma campanha de phishing em 2024 utilizou uma falha no Roundcube (CVE-2024-42009) para capturar credenciais de e-mail. Os ataques mais recentes, iniciados em março de 2026, envolvem o envio de PDFs maliciosos que disfarçam links para arquivos RAR contendo um payload JavaScript, visando entidades governamentais ucranianas. O grupo também implementou técnicas de anti-análise, como verificação de geolocalização, para evitar detecções. A atividade do Ghostwriter é uma preocupação crescente, especialmente para setores críticos como defesa e governo na Ucrânia, mas também pode ter implicações para organizações no Brasil, dada a natureza global das ameaças cibernéticas.

O cenário de cibersegurança continua alarmante, com uma série de vulnerabilidades e ataques sendo reportados. A Palo Alto Networks divulgou correções para uma falha crítica (CVE-2026-0300) no serviço User-ID Authentication Portal do PAN-OS, que permite a execução de código arbitrário por atacantes não autenticados. Além disso, uma empresa de tecnologia de defesa expôs dados sensíveis devido a falhas de autorização em suas APIs. Em outra frente, a Meta lançou o Incognito Chat, prometendo privacidade nas interações com IA. O relatório também destaca campanhas de phishing patrocinadas por estados, como a Operation GriefLure, que visa setores estratégicos no Vietnã e nas Filipinas, e a Operation HumanitarianBait, que utiliza temas de ajuda humanitária para enganar usuários. A nova técnica GhostLock permite que usuários com acesso limitado bloqueiem arquivos, causando interrupções semelhantes a ataques de ransomware. O artigo enfatiza a necessidade urgente de ações corretivas e vigilância contínua para mitigar esses riscos.

O conceito de ‘Q-Day’, ou Dia Q, refere-se ao momento em que um computador quântico suficientemente avançado é capaz de quebrar a criptografia assimétrica que protege a maioria dos dados e comunicações atuais, como RSA e Diffie-Hellman. Com empresas como Google e Cloudflare antecipando suas preparações para 2029, a urgência em migrar para criptografia pós-quântica (PQC) se torna evidente. A criptografia atual, que é fundamental para a segurança da internet e de dispositivos eletrônicos, pode ser vulnerável a ataques quânticos, que poderiam decifrar chaves de criptografia em questão de segundos, algo impossível para computadores clássicos. Para se preparar, as organizações devem educar suas lideranças sobre os riscos, criar projetos dedicados à transição para PQC, realizar inventários de dados e implementar as mudanças necessárias. A pressão para a adoção de PQC está aumentando, com prazos sendo antecipados para 2027 em alguns casos. Assim, é crucial que as empresas comecem a agir agora para proteger suas informações antes que o Dia Q chegue.

Recentemente, distribuições Linux começaram a lançar patches para uma nova vulnerabilidade de alta severidade, conhecida como Fragnasia (CVE-2026-46300). Essa falha de segurança, descoberta por William Bowling, permite que atacantes locais não privilegiados executem código malicioso com privilégios de root, explorando um erro lógico no subsistema XFRM ESP-in-TCP do Linux. O ataque é realizado através da escrita de bytes arbitrários no cache de página do kernel de arquivos somente leitura, sem a necessidade de condições de corrida. Bowling também revelou um exploit de prova de conceito que corrompe a memória do cache de página do binário /usr/bin/su, possibilitando acesso root em sistemas vulneráveis. A vulnerabilidade Fragnasia pertence à classe de vulnerabilidades Dirty Frag, que afeta todos os kernels Linux lançados antes de 13 de maio de 2026. Para mitigar os riscos, os usuários do Linux são aconselhados a aplicar atualizações de kernel imediatamente. Caso não consigam, devem remover módulos vulneráveis, embora isso possa impactar sistemas de arquivos distribuídos e VPNs IPsec. A divulgação da Fragnasia ocorre em um momento em que outras vulnerabilidades, como a Copy Fail, também estão sendo exploradas ativamente, aumentando a urgência para que as organizações atualizem suas defesas.

O principal administrador do Dream Market, Owe Martin Andresen, foi indiciado nos Estados Unidos por lavagem de dinheiro, enfrentando até 20 anos de prisão por cada uma das 12 acusações. Arrestado na Alemanha, ele é acusado de movimentar milhões de dólares de carteiras de criptomoedas do mercado, que operou entre 2013 e 2019, facilitando a venda de substâncias ilegais como cocaína e fentanil. A investigação revelou que, entre agosto de 2023 e abril de 2025, Andresen teria lavado mais de 2 milhões de dólares, utilizando um serviço de criptomoedas para comprar barras de ouro, que foram enviadas para sua residência na Alemanha. As autoridades alemãs também encontraram 1,7 milhão de dólares em barras de ouro e 23 mil dólares em dinheiro durante buscas em sua casa. O Dream Market, que chegou a ter cerca de 100 mil anúncios, foi um dos maiores mercados da dark web, especialmente após o fechamento de concorrentes como Hansa e AlphaBay.

A Dell confirmou que seu software SupportAssist está provocando falhas de tela azul em alguns sistemas Windows, após um aumento de relatos de reinicializações aleatórias em dispositivos Dell. O SupportAssist é uma suíte de software desenvolvida pela Dell, pré-instalada na maioria dos novos computadores Dell que operam com Windows 10 ou Windows 11. Um representante da Dell informou que a atualização mais recente do serviço de Remediação do SupportAssist é a responsável pelos erros 0xEF_DellSupportAss_BUGCHECK_CRITICAL_PROCESS, recomendando que os usuários removam o serviço para resolver os problemas. A versão 5.5.16.0 do serviço de Remediação está causando as telas azuis, e a Dell sugere desativar ou desinstalar o aplicativo como solução temporária. Contudo, é importante ressaltar que pontos de recuperação do sistema criados pelo Dell OS SupportAssist Recovery podem não estar disponíveis após a desinstalação. A empresa também alertou que, caso os problemas persistam após a remoção do serviço, os usuários devem entrar em contato com o suporte. Este não é o primeiro incidente desse tipo, já que atualizações anteriores do software da Dell também causaram problemas significativos, incluindo falhas de inicialização em diversos modelos de laptops e desktops.

Uma nova variante da vulnerabilidade Dirty Frag, chamada Fragnesia, foi identificada no núcleo do Linux, permitindo que atacantes locais não privilegiados obtenham acesso root. Classificada como CVE-2026-46300, a vulnerabilidade apresenta um CVSS de 7.8 e está relacionada ao subsistema XFRM ESP-in-TCP do kernel. Descoberta por William Bowling da equipe de segurança V12, a falha permite a modificação de conteúdos de arquivos somente leitura na cache de página do kernel, utilizando uma lógica defeituosa que não requer condições de corrida. A Fragnesia é semelhante a outras vulnerabilidades recentes, como Copy Fail e Dirty Frag, e já possui um exploit de prova de conceito disponível. Várias distribuições Linux, incluindo Amazon Linux e Red Hat Enterprise Linux, emitiram avisos sobre a necessidade de aplicar patches. Embora não tenha sido observada exploração ativa até o momento, especialistas recomendam que usuários e organizações apliquem as correções imediatamente. Medidas de mitigação incluem desabilitar funcionalidades relacionadas ao IPsec e aumentar a vigilância sobre atividades anormais de escalonamento de privilégios.

Um pesquisador anônimo de cibersegurança revelou duas novas vulnerabilidades no Microsoft Defender, conhecidas como YellowKey e GreenPlasma. A primeira, YellowKey, permite a contornagem do BitLocker, funcionando como uma porta dos fundos, e afeta o Windows 11 e Windows Server 2022/2025. O exploit se dá através da manipulação de arquivos ‘FsTx’ em um drive USB, permitindo que um invasor acesse um shell de comando com o BitLocker desbloqueado. O pesquisador destacou que a falha está oculta e que medidas como TPM+PIN não são eficazes. A segunda vulnerabilidade, GreenPlasma, refere-se a uma escalada de privilégios no Windows CTFMON, permitindo que usuários não privilegiados criem objetos de seção de memória arbitrários, potencialmente manipulando serviços ou drivers privilegiados. Essas falhas surgem em um contexto onde o pesquisador já havia denunciado outras vulnerabilidades que foram exploradas ativamente. A Microsoft, por sua vez, afirmou que investiga as questões de segurança reportadas, mas a resposta tem sido criticada por sua lentidão e falta de transparência.

Pesquisadores de cibersegurança revelaram múltiplas vulnerabilidades que afetam o NGINX Plus e o NGINX Open Source, incluindo uma falha crítica que permaneceu oculta por 18 anos. A vulnerabilidade, identificada como CVE-2026-42945, é um problema de estouro de buffer na pilha que pode permitir a execução remota de código ou causar uma negação de serviço (DoS) através de requisições maliciosas. Essa falha, conhecida como NGINX Rift, pode ser explorada por atacantes não autenticados, tornando-a especialmente perigosa. Além disso, três outras vulnerabilidades foram corrigidas, com pontuações CVSS variando de 6.3 a 8.3, afetando módulos como ngx_http_scgi_module e ngx_http_ssl_module. As versões afetadas foram corrigidas em atualizações lançadas após a divulgação responsável em 21 de abril de 2026. Os usuários são aconselhados a atualizar para as versões mais recentes ou, se não puderem, modificar a configuração de reescrita para mitigar o risco. Essa situação destaca a importância de manter sistemas atualizados e monitorar vulnerabilidades conhecidas.