Vulnerabilidade

A BeyondTrust anunciou atualizações para corrigir uma vulnerabilidade crítica em seus produtos de Suporte Remoto (RS) e Acesso Remoto Privilegiado (PRA). Identificada como CVE-2026-1731, a falha permite que um atacante remoto não autenticado execute comandos do sistema operacional, potencialmente resultando em acesso não autorizado, exfiltração de dados e interrupção de serviços. A vulnerabilidade, classificada com uma pontuação de 9.9 no sistema CVSS, afeta as versões do Remote Support até 25.3.1 e do Privileged Remote Access até 24.3.4. A BeyondTrust recomenda que os clientes que não utilizam atualizações automáticas apliquem manualmente o patch disponível nas versões 25.3.2 e 25.1.1 ou superiores. A falha foi descoberta em 31 de janeiro de 2026, e cerca de 11.000 instâncias estão expostas na internet, com aproximadamente 8.500 delas sendo implementações locais. Dada a gravidade da vulnerabilidade e o histórico de exploração ativa em produtos da BeyondTrust, é crucial que os usuários atualizem para as versões mais recentes o quanto antes.

A OpenClaw, plataforma de inteligência artificial, anunciou uma parceria com o VirusTotal, pertencente ao Google, para aumentar a segurança de seu marketplace, o ClawHub. Todas as habilidades (skills) publicadas na plataforma agora passam por uma verificação utilizando a inteligência de ameaças do VirusTotal, incluindo a nova funcionalidade Code Insight. Cada skill é convertida em um hash SHA-256 e verificada em um banco de dados. Skills com avaliação ‘benigna’ são aprovadas automaticamente, enquanto as suspeitas recebem um alerta e as maliciosas são bloqueadas. A OpenClaw também reavalia diariamente todas as skills ativas para identificar possíveis mudanças de status. Apesar dessas medidas, os mantenedores alertam que a verificação não é infalível, pois algumas habilidades maliciosas podem escapar da detecção. A plataforma também planeja divulgar um modelo de ameaças abrangente e um roteiro de segurança público, após a descoberta de centenas de skills maliciosas que se disfarçam como ferramentas legítimas. A crescente popularidade do OpenClaw levanta preocupações sobre a segurança, especialmente em ambientes corporativos, onde a falta de controle de TI pode facilitar o acesso não autorizado a dados sensíveis.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração de uma vulnerabilidade crítica, identificada como CVE-2026-24423, no SmarterMail, um servidor de e-mail e plataforma de colaboração autogerida. Essa falha permite a execução remota de código sem autenticação, afetando versões anteriores à build 9511 do software. O SmarterMail, amplamente utilizado por provedores de serviços gerenciados (MSPs) e pequenas e médias empresas, possui cerca de 15 milhões de usuários em 120 países. A vulnerabilidade foi descoberta por pesquisadores de segurança e corrigida pela SmarterTools em 15 de janeiro. A CISA incluiu a CVE-2026-24423 em seu catálogo de Vulnerabilidades Conhecidas e Exploited (KEV), destacando que a exploração pode permitir que atacantes direcionem a instância do SmarterMail para servidores HTTP maliciosos, resultando na execução de comandos indesejados. Além disso, foi identificada uma outra falha de bypass de autenticação, que permite a redefinição de senhas de administrador sem verificação. A CISA recomenda que as entidades federais apliquem as atualizações de segurança ou interrompam o uso do produto até 26 de fevereiro de 2026.

A empresa de inteligência artificial Anthropic anunciou que seu novo modelo de linguagem, Claude Opus 4.6, identificou mais de 500 falhas de segurança de alta severidade em bibliotecas open-source, como Ghostscript, OpenSC e CGIF. Lançado em 6 de fevereiro de 2026, o modelo apresenta habilidades aprimoradas em revisão de código e depuração, além de melhorias em análises financeiras e criação de documentos. Segundo a Anthropic, o Claude Opus 4.6 é capaz de descobrir vulnerabilidades sem a necessidade de ferramentas específicas ou instruções detalhadas, analisando o código de forma semelhante a um pesquisador humano. Durante testes, a equipe de segurança da empresa validou cada falha encontrada, garantindo que não eram falsas. Entre as vulnerabilidades identificadas, destaca-se uma falha de buffer overflow no OpenSC e uma vulnerabilidade no CGIF que requer um entendimento do algoritmo LZW. A Anthropic enfatizou a importância de corrigir rapidamente as falhas conhecidas, especialmente em um cenário onde o uso de IA em fluxos de trabalho cibernéticos está se tornando mais comum. A empresa também se comprometeu a atualizar suas salvaguardas à medida que novas ameaças forem descobertas.

Recentemente, uma vulnerabilidade crítica foi identificada no n8n, uma plataforma de automação de fluxos de trabalho, permitindo que usuários não autenticados executem comandos arbitrários nos servidores. A falha, classificada como CVE-2026-25049, pode resultar no roubo de segredos armazenados, como chaves de API e tokens OAuth, além de expor dados de múltiplos inquilinos que compartilham o mesmo ambiente. Os desenvolvedores do n8n reconheceram a gravidade do problema e lançaram um patch na versão 2.4.0, que deve ser aplicado imediatamente, especialmente porque um Proof of Concept (PoC) já foi divulgado, tornando a exploração da vulnerabilidade mais acessível a atacantes. Para aqueles que não conseguem aplicar a atualização de imediato, recomenda-se limitar as permissões de criação e edição de fluxos de trabalho a usuários confiáveis e implementar o n8n em um ambiente mais seguro. Apesar de não haver relatos de abusos até o momento, a situação exige atenção urgente para evitar possíveis comprometimentos.

Uma nova vulnerabilidade crítica foi identificada na plataforma de automação de fluxos de trabalho n8n, rastreada como CVE-2026-25049, com uma pontuação CVSS de 9.4. Essa falha resulta de uma sanitização inadequada que contorna as proteções implementadas para uma vulnerabilidade anterior, CVE-2025-68613, que já havia sido corrigida. O problema permite que um usuário autenticado, com permissão para criar ou modificar fluxos de trabalho, abuse de expressões maliciosas para executar comandos de sistema não intencionais no servidor que executa o n8n. As versões afetadas incluem todas as anteriores a 1.123.17 e 2.5.2, que já foram corrigidas. A exploração bem-sucedida pode levar ao comprometimento do servidor, roubo de credenciais e exfiltração de dados sensíveis. Especialistas alertam que a gravidade da falha aumenta quando combinada com a funcionalidade de webhook do n8n, permitindo que um adversário crie um fluxo de trabalho acessível publicamente. Os usuários são aconselhados a restringir permissões de criação e edição de fluxos de trabalho e a implementar o n8n em ambientes mais seguros. Além dessa vulnerabilidade, foram relatadas outras quatro falhas críticas, exigindo que os usuários atualizem suas instâncias para as versões mais recentes para garantir a proteção adequada.

Recentemente, a ferramenta de login único (SSO) da Fortinet foi alvo de uma vulnerabilidade crítica, identificada como CVE-2026-24858, com um score de 9,8. Essa falha permitiu que hackers, com contas FortiCloud ativas, acessassem dispositivos de outros usuários sem a necessidade de senha, contanto que o SSO estivesse ativado. A Fortinet desabilitou temporariamente a ferramenta para proteger os usuários, embora tenha destacado que o SSO não é ativado por padrão, o que salvou a maioria dos usuários da exposição. A empresa já havia corrigido uma falha semelhante em dezembro de 2025, mas a exploração continuou, levando à descoberta da nova vulnerabilidade. A Fortinet recomenda que os usuários atualizem seus sistemas para versões corrigidas. A empresa de segurança Shadowserver estima que cerca de 10.000 instâncias foram ameaçadas, uma diminuição em relação às 25.000 identificadas anteriormente. A situação destaca a importância de manter sistemas atualizados e a vigilância constante contra vulnerabilidades.

Um novo relatório da McDonald’s revela que senhas relacionadas a alimentos populares, como ‘bigmac’ e ‘happymeal’, estão presentes em mais de 110 mil contas comprometidas. Apesar das recomendações de segurança cibernética, muitos usuários ainda optam por senhas fáceis de lembrar, o que as torna vulneráveis a ataques automatizados. A substituição de letras por símbolos, uma prática que antes oferecia alguma proteção, já não é eficaz contra métodos modernos de quebra de senhas. A campanha da McDonald’s, que utiliza humor e reconhecimento, visa conscientizar o público sobre a importância de criar senhas mais seguras. Especialistas recomendam o uso de frases longas, autenticação multifatorial e gerenciadores de senhas para melhorar a segurança. A persistência de senhas fracas, mesmo entre usuários mais jovens, destaca a necessidade de uma mudança de comportamento em relação à segurança digital. A falta de conscientização e a resistência à mudança são fatores que contribuem para a continuidade desse problema, que persiste mesmo após anos de orientações sobre cibersegurança.

Pesquisadores de segurança cibernética identificaram múltiplas vulnerabilidades críticas na plataforma de automação de workflows n8n, coletivamente rastreadas como CVE-2026-25049. Essas falhas permitem que qualquer usuário autenticado que possa criar ou editar workflows execute código remotamente sem restrições no servidor n8n. O problema está relacionado ao mecanismo de sanitização da plataforma e contorna uma correção anterior para a CVE-2025-68613. A exploração dessa vulnerabilidade pode resultar na completa comprometimento da instância do n8n, permitindo o roubo de credenciais, segredos e arquivos de configuração sensíveis. Além disso, os pesquisadores conseguiram acessar o sistema de arquivos e serviços internos, podendo redirecionar tráfego e modificar respostas em workflows de IA. A n8n é um ambiente multi-tenant, o que significa que a exploração pode afetar dados de outros inquilinos. Embora a n8n tenha lançado uma correção em janeiro de 2026, a vulnerabilidade ainda é uma preocupação, especialmente considerando o aumento da atividade maliciosa em endpoints expostos da plataforma. Os usuários são aconselhados a atualizar para as versões mais recentes e revisar as permissões de criação e edição de workflows.

Uma vulnerabilidade crítica no Microsoft Office, identificada como CVE-2026-21509, está sendo ativamente explorada por hackers, especialmente um grupo conhecido como APT28. Apesar de a Microsoft ter lançado um patch para corrigir a falha, a exploração da vulnerabilidade foi detectada apenas três dias após a atualização. A Equipe de Resposta a Emergências Cibernéticas da Ucrânia (CERT) relatou que documentos maliciosos estão sendo distribuídos, com alvos principais em organizações governamentais ucranianas e instituições na União Europeia. O ataque envolve a abertura de arquivos DOC corrompidos que desencadeiam downloads de malware, utilizando técnicas como sequestro de COM e shellcode oculto. Especialistas recomendam que as organizações atualizem imediatamente seus sistemas Microsoft Office e outros aplicativos do Microsoft 365 para evitar compromissos de segurança. A situação é alarmante, pois a falha pode ter repercussões mais amplas do que inicialmente previsto, afetando a segurança de dados em várias regiões.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências governamentais corrijam uma vulnerabilidade do GitLab, identificada como CVE-2021-39935, que está sendo ativamente explorada em ataques. Essa falha, que permite a execução de requisições do lado do servidor (SSRF), foi corrigida pela GitLab em dezembro de 2021, mas ainda afeta versões do software que vão da 10.5 até a 14.5.2. A CISA alertou que usuários não autorizados poderiam acessar a API CI Lint, comprometendo a segurança das configurações de CI/CD. Embora a ordem se aplique apenas a agências federais, a CISA recomendou que todas as organizações, incluindo as do setor privado, priorizem a correção de suas vulnerabilidades. Atualmente, mais de 49 mil dispositivos com a impressão digital do GitLab estão expostos online, a maioria na China. A GitLab é amplamente utilizada, com mais de 30 milhões de usuários registrados, incluindo grandes empresas como Nvidia e Goldman Sachs. Além disso, a CISA também destacou uma vulnerabilidade crítica no SolarWinds Web Help Desk, exigindo correções em um prazo de três dias. A situação ressalta a necessidade urgente de ações de segurança cibernética em todos os setores.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma falha crítica no SolarWinds Web Help Desk (WHD) ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), classificando-a como ativamente explorada em ataques. A vulnerabilidade, identificada como CVE-2025-40551, possui uma pontuação CVSS de 9.8 e refere-se a uma deserialização de dados não confiáveis, que pode permitir a execução remota de código sem necessidade de autenticação. A SolarWinds lançou correções para essa e outras falhas na versão 2026.1 do WHD. Além disso, outras vulnerabilidades críticas em sistemas como Sangoma FreePBX e GitLab também foram adicionadas ao catálogo da CISA. Embora não haja informações públicas sobre como a CVE-2025-40551 está sendo explorada, o alerta destaca a rapidez com que os atores de ameaças estão se movendo para explorar falhas recém-divulgadas. Agências federais dos EUA devem corrigir essa vulnerabilidade até 6 de fevereiro de 2026, e as demais até 24 de fevereiro de 2026, conforme a Diretriz Operacional Vinculante 22-01.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) identificou uma vulnerabilidade crítica no SolarWinds Web Help Desk, classificada como CVE-2025-40551, que está sendo ativamente explorada em ataques. Esta falha de segurança, originada de uma fraqueza na desserialização de dados não confiáveis, permite que atacantes não autenticados executem comandos remotamente em dispositivos não corrigidos. A SolarWinds lançou uma atualização, a versão 2026.1, em 28 de janeiro, para corrigir essa vulnerabilidade, além de outras falhas de segurança significativas. A CISA emitiu uma diretiva exigindo que as agências federais dos EUA aplicassem patches em seus sistemas em um prazo de três dias, embora tenha incentivado também o setor privado a agir rapidamente. O SolarWinds Web Help Desk é amplamente utilizado por agências governamentais e grandes corporações, com mais de 300.000 clientes em todo o mundo. Dada a frequência com que vulnerabilidades desse software têm sido exploradas, a urgência na aplicação de correções é crítica para evitar possíveis compromissos de segurança.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica, chamada DockerDash, que afeta o assistente de inteligência artificial Ask Gordon, integrado ao Docker Desktop e à interface de linha de comando (CLI) do Docker. Essa falha, corrigida na versão 4.50.0 lançada em novembro de 2025, permite que um invasor execute código malicioso e exfiltre dados sensíveis. O problema surge da forma como o Ask Gordon interpreta metadados não verificados como comandos executáveis, permitindo que um ataque simples em três etapas comprometa o ambiente Docker. O ataque começa com a publicação de uma imagem Docker contendo instruções maliciosas em campos de metadados. Quando o assistente é consultado, ele processa essas instruções sem validação, enviando-as ao MCP Gateway, que as executa com privilégios do Docker do usuário. Além disso, a vulnerabilidade também permite a exfiltração de dados sensíveis do ambiente do usuário. A situação destaca a necessidade de uma abordagem de validação de zero confiança para mitigar esse tipo de ataque, que pode ter impactos significativos em ambientes de nuvem e aplicações de desktop.

Hackers estão atacando desenvolvedores ao explorar a vulnerabilidade crítica CVE-2025-11953 no servidor Metro do React Native, permitindo a entrega de cargas maliciosas para sistemas Windows e Linux. No Windows, um atacante não autenticado pode executar comandos do sistema operacional por meio de uma requisição POST, enquanto no Linux e macOS, a falha pode levar à execução de executáveis arbitrários com controle limitado de parâmetros. O Metro, que é o empacotador JavaScript padrão para projetos React Native, pode expor endpoints HTTP apenas para desenvolvimento, como o /open-url. A vulnerabilidade foi descoberta pela empresa JFrog e divulgada em novembro de 2025, com a exploração ativa observada em dezembro. Pesquisadores da VulnCheck identificaram um ator de ameaças utilizando a vulnerabilidade, conhecida como Metro4Shell, para entregar cargas úteis codificadas em base-64. As ações realizadas pelas cargas incluem desativar proteções do endpoint e estabelecer conexões TCP com a infraestrutura do atacante. Com cerca de 3.500 servidores Metro expostos online, a situação é preocupante, embora a vulnerabilidade tenha uma baixa pontuação no sistema de avaliação de risco EPSS. Especialistas alertam que as organizações não devem esperar por ações de autoridades como a CISA antes de agir.

Uma falha de segurança crítica, identificada como CVE-2025-11953 (Metro4Shell), está sendo explorada por atacantes em um pacote npm amplamente utilizado, o ‘@react-native-community/cli’. Com uma pontuação CVSS de 9.8, essa vulnerabilidade permite que invasores não autenticados executem comandos arbitrários no sistema operacional subjacente. A exploração foi observada pela primeira vez em 21 de dezembro de 2025, e os detalhes foram documentados pela JFrog em novembro do mesmo ano. Os atacantes têm utilizado um script PowerShell codificado em Base64 para realizar ações maliciosas, como excluir pastas do Microsoft Defender e estabelecer conexões TCP com servidores controlados por eles. A atividade maliciosa foi consistente ao longo de várias semanas, indicando um uso operacional da vulnerabilidade. A falha destaca a importância de proteger a infraestrutura de desenvolvimento, que pode se tornar um alvo de produção se acessível. Apesar da gravidade, a exploração ainda não recebeu ampla atenção pública.

O grupo de ameaças APT28, vinculado ao governo russo, está explorando uma nova vulnerabilidade no Microsoft Office, identificada como CVE-2026-21509, com um escore CVSS de 7.8. Essa falha permite que atacantes não autorizados enviem arquivos maliciosos que podem comprometer sistemas. A campanha, chamada Operation Neusploit, foi observada em ataques direcionados a usuários na Ucrânia, Eslováquia e Romênia, logo após a divulgação pública da vulnerabilidade pela Microsoft. Os pesquisadores da Zscaler relataram que os atacantes utilizaram técnicas de engenharia social em múltiplas línguas para enganar as vítimas. A exploração envolve o uso de arquivos RTF maliciosos que instalam dois tipos de droppers: MiniDoor, que rouba e-mails, e PixyNetLoader, que ativa um implante chamado Grunt, associado ao framework de comando e controle COVENANT. A CERT-UA, equipe de resposta a emergências da Ucrânia, confirmou que documentos do Word foram utilizados para atacar mais de 60 endereços de e-mail de autoridades governamentais. A vulnerabilidade representa um risco significativo, especialmente para organizações que utilizam o Microsoft Office em suas operações diárias.

A Microsoft confirmou que um problema conhecido que impede alguns dispositivos com Windows 11 de desligar também afeta sistemas com Windows 10 que possuem o Modo Seguro Virtual (VSM) habilitado. O VSM é um recurso de segurança do Windows que cria uma região de memória isolada, protegendo credenciais sensíveis e chaves de criptografia contra malware. O bug, que afeta dispositivos com a atualização cumulativa KB5073455 e o recurso Secure Launch ativado, foi identificado em janeiro e levou a Microsoft a lançar atualizações de emergência. A situação se estendeu para o Windows 10, onde usuários com VSM habilitado após as atualizações KB5078131 e KB5073724 também enfrentam problemas de desligamento. A Microsoft recomenda que os usuários afetados utilizem o comando “shutdown /s /t 0” como uma solução temporária até que uma correção oficial seja disponibilizada. A empresa planeja lançar uma solução em uma atualização futura e já corrigiu outros problemas relacionados a componentes do Windows que foram erroneamente sinalizados como maliciosos por aplicativos de segurança. A situação destaca a importância de monitorar atualizações e aplicar correções rapidamente para garantir a segurança e a funcionalidade dos sistemas operacionais.

O Centro de Resposta a Emergências de Computador da Ucrânia (CERT-UA) alertou que hackers russos estão explorando a vulnerabilidade CVE-2026-21509, recentemente corrigida pela Microsoft, em várias versões do Microsoft Office. Em 26 de janeiro, a Microsoft lançou uma atualização de segurança de emergência, identificando a falha como um zero-day ativamente explorado. Apenas três dias após o alerta, o CERT-UA detectou a distribuição de arquivos DOC maliciosos relacionados a consultas do COREPER da UE, além de e-mails falsificados que se passavam pelo Centro Hidrometeorológico da Ucrânia, enviados a mais de 60 endereços governamentais. A análise da metadata dos documentos revelou que foram criados um dia após a atualização de segurança. O CERT-UA atribuiu esses ataques ao grupo APT28, associado à inteligência militar russa (GRU). A abertura do documento malicioso inicia uma cadeia de download que instala malware via COM hijacking, utilizando um arquivo DLL malicioso e shellcode oculto em uma imagem. O malware COVENANT, utilizado nos ataques, se conecta ao serviço de armazenamento em nuvem Filen para operações de comando e controle. As organizações são aconselhadas a aplicar a atualização de segurança mais recente e a monitorar conexões associadas ao Filen para melhorar a defesa contra essa ameaça.

Uma vulnerabilidade de alta severidade foi identificada no OpenClaw, um assistente pessoal de inteligência artificial de código aberto, que pode permitir a execução remota de código (RCE) através de um link malicioso. A falha, registrada como CVE-2026-25253 e com uma pontuação CVSS de 8.8, foi corrigida na versão 2026.1.29, lançada em 30 de janeiro de 2026. O problema reside na falta de validação do parâmetro ‘gatewayUrl’ na interface de controle, que permite que um link malicioso envie um token de autenticação para um servidor controlado por um atacante. Isso possibilita que o invasor conecte-se ao gateway local da vítima, altere configurações e execute comandos com privilégios elevados. O ataque pode ser realizado com um único clique, tornando-o extremamente perigoso. A vulnerabilidade afeta qualquer implantação do OpenClaw onde o usuário tenha se autenticado na interface de controle, permitindo acesso ao API do gateway e a execução de código arbitrário. O impacto é significativo, pois mesmo configurações que limitam o acesso a localhost podem ser contornadas, devido à maneira como o navegador da vítima inicia a conexão. A rápida popularidade do OpenClaw, com mais de 149 mil estrelas no GitHub, aumenta a urgência para que as organizações que utilizam essa ferramenta implementem a atualização imediatamente.

A Microsoft resolveu um problema que fazia com que a opção de login por senha desaparecesse da tela de bloqueio do Windows 11 após a instalação de atualizações desde agosto de 2025. O ícone da senha só aparece se houver múltiplas opções de login disponíveis, como PIN, chave de segurança ou impressão digital. No entanto, se o usuário utilizar apenas a senha, o ícone pode não ser exibido, pois o campo de senha é mostrado por padrão. A empresa reconheceu essa falha em novembro de 2025 e, apesar de os usuários afetados ainda conseguirem fazer login, a ausência do ícone dificultava o acesso. A solução foi disponibilizada na atualização cumulativa opcional KB5074105, lançada em 29 de janeiro de 2025, que também incluiu 32 correções para problemas de inicialização, login e ativação. Além disso, a atualização corrigiu falhas que causavam erros de inicialização e travamentos no Explorer.exe durante o primeiro login. A Microsoft já havia abordado outras questões relacionadas a atualizações anteriores, como interrupções na reprodução de vídeos protegidos por DRM e problemas de instalação de aplicativos para usuários não administradores. Essa atualização é crucial para garantir a segurança e a funcionalidade do sistema operacional.

A Microsoft anunciou que desabilitará o protocolo de autenticação NTLM, com 30 anos de existência, por padrão nas próximas versões do Windows, devido a vulnerabilidades de segurança que expõem as organizações a ciberataques. O NTLM, introduzido em 1993, é um protocolo de autenticação que foi amplamente explorado em ataques de relé NTLM e ataques pass-the-hash, permitindo que cibercriminosos escalem privilégios e acessem dados sensíveis. A transição para a desativação do NTLM ocorrerá em três fases: a primeira permitirá que administradores identifiquem o uso do NTLM, a segunda introduzirá novas funcionalidades para evitar a queda para o NTLM, e a terceira desabilitará o NTLM por padrão, embora o protocolo ainda possa ser reativado se necessário. A mudança é parte de um movimento mais amplo em direção a métodos de autenticação sem senha e resistentes a phishing, com a Microsoft incentivando desenvolvedores a migrar para alternativas mais seguras, como o Kerberos. Essa decisão é crucial para aumentar a segurança das redes corporativas e reduzir a exposição a ataques cibernéticos.

Um estudo recente da empresa de cibersegurança Aisle revelou 12 vulnerabilidades no OpenSSL, um dos principais padrões de segurança da internet, utilizando inteligência artificial. Essas falhas, algumas com mais de 20 anos, não foram detectadas por revisões manuais anteriores. As vulnerabilidades variam em severidade, desde alta até moderada, e incluem problemas críticos como transbordamento de buffer e falta de validação, que podem permitir a execução remota de códigos maliciosos. O OpenSSL é amplamente utilizado para implementar protocolos de segurança TLS e SSL, sendo essencial para a proteção de sites com HTTPS. A Aisle já disponibilizou correções para as falhas identificadas, em colaboração com a OpenSSL. O uso de IA na detecção de vulnerabilidades tem se mostrado eficaz, pois consegue analisar o código de forma contextual, priorizando as ameaças e reduzindo falsos positivos. Este avanço na cibersegurança é crucial, especialmente considerando que a indústria enfrenta um aumento nas ameaças digitais que também utilizam inteligência artificial.

A Microsoft anunciou a correção de um problema que impedia usuários do Microsoft 365 de abrir e-mails criptografados no Outlook clássico após uma atualização em dezembro. O erro afetava mensagens com permissões de ‘Encrypt Only’, que não restringem o encaminhamento, impressão ou cópia do e-mail. Em sistemas afetados, os usuários recebiam um anexo ‘message_v2.rpmsg’ em vez do conteúdo legível, tornando a mensagem inacessível. A empresa reconheceu o problema há três semanas e informou que uma correção está disponível para clientes no Canal Beta, com previsão de lançamento para o Canal Atual e Canal Atual Preview em fevereiro. Enquanto isso, a Microsoft sugere duas soluções temporárias: os remetentes devem usar a opção ‘Encrypt’ na faixa de opções, ou os usuários podem reverter para uma versão anterior do software que não seja afetada pelo problema. Este incidente se soma a uma série de falhas que a Microsoft já corrigiu no Outlook clássico, incluindo problemas de funcionalidade e desempenho após atualizações do Windows.

A SmarterTools anunciou a correção de duas vulnerabilidades críticas em seu software de e-mail SmarterMail, incluindo uma falha de execução remota de código, identificada como CVE-2026-24423, que possui uma pontuação CVSS de 9.3. Essa vulnerabilidade permite que um atacante direcione o SmarterMail para um servidor HTTP malicioso, executando comandos do sistema operacional sem autenticação. A falha foi descoberta por pesquisadores de várias organizações e corrigida na versão Build 9511, lançada em 15 de janeiro de 2026. Além disso, a mesma versão também aborda outra vulnerabilidade crítica (CVE-2026-23760) que já estava sendo explorada ativamente. Outra falha de severidade média (CVE-2026-25067) foi corrigida na versão Build 9518, lançada em 22 de janeiro de 2026, que poderia facilitar ataques de retransmissão NTLM e autenticação não autorizada. Dada a gravidade das vulnerabilidades e a exploração ativa, é crucial que os usuários atualizem para a versão mais recente o mais rápido possível.

A Ivanti divulgou duas vulnerabilidades críticas em seu software Ivanti Endpoint Manager Mobile (EPMM), identificadas como CVE-2026-1281 e CVE-2026-1340, que estão sendo exploradas em ataques zero-day. Ambas as falhas são vulnerabilidades de injeção de código que permitem que atacantes remotos executem códigos arbitrários em dispositivos vulneráveis sem necessidade de autenticação, apresentando um CVSS de 9.8. A empresa confirmou que um número muito limitado de clientes teve suas soluções exploradas até o momento da divulgação. Para mitigar os riscos, a Ivanti lançou scripts RPM para as versões afetadas do EPMM, sem necessidade de downtime. Contudo, os patches não sobrevivem a atualizações de versão e devem ser reaplicados após upgrades. A exploração bem-sucedida dessas vulnerabilidades pode permitir acesso a informações sensíveis, como nomes de usuários, endereços de e-mail e dados de dispositivos móveis gerenciados. A CISA dos EUA incluiu a CVE-2026-1281 em seu catálogo de Vulnerabilidades Conhecidas Exploitadas, reforçando a urgência da aplicação das correções. A Ivanti recomenda que, em caso de comprometimento, os administradores restauram o EPMM a partir de um backup conhecido e realizem ações de segurança adicionais, como redefinir senhas de contas e revogar certificados públicos.

A Microsoft está investigando relatos de falhas de inicialização no Windows 11 após a instalação da atualização cumulativa de janeiro de 2026, KB5074109. Usuários relataram que seus sistemas não conseguiam iniciar, apresentando uma tela de erro BSOD com o código ‘UNMOUNTABLE_BOOT_VOLUME’. A empresa identificou que esses problemas estão relacionados a tentativas anteriores malsucedidas de instalar a atualização de segurança de dezembro de 2025, que deixou os dispositivos em um estado instável. A Microsoft informou que a instalação de atualizações enquanto o sistema está nesse estado inadequado pode resultar em falhas de inicialização. Embora a empresa esteja trabalhando em uma solução parcial para evitar que mais dispositivos entrem nesse estado, essa solução não repara os dispositivos já afetados. Atualmente, o problema parece estar restrito a dispositivos físicos, sem relatos de impacto em máquinas virtuais. A Microsoft continua a investigar as causas das falhas de instalação das atualizações do Windows.

A Ivanti anunciou a liberação de atualizações de segurança para corrigir duas vulnerabilidades críticas no Ivanti Endpoint Manager Mobile (EPMM), que foram exploradas em ataques zero-day. As falhas, identificadas como CVE-2026-1281 e CVE-2026-1340, possuem uma pontuação CVSS de 9.8, permitindo a execução remota de código não autenticado. As versões afetadas incluem EPMM 12.5.0.0 e anteriores, 12.6.0.0 e anteriores, e 12.7.0.0 e anteriores. A correção será incluída na versão 12.8.0.0, prevista para ser lançada no primeiro trimestre de 2026. A Ivanti alertou que um número limitado de clientes teve suas soluções comprometidas e recomendou que os usuários verifiquem logs de acesso e mudanças de configuração para identificar possíveis explorações. A CISA adicionou a CVE-2026-1281 ao seu catálogo de vulnerabilidades conhecidas, exigindo que agências federais dos EUA apliquem as atualizações até 1º de fevereiro de 2026. As falhas afetam funcionalidades específicas do EPMM, mas não impactam outros produtos da Ivanti, como o Ivanti Neurons para MDM e o Ivanti Sentry.

Uma investigação conjunta da SentinelOne e Censys revelou que a implementação de inteligência artificial (IA) de código aberto criou uma vasta camada de infraestrutura de computação de IA não gerenciada, com 175.000 hosts únicos do Ollama em 130 países. A maioria das exposições está na China, seguida por países como EUA, Alemanha e Brasil. Esses sistemas operam fora dos controles de segurança padrão, apresentando riscos significativos. Quase 50% dos hosts observados possuem capacidades de chamada de ferramentas, permitindo a execução de código e acesso a APIs, o que altera o modelo de ameaça. A falta de autenticação e a exposição à rede aumentam o risco de LLMjacking, onde recursos de infraestrutura de IA são explorados por agentes maliciosos. A operação chamada ‘Operation Bizarre Bazaar’ tem como alvo endpoints de serviços LLM expostos, comercializando o acesso a essas infraestruturas. A natureza descentralizada do ecossistema Ollama complica a governança e abre novas avenidas para injeções de prompt e tráfego malicioso. Para os defensores, é crucial tratar os LLMs com os mesmos controles de autenticação e monitoramento aplicados a outras infraestruturas acessíveis externamente.

Um estudo da OMICRON identificou lacunas significativas na cibersegurança das redes de tecnologia operacional (OT) em subestações, usinas e centros de controle ao redor do mundo. A análise, baseada em dados de mais de 100 instalações, destacou problemas técnicos, organizacionais e funcionais que tornam a infraestrutura energética vulnerável a ameaças cibernéticas. As avaliações, realizadas com o sistema de detecção de intrusões StationGuard, revelaram vulnerabilidades como dispositivos desatualizados, conexões externas inseguras e segmentação de rede fraca. Além disso, questões organizacionais, como responsabilidades pouco claras e falta de recursos, foram apontadas como fatores que aumentam os riscos. O estudo enfatiza a necessidade urgente de soluções de segurança robustas e adaptadas às particularidades dos ambientes de OT, especialmente em um cenário onde as redes de TI e OT estão se convergindo rapidamente. A implementação de sistemas de detecção de intrusões é crucial, pois muitos dispositivos operam sem sistemas operacionais padrão, tornando a detecção em nível de rede a única opção viável.

As atualizações desta semana em cibersegurança destacam como pequenas mudanças podem gerar grandes problemas, especialmente em sistemas que as pessoas utilizam diariamente. O FBI anunciou a apreensão do fórum de cibercrime RAMP, que se tornou um ponto de encontro para atividades ilícitas após a proibição de operações de ransomware em outros fóruns. A administração do RAMP reconheceu que a apreensão comprometeu anos de trabalho, enquanto grupos criminosos já estão migrando para novas plataformas, como Rehub, o que pode aumentar os riscos de reputação e segurança.

A SolarWinds divulgou atualizações de segurança para corrigir várias vulnerabilidades críticas em seu software Web Help Desk, incluindo quatro falhas que podem permitir a execução remota de código (RCE) e a bypass de autenticação. As vulnerabilidades, identificadas como CVE-2025-40536 a CVE-2025-40554, variam em severidade, com algumas apresentando pontuações CVSS de até 9.8, indicando um risco elevado. Entre as falhas, destacam-se a deserialização de dados não confiáveis, que pode permitir que atacantes não autenticados executem comandos no sistema alvo. A descoberta dessas vulnerabilidades foi creditada a especialistas de segurança, e a SolarWinds já lançou a versão WHD 2026.1 para mitigar os riscos. A empresa tem um histórico recente de correções de segurança, e a urgência em atualizar para a versão mais recente é enfatizada, dado que falhas anteriores foram exploradas ativamente. A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) já havia incluído vulnerabilidades anteriores da SolarWinds em seu catálogo de Exploits Conhecidos, reforçando a necessidade de atenção imediata por parte dos usuários do software.

Uma vulnerabilidade crítica de dia zero no Microsoft Office foi identificada e corrigida pela Microsoft após ser explorada para a distribuição de malware. Essa falha, que se baseava na “dependência de entradas não confiáveis”, permitiu que cibercriminosos acessassem dados sensíveis, como credenciais de login e senhas dos usuários. A Microsoft não divulgou detalhes sobre os responsáveis pelos ataques ou a extensão dos sistemas afetados, mas confirmou que a exploração da falha estava focada no Microsoft 365 e no Office. A correção foi implementada para proteger os usuários contra controles vulneráveis, e os usuários do Office 2021 e versões posteriores precisam reiniciar seus aplicativos para aplicar a atualização. Já os usuários do Office 2016 e 2019 devem instalar manualmente as atualizações específicas fornecidas pela Microsoft. Essa situação destaca a importância de manter os softwares atualizados para evitar riscos de segurança.

O WinRAR, um popular programa de compactação de arquivos, está enfrentando uma vulnerabilidade crítica, identificada como CVE-2025-8088, que permite a execução de código arbitrário em sistemas comprometidos. Essa falha, classificada com um índice de severidade de 8.4/10, afeta as versões 7.12 e anteriores do software. Pesquisadores de segurança alertam que grupos de hackers, incluindo organizações patrocinadas por estados, estão explorando essa vulnerabilidade para implantar malware em dispositivos-alvo. O uso de Streams de Dados Alternativos (ADS) no WinRAR permite que os atacantes escondam cargas maliciosas em arquivos aparentemente inofensivos, como documentos PDF. Quando o usuário abre o arquivo, o malware é extraído e executado. Entre os grupos que têm utilizado essa falha estão o RomCom, alinhado à Rússia, e diversos atores patrocinados pela China. Para mitigar os riscos, é recomendado que os usuários atualizem para a versão 7.13 ou superior do WinRAR, já que a atualização não requer desinstalação do programa anterior.

Duas vulnerabilidades graves foram identificadas na plataforma de automação de fluxos de trabalho n8n, permitindo que atacantes comprometam completamente as instâncias afetadas, acessem dados sensíveis e executem código arbitrário no host subjacente. As falhas, identificadas como CVE-2026-1470 e CVE-2026-0863, foram descobertas pela empresa de segurança JFrog. A CVE-2026-1470, com uma pontuação de severidade crítica de 9.9, permite a execução de código arbitrário devido a uma falha na manipulação de JavaScript, enquanto a CVE-2026-0863 explora uma falha no Python que permite a execução de comandos do sistema operacional. Ambas as vulnerabilidades exigem autenticação, mas podem ser exploradas por usuários não administradores, o que aumenta o risco. As versões afetadas foram corrigidas, e os usuários são aconselhados a atualizar para as versões mais recentes. A n8n, que é amplamente utilizada para automação de tarefas e integrações com serviços de IA, tem visto um aumento na atenção de pesquisadores de segurança devido a falhas críticas recentes. A situação é preocupante, pois muitas instâncias ainda estão vulneráveis, indicando uma lenta taxa de correção entre os usuários.

Uma falha crítica de autenticação no Telnet, identificada como CVE-2026-24061, expôs cerca de 800 mil servidores a invasões sem necessidade de senha. A vulnerabilidade afeta versões do telnetd GNU InetUtils desde 1.9.3 até 2.7, sendo corrigida apenas na versão 2.8, lançada em 20 de janeiro de 2026. A empresa de segurança Shadowserver está monitorando os endereços IP afetados, com a maioria localizada na Ásia (380 mil), América do Sul (170 mil) e Europa (100 mil). Apesar da correção, muitos dispositivos, especialmente aqueles que operam com sistemas legados e Internet das Coisas, podem ainda estar vulneráveis. Desde a divulgação da falha, atividades maliciosas foram detectadas, com 83% dos ataques visando o usuário root. Os atacantes tentaram executar malwares Python, mas falharam devido à falta de diretórios e binários. Para mitigar o risco, recomenda-se desabilitar o serviço telnetd vulnerável ou bloquear a porta TCP 23 nos firewalls.

A SolarWinds anunciou a liberação de atualizações de segurança para corrigir vulnerabilidades críticas em seu software Web Help Desk, que é amplamente utilizado por empresas, instituições de saúde e agências governamentais. As falhas de bypass de autenticação, identificadas como CVE-2025-40552 e CVE-2025-40554, permitem que atacantes remotos não autenticados realizem ataques de baixa complexidade. Além disso, uma vulnerabilidade crítica de execução remota de código (CVE-2025-40553) foi descoberta, possibilitando que atacantes sem privilégios executem comandos em sistemas vulneráveis. Outra falha de RCE (CVE-2025-40551) também foi relatada, aumentando o risco de exploração. A SolarWinds também corrigiu uma vulnerabilidade de credenciais hardcoded (CVE-2025-40537), que poderia permitir acesso não autorizado a funções administrativas. A empresa recomenda que os administradores atualizem seus servidores para a versão 2026.1 do Web Help Desk o mais rápido possível, uma vez que vulnerabilidades anteriores já foram exploradas em ataques. O alerta é especialmente relevante, pois a CISA já havia classificado falhas anteriores como ativamente exploradas, exigindo ações rápidas de agências governamentais.

Pesquisadores de cibersegurança revelaram duas falhas significativas na plataforma n8n, que é amplamente utilizada para automação de workflows. A primeira vulnerabilidade, identificada como CVE-2026-1470, possui uma pontuação CVSS de 9.9 e permite que um usuário autenticado contorne o mecanismo de sandbox da expressão, possibilitando a execução remota de código JavaScript malicioso. A segunda falha, CVE-2026-0863, com pontuação CVSS de 8.5, permite a execução de código Python arbitrário no sistema operacional subjacente, também por um usuário autenticado. A exploração bem-sucedida dessas vulnerabilidades pode permitir que um atacante assuma o controle total de uma instância do n8n, mesmo em modo de execução interna, o que representa um risco significativo para a segurança das organizações. Os desenvolvedores recomendam que os usuários atualizem para versões específicas para mitigar esses riscos. Essas falhas destacam a dificuldade de manter a segurança em linguagens dinâmicas como JavaScript e Python, onde características sutis podem ser exploradas para contornar medidas de segurança.

Uma vulnerabilidade crítica de escape de sandbox foi divulgada na popular biblioteca vm2 do Node.js, que, se explorada com sucesso, pode permitir que atacantes executem código arbitrário no sistema operacional subjacente. A falha, identificada como CVE-2026-22709, possui uma pontuação CVSS de 9.8 em 10.0, indicando seu alto nível de gravidade. O problema decorre da sanitização inadequada dos manipuladores de Promise na versão 3.10.0 do vm2, permitindo que o código escape do ambiente seguro em que deveria ser executado. A biblioteca vm2 é amplamente utilizada para executar código não confiável em um ambiente isolado, mas a descoberta de múltiplas falhas de segurança nos últimos anos levanta preocupações sobre sua confiabilidade. Embora a versão 3.10.2 tenha corrigido essa vulnerabilidade, os mantenedores alertam que novas falhas podem surgir, recomendando que os usuários atualizem para a versão mais recente (3.10.3) e considerem alternativas mais robustas, como o isolated-vm. A situação é crítica, e os usuários devem agir rapidamente para proteger seus sistemas.

A Fortinet anunciou a liberação de atualizações de segurança para corrigir uma falha crítica no FortiOS, identificada como CVE-2026-24858, com uma pontuação CVSS de 9.4. Essa vulnerabilidade, que permite a bypass de autenticação no sistema de login único (SSO) do FortiCloud, afeta também o FortiManager e o FortiAnalyzer. A falha possibilita que um atacante com uma conta FortiCloud e um dispositivo registrado consiga acessar outros dispositivos vinculados a contas diferentes, caso a autenticação SSO esteja habilitada. Embora essa funcionalidade não esteja ativada por padrão, a Fortinet alertou que administradores que registram dispositivos no FortiCare podem ativá-la inadvertidamente.

A Fortinet confirmou uma nova vulnerabilidade crítica de bypass de autenticação no FortiCloud Single Sign-On (SSO), identificada como CVE-2026-24858. Essa falha permite que atacantes obtenham acesso administrativo a dispositivos FortiOS, FortiManager e FortiAnalyzer registrados por outros clientes, mesmo que esses dispositivos estejam atualizados contra vulnerabilidades anteriores. A confirmação da exploração ativa ocorreu após relatos de clientes sobre comprometimentos em firewalls FortiGate, onde atacantes criaram novas contas de administrador local através do FortiCloud SSO. A Fortinet tomou medidas imediatas, bloqueando conexões SSO do FortiCloud de dispositivos com versões de firmware vulneráveis e desativando contas abusadas. Embora a exploração tenha sido observada apenas no FortiCloud SSO, a empresa alertou que a questão pode afetar outras implementações SAML SSO. A Fortinet recomenda que os administradores restrinjam o acesso administrativo e desativem o FortiCloud SSO até que patches sejam disponibilizados. A vulnerabilidade foi classificada como crítica, com um CVSS de 9.4, e os atacantes foram identificados utilizando contas específicas para comprometer dispositivos e exfiltrar configurações.

Uma vulnerabilidade crítica foi descoberta no Grist-Core, uma ferramenta de planilhas de código aberto, permitindo que cibercriminosos executem códigos remotamente. Identificada como Cellbreak, a falha (CVE-2026-24002) possibilita que fórmulas maliciosas transformem planilhas em pontos de invasão. O pesquisador Vladimir Tokarev destacou que a vulnerabilidade permite a execução de comandos do sistema operacional e JavaScript, rompendo a segurança da sandbox do Pyodide, uma plataforma que deveria isolar a execução de códigos Python no navegador. A falha foi corrigida na versão 1.7.9, lançada em 9 de janeiro de 2026. Para verificar se a versão do Grist está vulnerável, os administradores devem acessar o Painel de Administrador e procurar por “gvisor” ou “pyodide”. A vulnerabilidade é considerada um risco sistêmico, pois pode comprometer a segurança de várias plataformas de automação, permitindo que hackers acessem credenciais e arquivos sensíveis. A atualização do software e a alteração da variável de ambiente GRIST_SANDBOX_FLAVOR são medidas recomendadas para mitigar o problema.

Uma vulnerabilidade de severidade crítica foi identificada na biblioteca vm2, utilizada para criar um ambiente seguro para a execução de código JavaScript não confiável. A falha, rastreada como CVE-2026-22709, permite que atacantes escapem do sandbox e executem código arbitrário no sistema host. A biblioteca, que já foi amplamente utilizada em mais de 200 mil projetos no GitHub, foi descontinuada em 2023 devido a repetidas vulnerabilidades de escape de sandbox. No entanto, em outubro de 2023, o mantenedor Patrik Šimek decidiu reviver o projeto, lançando a versão 3.10.0, que corrigiu várias vulnerabilidades conhecidas. A nova falha surge da falha na sanitização adequada de ‘Promises’, permitindo que funções assíncronas retornem uma Promise global com callbacks que não são devidamente sanitizados. O mantenedor informou que a versão 3.10.1 abordou parcialmente a vulnerabilidade, enquanto a versão 3.10.2 aperfeiçoou a correção. Dada a facilidade de exploração da CVE-2026-22709, é recomendado que os usuários atualizem para a versão mais recente imediatamente. A biblioteca continua a ser popular, com cerca de um milhão de downloads semanais.

Uma vulnerabilidade de alta severidade, identificada como CVE-2025-8088, no software WinRAR está sendo explorada por diversos grupos de ameaças, tanto patrocinados por estados quanto motivados financeiramente. Essa falha de segurança, que se trata de um erro de travessia de caminho, permite que atacantes escrevam arquivos maliciosos em locais arbitrários, utilizando Fluxos de Dados Alternativos (ADS). Pesquisadores da ESET descobriram a vulnerabilidade e relataram que o grupo RomCom, alinhado à Rússia, a estava explorando em ataques zero-day desde julho de 2025. O Google Threat Intelligence Group (GTIG) confirmou que a exploração da vulnerabilidade continua ativa, com grupos de espionagem e cibercriminosos utilizando-a para implantar malware em pastas de inicialização do Windows. Os atacantes frequentemente ocultam arquivos maliciosos dentro de arquivos de isca, como documentos PDF, que, ao serem abertos, extraem o payload malicioso. Entre os grupos observados estão UNC4895, APT44 e Turla, que utilizam a vulnerabilidade para distribuir uma variedade de malwares, incluindo ferramentas de acesso remoto e ladrões de informações. A exploração dessa vulnerabilidade reflete a crescente comercialização do desenvolvimento de exploits, facilitando ataques a sistemas não corrigidos.

A organização de segurança sem fins lucrativos Shadowserver identificou mais de 6.000 servidores SmarterMail expostos na internet, potencialmente vulneráveis a uma falha crítica de bypass de autenticação. A vulnerabilidade, que foi reportada pela watchTowr à desenvolvedora SmarterTools em 8 de janeiro e corrigida em 15 de janeiro, permite que atacantes não autenticados sequestram contas de administrador e executem código remotamente no servidor afetado. A falha, identificada como CVE-2026-23760, afeta versões do SmarterMail anteriores à build 9511 e permite que um atacante forneça um nome de usuário de administrador e uma nova senha para redefinir a conta, resultando em comprometimento total do sistema. A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) incluiu essa vulnerabilidade em sua lista de falhas ativamente exploradas, exigindo que agências governamentais dos EUA protejam seus servidores até 16 de fevereiro. Além disso, a pesquisa da Macnica revelou que mais de 8.550 instâncias do SmarterMail ainda estão vulneráveis, destacando a urgência da situação. A exploração dessa vulnerabilidade pode levar a consequências severas, como controle total dos servidores afetados.

Uma falha de segurança crítica foi identificada no Grist-Core, uma versão de planilha-relacional de código aberto, que pode resultar em execução remota de código (RCE). A vulnerabilidade, rastreada como CVE-2026-24002 e codinome Cellbreak, foi descoberta pelo pesquisador de segurança Vladimir Tokarev. Ele explica que uma fórmula maliciosa pode transformar uma planilha em um ponto de acesso para execução de comandos do sistema operacional ou JavaScript, quebrando a barreira entre a lógica da célula e a execução no host. Essa falha é classificada como uma fuga do sandbox Pyodide, que também afetou recentemente outra plataforma, n8n. A vulnerabilidade foi corrigida na versão 1.7.9, lançada em 9 de janeiro de 2026. Os administradores devem verificar se estão usando o método de sandboxing ‘pyodide’ e, se sim, atualizar imediatamente. A falha permite que um usuário mal-intencionado execute processos arbitrários no servidor, acessando credenciais de banco de dados e chaves de API. A Grist recomenda que os usuários atualizem para a versão mais recente e, como solução temporária, configurem a variável de ambiente GRIST_SANDBOX_FLAVOR para ‘gvisor’. Essa situação destaca a necessidade de um design de sandbox mais robusto e baseado em capacidades para evitar brechas de segurança.

Na última segunda-feira, a Microsoft divulgou patches de segurança fora do ciclo regular para uma vulnerabilidade zero-day de alta severidade no Microsoft Office, identificada como CVE-2026-21509, com uma pontuação CVSS de 7.8. Essa falha permite que atacantes não autorizados contornem recursos de segurança locais, explorando a confiança em entradas não confiáveis. O ataque ocorre quando um arquivo do Office especialmente elaborado é enviado a um usuário, que precisa ser convencido a abri-lo. A Microsoft informou que usuários do Office 2021 e versões posteriores serão protegidos automaticamente, mas devem reiniciar seus aplicativos. Para versões anteriores, como Office 2016 e 2019, atualizações específicas devem ser instaladas. Além disso, a empresa recomenda uma alteração no Registro do Windows para mitigar a vulnerabilidade. A CISA dos EUA adicionou essa falha ao seu catálogo de Vulnerabilidades Conhecidas, exigindo que agências federais apliquem os patches até 16 de fevereiro de 2026. A Microsoft não divulgou detalhes sobre a natureza dos ataques que exploram essa vulnerabilidade, mas a situação destaca a importância de manter os sistemas atualizados e seguros.

Durante a competição Pwn2Own no Automotive World 2026, realizada em Tóquio, pesquisadores revelaram vulnerabilidades preocupantes em sistemas de infoentretenimento e carregadores elétricos de veículos. Um dos destaques foi a demonstração de como um carregador portátil, o Autel MaxiCharger AC Elite Home 40A, pode ser comprometido usando um cartão NFC, permitindo que um invasor assuma o controle total do sistema. Ao longo do evento, foram identificadas 66 vulnerabilidades de dia zero nos primeiros dois dias, com cinco em cada seis tentativas de invasão sendo bem-sucedidas. Os especialistas notaram que muitos ataques se aproveitam de falhas simples e não corrigidas, especialmente em sistemas de infoentretenimento, que são mais fáceis de invadir. Além disso, mesmo com sistemas de segurança complexos, os carregadores elétricos ainda são vulneráveis a ataques via Bluetooth. A falta de processos rigorosos de revisão de segurança em componentes automotivos contribui para a proliferação dessas vulnerabilidades, tornando a situação ainda mais alarmante, já que hackers podem usar ferramentas de manutenção para causar danos sem a necessidade de falhas ativas.

A Microsoft divulgou atualizações de segurança emergenciais para corrigir uma vulnerabilidade zero-day de alta severidade no Microsoft Office, identificada como CVE-2026-21509. Essa falha, que permite a bypass de recursos de segurança, afeta diversas versões do Office, incluindo 2016, 2019, LTSC 2021, LTSC 2024 e Microsoft 365 Apps for Enterprise. Embora as atualizações para Office 2016 e 2019 ainda não estejam disponíveis, a empresa recomenda medidas mitigatórias temporárias. A vulnerabilidade pode ser explorada por atacantes locais não autenticados que convencem usuários a abrir arquivos maliciosos. A Microsoft esclareceu que, para versões mais recentes, como Office 2021, a proteção será aplicada automaticamente, mas os usuários precisarão reiniciar os aplicativos. Para os usuários das versões 2016 e 2019, a empresa sugere a criação de chaves específicas no Registro do Windows como uma medida de mitigação. A falha foi descoberta recentemente, e a Microsoft não divulgou detalhes sobre como foi explorada. A situação é crítica, pois a exploração dessa vulnerabilidade pode comprometer a segurança dos dados dos usuários.

A Shadowserver, entidade de monitoramento de segurança na internet, identificou quase 800 mil endereços IP com impressões digitais de Telnet, em meio a ataques que exploram uma vulnerabilidade crítica de bypass de autenticação no servidor telnetd do GNU InetUtils. Essa falha de segurança, identificada como CVE-2026-24061, afeta versões do GNU InetUtils de 1.9.3 a 2.7, sendo corrigida na versão 2.8, lançada em 20 de janeiro. A vulnerabilidade permite que um cliente malicioso se conecte ao servidor telnetd e se logue como root, ignorando os processos normais de autenticação, ao enviar um valor específico na variável de ambiente USER. A atividade maliciosa começou logo após a divulgação da vulnerabilidade, com tentativas de exploração detectadas em 21 de janeiro, utilizando 18 endereços IP em 60 sessões Telnet. Embora a maioria dos ataques pareça automatizada, alguns foram realizados por operadores humanos. Administradores de sistemas são aconselhados a desativar o serviço telnetd vulnerável ou bloquear a porta TCP 23 em seus firewalls, caso não consigam atualizar imediatamente seus dispositivos.