Vulnerabilidade

Nesta semana, o cenário de cibersegurança revela que pequenas falhas estão se transformando em grandes pontos de entrada para atacantes. Um exemplo alarmante é o caso do complemento AgreeTo para Outlook, que foi sequestrado e transformado em um kit de phishing, resultando no roubo de mais de 4.000 credenciais de contas Microsoft. Essa situação ilustra como ativos negligenciados podem se tornar vetores de ataque. Além disso, a Google lançou atualizações de segurança para o Chrome, corrigindo uma vulnerabilidade crítica (CVE-2026-2441) que estava sendo explorada ativamente. Outra vulnerabilidade crítica, CVE-2026-1731, foi identificada nos produtos da BeyondTrust e já está sendo explorada, permitindo execução remota de código. A Apple também lançou correções para uma falha zero-day em seus sistemas operacionais. Por fim, o grupo TeamPCP está explorando ambientes de nuvem mal configurados para expandir suas operações criminosas, enquanto hackers patrocinados por estados estão utilizando inteligência artificial em várias etapas do ciclo de ataque, aumentando a eficiência de suas operações. Esses incidentes destacam a necessidade urgente de vigilância e atualização constante das defesas cibernéticas.

O Google lançou atualizações de emergência para corrigir uma vulnerabilidade de alta severidade no Chrome, identificada como CVE-2026-2441, que está sendo explorada em ataques zero-day. Essa falha, relatada pelo pesquisador de segurança Shaheen Fazim, é uma vulnerabilidade do tipo use-after-free, resultante de um erro de invalidação de iterador no CSSFontFeatureValuesMap, que pode causar falhas no navegador, problemas de renderização, corrupção de dados e comportamentos indefinidos. O patch foi considerado urgente, sendo implementado em versões estáveis do Chrome para Windows, macOS e Linux, com a atualização sendo disponibilizada globalmente nos próximos dias. Embora o Google tenha confirmado a exploração ativa dessa vulnerabilidade, não foram divulgados detalhes adicionais sobre os ataques. A empresa também indicou que o problema imediato foi resolvido, mas que ainda há trabalho a ser feito, sugerindo que a solução pode ser temporária. Essa é a primeira vulnerabilidade do Chrome explorada ativamente a ser corrigida em 2026, após um ano em que o Google tratou de oito zero-days, muitos deles relacionados a ataques de spyware contra indivíduos de alto risco.

Na última sexta-feira, o Google lançou atualizações de segurança para o navegador Chrome, visando uma vulnerabilidade de alta gravidade, identificada como CVE-2026-2441, com uma pontuação CVSS de 8.8. Essa falha, classificada como um erro ‘use-after-free’ em CSS, permite que um atacante remoto execute código arbitrário dentro de um sandbox através de uma página HTML manipulada. O pesquisador de segurança Shaheen Fazim descobriu e reportou a vulnerabilidade em 11 de fevereiro de 2026. Embora o Google não tenha revelado detalhes sobre como a falha está sendo explorada ou quem são os alvos, a empresa confirmou que um exploit para essa vulnerabilidade já está em uso ativo. Essa é a primeira falha zero-day explorada ativamente no Chrome que foi corrigida em 2026, destacando a atratividade das falhas em navegadores para agentes maliciosos, dada sua ampla instalação e superfície de ataque. Para proteção ideal, os usuários devem atualizar para as versões 145.0.7632.75/76 no Windows e macOS, e 144.0.7559.75 no Linux. Navegadores baseados em Chromium, como Microsoft Edge e Brave, também devem ser atualizados assim que as correções estiverem disponíveis.

A Microsoft anunciou a resolução de um erro no Windows 11 que impedia alguns sistemas comerciais de inicializar, apresentando a mensagem “UNMOUNTABLE_BOOT_VOLUME” após a instalação de atualizações de segurança recentes. O problema, que afetou dispositivos físicos com as versões 25H2 e 24H2 do Windows 11, foi vinculado a falhas nas atualizações de dezembro de 2025. A correção foi disponibilizada na atualização de segurança KB5077181, lançada em 10 de fevereiro de 2026. Os dispositivos afetados enfrentavam falhas de inicialização após a instalação da atualização de segurança KB5074109, lançada em 13 de janeiro de 2026, resultando em telas pretas e a necessidade de recuperação manual. A Microsoft já havia lançado uma resolução inicial em uma atualização opcional em janeiro, mas a solução completa foi confirmada apenas em fevereiro. A empresa recomenda que clientes empresariais que ainda enfrentam problemas entrem em contato com o suporte da Microsoft para assistência. A falta de um aviso público sobre o problema levanta questões sobre a comunicação da empresa em relação a falhas críticas.

Observações de inteligência de ameaças indicam que um único ator é responsável pela exploração ativa de duas vulnerabilidades críticas no Ivanti Endpoint Manager Mobile (EPMM), identificadas como CVE-2026-21962 e CVE-2026-24061. Ambas as falhas, que permitem a execução remota de código (RCE) sem autenticação, foram destacadas em um aviso de segurança da Ivanti, que também anunciou correções temporárias. A empresa de inteligência GreyNoise revelou que um único endereço IP, hospedado em uma infraestrutura ‘à prova de balas’, é responsável por mais de 83% das atividades de exploração relacionadas a essas vulnerabilidades. Entre 1 e 9 de fevereiro, foram observadas 417 sessões de exploração, com um pico significativo em 8 de fevereiro, quando 269 sessões foram registradas em um único dia. A maioria das sessões utilizou callbacks DNS do tipo OAST, sugerindo atividade de corretores de acesso inicial. As correções da Ivanti não são permanentes, e a empresa planeja lançar patches completos no primeiro trimestre deste ano. Até lá, recomenda-se a utilização de pacotes RPM específicos para versões vulneráveis do EPMM.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu uma ordem para que agências governamentais dos EUA protejam seus sistemas contra uma vulnerabilidade crítica no Microsoft Configuration Manager (ConfigMgr), identificada como CVE-2024-43468. Essa falha, que foi corrigida em outubro de 2024, permite que atacantes remotos não autenticados executem comandos arbitrários com altos privilégios no servidor e na base de dados do ConfigMgr. A vulnerabilidade foi relatada pela empresa de segurança Synacktiv, que também divulgou um código de exploração em novembro de 2024, indicando que a falha está sendo ativamente explorada. A CISA alertou que essas vulnerabilidades são vetores frequentes de ataque e representam riscos significativos para a segurança das agências federais. Embora a ordem se aplique apenas a agências federais, a CISA recomendou que todas as organizações, incluindo o setor privado, tomem medidas para proteger seus sistemas contra essa vulnerabilidade. As agências têm até 5 de março para aplicar os patches necessários, conforme a Diretiva Operacional Vinculativa (BOD) 22-01.

Recentemente, um grave problema de segurança foi descoberto nos produtos BeyondTrust Remote Support (RS) e Privileged Remote Access (PRA), com a vulnerabilidade CVE-2026-1731 recebendo uma pontuação de 9.9 no CVSS. Essa falha permite que atacantes não autenticados executem comandos no sistema operacional ao enviar requisições especialmente elaboradas. A exploração dessa vulnerabilidade foi observada em tempo real, com os atacantes utilizando a função get_portal_info para extrair informações antes de estabelecer um canal WebSocket. A BeyondTrust já lançou patches para corrigir a falha nas versões mais recentes de seus produtos. Além disso, a CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) adicionou quatro outras vulnerabilidades ao seu catálogo de Exploited Vulnerabilities, incluindo falhas em sistemas da Apple e SolarWinds, que também estão sendo ativamente exploradas. O cenário destaca a rapidez com que as vulnerabilidades podem ser exploradas, exigindo que as organizações implementem correções rapidamente para proteger seus sistemas contra acessos não autorizados e possíveis interrupções de serviço.

Uma vulnerabilidade grave, identificada como CVE-2026-20841, foi descoberta no Bloco de Notas do Windows, permitindo que cibercriminosos assumam o controle total de computadores afetados. A falha, que se relaciona à execução remota de código, foi encontrada durante uma atualização de segurança em fevereiro de 2026, após a Microsoft ter implementado suporte ao Markdown no aplicativo. A exploração da vulnerabilidade ocorre quando um usuário abre um arquivo Markdown comprometido, que contém um link malicioso. Ao clicar nesse link, os hackers conseguem executar comandos não verificados, obtendo acesso a dados pessoais sem que o sistema emita alertas de segurança. A versão clássica do Bloco de Notas não foi afetada, mas as versões mais recentes, que possuem mais funcionalidades, estão em risco. A Microsoft já lançou uma atualização urgente para corrigir a falha, recomendando que os usuários atualizem suas versões para a 11.2510 ou superiores e mantenham cautela ao interagir com mensagens suspeitas.

Durante o Wild West Hackin’ Fest, o pesquisador de segurança Wietze Beukema apresentou várias vulnerabilidades em arquivos de atalho (.LNK) do Windows, que permitem a execução de payloads maliciosos. Beukema documentou quatro técnicas desconhecidas que manipulam esses arquivos para ocultar alvos maliciosos, enganando os usuários que verificam as propriedades do arquivo. Os arquivos LNK, introduzidos no Windows 95, utilizam um formato binário complexo que possibilita a criação de arquivos enganosos que parecem legítimos no Windows Explorer, mas que executam programas diferentes ao serem abertos. As falhas exploram inconsistências na priorização de caminhos de destino conflitantes dentro dos arquivos de atalho. A técnica mais poderosa envolve a manipulação da estrutura EnvironmentVariableDataBlock, permitindo que um alvo falso, como “invoice.pdf”, seja exibido, enquanto comandos maliciosos são executados. Apesar da gravidade das falhas, a Microsoft não as classificou como vulnerabilidades de segurança, argumentando que a exploração requer interação do usuário. Beukema, por sua vez, destacou que os usuários frequentemente ignoram avisos de segurança, o que torna esses ataques viáveis. Ele também lançou uma ferramenta de código aberto chamada “lnk-it-up” para testar e identificar arquivos LNK potencialmente maliciosos.

Uma vulnerabilidade crítica de execução remota de código pré-autenticação foi identificada nos aparelhos BeyondTrust Remote Support e Privileged Remote Access, afetando versões 25.3.1 e anteriores do Remote Support e 24.3.4 e anteriores do Privileged Remote Access. A falha, rastreada como CVE-2026-1731 e com uma pontuação CVSS de 9.9, permite que atacantes não autenticados enviem solicitações de cliente especialmente elaboradas, possibilitando a execução de comandos do sistema operacional no contexto do usuário do site. A BeyondTrust divulgou a vulnerabilidade em 6 de fevereiro de 2026, alertando que a exploração bem-sucedida pode levar a compromissos de sistema, acesso não autorizado, exfiltração de dados e interrupção de serviços. Embora a BeyondTrust tenha aplicado patches automaticamente em suas instâncias SaaS, clientes on-premise devem instalar as correções manualmente. A exploração da vulnerabilidade já está em andamento, com cerca de 11.000 instâncias expostas online, das quais aproximadamente 8.500 são implementações on-premise. Especialistas recomendam que as organizações que utilizam essas soluções apliquem as correções disponíveis imediatamente.

Uma falha crítica de segurança foi identificada nas extensões do Claude, ferramenta de inteligência artificial da Anthropic, afetando mais de 10 mil usuários. Pesquisadores da LayerX descobriram uma vulnerabilidade de clique zero que permite a execução remota de códigos maliciosos. O problema está relacionado à forma como as extensões interagem com o Google Agenda, onde um evento corrompido pode ser utilizado para executar comandos sem a necessidade de autorização do usuário. Essa falha ocorre devido ao acesso total que as extensões têm ao sistema do dispositivo, permitindo ações automáticas que podem ser exploradas por atacantes. A execução de um simples comando, como a verificação de eventos, pode desencadear uma cadeia de ações prejudiciais, comprometendo a segurança do sistema. Até o momento, a Anthropic não divulgou uma correção para a vulnerabilidade, que é considerada complexa e relacionada à infraestrutura da ferramenta. A situação exige atenção, pois a falta de um patch pode deixar os usuários vulneráveis a ataques.

A Apple lançou atualizações para iOS, iPadOS, macOS Tahoe, tvOS, watchOS e visionOS para corrigir uma vulnerabilidade zero-day, identificada como CVE-2026-20700, que está sendo explorada em ataques cibernéticos sofisticados. Essa falha, relacionada à corrupção de memória no dyld, o editor de links dinâmicos da Apple, permite que atacantes executem código arbitrário em dispositivos vulneráveis. O Google Threat Analysis Group (TAG) descobriu e reportou a vulnerabilidade. A Apple também emitiu correções para outras falhas, como CVE-2025-14174 e CVE-2025-43529, que foram abordadas em dezembro de 2025. As atualizações estão disponíveis para uma variedade de dispositivos, incluindo iPhones a partir do modelo 11 e Macs rodando macOS Tahoe. A empresa já havia corrigido nove vulnerabilidades zero-day em 2025, e essa nova atualização marca a primeira falha zero-day ativamente explorada em 2026. É crucial que os usuários atualizem seus dispositivos para evitar possíveis explorações.

Recentemente, uma falha de segurança crítica no Ivanti Endpoint Manager Mobile (EPMM), identificada como CVE-2026-1281, tem sido alvo de exploração ativa. A empresa de inteligência em segurança GreyNoise registrou 417 tentativas de exploração entre 1 e 9 de fevereiro de 2026, com 83% dessas tentativas originando-se de um único endereço IP, 193.24.123[.]42, associado a uma infraestrutura de hospedagem resistente a ações legais, conhecida como PROSPERO. Essa vulnerabilidade permite a execução remota de código não autenticado, colocando em risco a segurança de organizações que utilizam o EPMM. Além disso, a análise revelou que o mesmo IP está explorando outras vulnerabilidades em softwares não relacionados, o que sugere o uso de ferramentas automatizadas para esses ataques. Agências europeias, incluindo a Autoridade de Proteção de Dados da Holanda, confirmaram que foram alvos de ataques utilizando essas falhas. A Ivanti já reconheceu que um número limitado de clientes foi impactado. Especialistas recomendam que os usuários do EPMM apliquem patches de segurança, auditem suas infraestruturas e monitorem atividades suspeitas para mitigar riscos.

A Microsoft corrigiu uma vulnerabilidade de execução remota de código (RCE) no Notepad do Windows 11, que permitia a atacantes executar programas locais ou remotos ao induzir usuários a clicarem em links Markdown maliciosos, sem exibir avisos de segurança. A falha, identificada como CVE-2026-20841, foi descoberta por pesquisadores e poderia ser explorada ao abrir arquivos Markdown (.md) que contivessem links manipulados. Ao clicar em um link malicioso, o Notepad poderia executar arquivos sem qualquer aviso, colocando em risco a segurança do usuário. A atualização, disponibilizada em fevereiro de 2026, agora exibe alertas ao clicar em links que não utilizam os protocolos http:// ou https://, mas ainda é possível que usuários sejam enganados a confirmar a execução. A Microsoft não esclareceu o motivo de não ter bloqueado esses links não padrão inicialmente. A correção será distribuída automaticamente via Microsoft Store, minimizando o impacto da vulnerabilidade.

A Apple lançou atualizações de segurança para corrigir uma vulnerabilidade zero-day, identificada como CVE-2026-20700, que foi explorada em um ataque extremamente sofisticado direcionado a indivíduos específicos. Essa falha, que permite a execução de código arbitrário no dyld, o Dynamic Link Editor utilizado nos sistemas operacionais da Apple, afeta dispositivos como iPhone 11 e versões posteriores, iPads a partir da 8ª geração, e Macs com macOS Tahoe. A empresa foi alertada sobre a exploração dessa vulnerabilidade pelo Google Threat Analysis Group, embora não tenha fornecido detalhes sobre como o ataque foi realizado. A Apple recomenda que todos os usuários instalem as atualizações mais recentes para proteger seus dispositivos, especialmente considerando que a falha foi utilizada em ataques direcionados. Além do CVE-2026-20700, outras vulnerabilidades, como CVE-2025-14174 e CVE-2025-43529, também foram exploradas em incidentes semelhantes. As atualizações de segurança foram disponibilizadas nas versões iOS 18.7.5, iPadOS 18.7.5, macOS Tahoe 26.3, tvOS 26.3, watchOS 26.3 e visionOS 26.3.

No dia 11 de fevereiro de 2026, a Microsoft lançou atualizações de segurança para corrigir 59 falhas em seu software, das quais seis estão sendo ativamente exploradas. Entre as vulnerabilidades, cinco foram classificadas como Críticas e 52 como Importantes. As falhas incluem escalonamento de privilégios, execução remota de código e bypass de recursos de segurança. As vulnerabilidades mais críticas são CVE-2026-21510 e CVE-2026-21513, ambas com pontuação CVSS de 8.8, permitindo que atacantes contornem mecanismos de segurança em redes. A Microsoft também corrigiu uma vulnerabilidade moderada no navegador Edge, que poderia permitir spoofing em dispositivos Android. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu essas falhas em seu catálogo de Vulnerabilidades Conhecidas e Explotadas, exigindo que agências federais apliquem as correções até 3 de março de 2026. Além disso, a Microsoft está implementando novas iniciativas de segurança, como o Modo de Segurança Padrão do Windows, para melhorar a proteção contra ameaças futuras.

Um estudo da Pentera Labs revelou que aplicações de treinamento intencionalmente vulneráveis, como OWASP Juice Shop e DVWA, estão frequentemente expostas à internet em ambientes de nuvem. Essas aplicações, projetadas para fins educacionais e testes, são frequentemente implantadas com configurações padrão e permissões excessivas, permitindo que atacantes acessem identidades de nuvem privilegiadas. A pesquisa identificou quase 2.000 instâncias de aplicações expostas, com 60% delas hospedadas em infraestruturas gerenciadas por clientes em plataformas como AWS, Azure e GCP. Além disso, cerca de 20% dessas instâncias apresentaram evidências de exploração ativa, incluindo atividades de mineração de criptomoedas e shells web. O estudo destaca que ambientes de treinamento são frequentemente considerados de baixo risco e, portanto, não recebem a devida atenção em termos de monitoramento e gestão de segurança. Essa situação é preocupante, pois um único aplicativo exposto pode servir como ponto de entrada para comprometer toda a infraestrutura de nuvem de uma organização. O artigo enfatiza que a rotulagem de um ambiente como ’treinamento’ não diminui seu risco, especialmente quando conectado a identidades privilegiadas na nuvem.

No Patch Tuesday de fevereiro de 2026, diversas empresas de software, incluindo Microsoft, Adobe e SAP, lançaram atualizações para corrigir vulnerabilidades de segurança em seus produtos. A Microsoft abordou 59 falhas, incluindo seis zero-days ativamente explorados que podem permitir a escalada de privilégios e negação de serviço em componentes do Windows. A Adobe, por sua vez, atualizou vários de seus softwares, mas não relatou exploração em campo. A SAP corrigiu duas vulnerabilidades críticas, uma delas relacionada a injeção de código no SAP CRM e S/4HANA, com uma pontuação CVSS de 9.9, que poderia permitir a execução de comandos SQL arbitrários. A outra falha crítica, com pontuação CVSS de 9.6, envolve a falta de verificação de autorização no SAP NetWeaver, permitindo que usuários autenticados de baixo privilégio realizem chamadas de função remota sem as permissões necessárias. Além disso, a Intel e o Google identificaram cinco vulnerabilidades no Intel Trust Domain Extensions (TDX) 1.5, destacando a complexidade crescente de componentes de software altamente privilegiados. As atualizações de segurança são essenciais para mitigar riscos e proteger dados sensíveis.

A Microsoft lançou as atualizações cumulativas KB5077181 e KB5075941 para o Windows 11, abrangendo as versões 25H2, 24H2 e 23H2. Essas atualizações são obrigatórias e incluem correções de vulnerabilidades de segurança e bugs, além de novas funcionalidades. A atualização de fevereiro de 2026 traz melhorias significativas, como a resolução de problemas de conectividade com redes Wi-Fi WPA3 e aprimoramentos no suporte a MIDI, beneficiando músicos. Também foram introduzidas novas funcionalidades, como o controle aprimorado do Narrador e a expansão do recurso Cross-Device Resume, que permite continuar atividades do celular Android no PC. A atualização altera os números de versão para 26200.7840 (25H2) e 226x1.6050 (23H2). A Microsoft não reportou novos problemas relacionados a esta atualização, mas recomenda que os usuários a instalem o quanto antes para garantir a segurança e a funcionalidade do sistema.

Em fevereiro de 2026, a Microsoft lançou atualizações de segurança para 58 vulnerabilidades, incluindo 6 que estão sendo ativamente exploradas e 3 vulnerabilidades zero-day publicamente divulgadas. Dentre as falhas corrigidas, 5 são classificadas como ‘Críticas’, sendo 3 relacionadas a elevação de privilégios e 2 a divulgação de informações. As vulnerabilidades incluem 25 falhas de elevação de privilégios, 12 de execução remota de código e 6 de divulgação de informações. A Microsoft também começou a implementar novos certificados de Secure Boot, substituindo os certificados de 2011 que expirarão em junho de 2026. Entre as vulnerabilidades ativamente exploradas, destacam-se falhas no Windows Shell e no Microsoft Word, que permitem que atacantes contornem mecanismos de segurança e executem código malicioso. A correção dessas falhas é crucial, pois pode prevenir ataques que visam comprometer sistemas e dados sensíveis. A atualização é especialmente relevante para empresas que utilizam produtos Microsoft em suas operações diárias.

A Microsoft lançou a atualização de segurança KB5075912 para o Windows 10, abordando vulnerabilidades identificadas no Patch Tuesday de fevereiro de 2026. Esta atualização inclui correções para 58 falhas de segurança, das quais seis são consideradas zero-day, ou seja, estão sendo ativamente exploradas. Os usuários do Windows 10 Enterprise LTSC e aqueles inscritos no programa ESU podem instalar a atualização através das configurações do Windows Update. Após a instalação, a versão do Windows 10 será atualizada para a build 19045.6937.

Um comunicado da Google revelou que mais de 40% dos celulares Android estão vulneráveis a ataques de malwares e spywares devido à recente atualização do sistema operacional, o Android 16. Isso representa mais de um bilhão de dispositivos sem atualizações de segurança críticas. Atualmente, apenas 7,5% dos celulares estão com o Android 16 instalado, enquanto a maioria ainda opera com versões anteriores, como Android 15, 14 e 13, que também não recebem suporte adequado. A fragmentação do sistema Android, causada pela diversidade de fabricantes, contribui para essa situação, já que muitos modelos mais antigos não recebem atualizações de segurança após dois ou três anos de uso. Isso gera uma vulnerabilidade de patch, onde falhas conhecidas são exploradas por hackers. A Google tenta mitigar esse problema com o Project Mainline, que atualiza componentes específicos do Android diretamente pela Play Store, mas essa solução é limitada. Para os usuários de dispositivos que não receberão mais suporte, a recomendação é considerar a troca de aparelho para evitar riscos de segurança, como ataques de ransomware e roubo de dados pessoais.

A ZAST.AI, uma startup de segurança cibernética, anunciou a conclusão de uma rodada de financiamento pré-A de US$ 6 milhões, totalizando quase US$ 10 milhões em investimentos. A empresa, reconhecida por sua inovação em ferramentas de segurança, visa reduzir drasticamente as altas taxas de falsos positivos que afligem as equipes de segurança. Em 2025, a ZAST.AI identificou centenas de vulnerabilidades zero-day em projetos de código aberto populares, resultando em 119 atribuições de CVE. A abordagem da ZAST.AI combina geração automatizada de Proof-of-Concept (PoC) e validação automatizada, permitindo que as equipes de segurança se concentrem em vulnerabilidades reais, em vez de perder tempo com alertas falsos. A empresa já atende a clientes de grande porte, incluindo empresas da lista Fortune Global 500, e planeja usar os novos fundos para expandir sua tecnologia e presença no mercado global. A ZAST.AI promete transformar a análise de segurança de código, oferecendo uma solução que não apenas identifica vulnerabilidades, mas também as valida de forma eficaz, garantindo que as equipes de segurança possam agir com confiança.

A Fortinet divulgou atualizações de segurança para corrigir uma falha crítica no FortiClientEMS, identificada como CVE-2026-21643, que pode permitir a execução de código arbitrário em sistemas vulneráveis. Com uma pontuação CVSS de 9.1, a vulnerabilidade é classificada como uma injeção SQL, permitindo que atacantes não autenticados executem comandos não autorizados através de requisições HTTP manipuladas. As versões afetadas incluem FortiClientEMS 7.4.4, que deve ser atualizada para a versão 7.4.5 ou superior. As versões 7.2 e 8.0 não são afetadas. Embora a Fortinet não tenha relatado exploração ativa da falha, é crucial que os usuários apliquem as correções rapidamente. Essa atualização ocorre em um contexto onde a empresa também lidou com outra vulnerabilidade crítica em seus produtos FortiOS, FortiManager, FortiAnalyzer, FortiProxy e FortiWeb, que já está sendo explorada ativamente por atacantes. A rápida aplicação das atualizações é essencial para mitigar riscos de segurança.

O Moltbook, uma rede social exclusiva para agentes de inteligência artificial (IA), enfrenta sérias vulnerabilidades que podem comprometer a segurança dos dados de seus usuários. Especialistas em segurança cibernética identificaram que a exposição de uma API pública permitiu o acesso não autorizado a informações sensíveis armazenadas pela plataforma, resultado de um desenvolvimento inseguro. Embora o Moltbook não permita a participação de humanos, a possibilidade de qualquer pessoa criar um bot e conectá-lo à rede aumenta os riscos de uso malicioso. Com mais de 1 milhão de bots registrados, a estrutura frágil da plataforma expõe dados pessoais e facilita o sequestro de bots. Apesar de correções terem sido implementadas, outras vulnerabilidades, como a injeção de prompts maliciosos, permanecem, podendo afetar todos os bots em uma infecção em cadeia. A situação levanta preocupações sobre a segurança e a privacidade dos dados, especialmente em um cenário onde a IA está se tornando cada vez mais integrada ao cotidiano.

A BeyondTrust emitiu um alerta para que seus clientes apliquem um patch em uma falha de segurança crítica em seu software de Suporte Remoto (RS) e Acesso Remoto Privilegiado (PRA). Identificada como CVE-2026-1731, essa vulnerabilidade permite que atacantes não autenticados executem código arbitrário remotamente, explorando uma fraqueza de injeção de comandos do sistema operacional. A falha afeta versões do BeyondTrust Remote Support 25.3.1 ou anteriores e do Privileged Remote Access 24.3.4 ou anteriores. Os atacantes podem realizar ataques de baixa complexidade sem interação do usuário, o que pode levar a compromissos de sistema, acesso não autorizado e exfiltração de dados. A BeyondTrust já corrigiu seus sistemas em nuvem e recomenda que os clientes locais atualizem para versões mais recentes. Aproximadamente 11.000 instâncias estão expostas à internet, com cerca de 8.500 delas sendo implementações locais que permanecem vulneráveis se os patches não forem aplicados. Embora não haja exploração ativa conhecida da CVE-2026-1731 até o momento, a história recente de falhas na BeyondTrust, incluindo incidentes relacionados a grupos de hackers apoiados pelo estado, destaca a importância de ações rápidas para mitigar riscos.

Pesquisadores da Huntress Security identificaram que hackers estão explorando vulnerabilidades no SolarWinds Web Help Desk (WHD) para implantar ferramentas legítimas com fins maliciosos, como o Zoho ManageEngine. O ataque, que afetou pelo menos três organizações, utilizou túneis do Cloudflare para persistência e a ferramenta Velociraptor para comando e controle. As vulnerabilidades exploradas, CVE-2025-40551 e CVE-2025-26399, foram classificadas como críticas e permitem execução remota de código sem autenticação. Após obter acesso inicial, os atacantes instalaram o agente Zoho ManageEngine Assist e configuraram o acesso não supervisionado. Além disso, a versão desatualizada do Velociraptor utilizada apresenta uma falha de escalonamento de privilégios. Os administradores de sistemas são aconselhados a atualizar o SolarWinds WHD para a versão 2026.1 ou superior e a remover o acesso público às interfaces administrativas. A Huntress também disponibilizou regras Sigma e indicadores de comprometimento para ajudar na detecção de atividades maliciosas relacionadas a essas ferramentas.

A Microsoft identificou uma intrusão em múltiplas etapas que explorou instâncias expostas do SolarWinds Web Help Desk (WHD) para obter acesso inicial e se mover lateralmente pela rede de organizações. A equipe de pesquisa de segurança da Microsoft não conseguiu confirmar se as falhas exploradas foram as recentemente divulgadas (CVE-2025-40551 e CVE-2025-40536) ou uma vulnerabilidade já corrigida (CVE-2025-26399). As falhas mencionadas têm pontuações CVSS altas, indicando um risco significativo. A CISA dos EUA adicionou a CVE-2025-40551 ao seu catálogo de vulnerabilidades conhecidas exploradas, exigindo que agências federais aplicassem correções até 6 de fevereiro de 2026. Os atacantes conseguiram executar código remotamente e realizar ações como roubo de credenciais e ataques DCSync, simulando um controlador de domínio para extrair hashes de senhas. Para mitigar esses riscos, recomenda-se que as organizações mantenham suas instâncias do WHD atualizadas, removam ferramentas RMM não autorizadas e isolem máquinas comprometidas. A Microsoft enfatiza a importância de um monitoramento eficaz e da aplicação de patches em serviços expostos à internet.

A BeyondTrust anunciou atualizações para corrigir uma vulnerabilidade crítica em seus produtos de Suporte Remoto (RS) e Acesso Remoto Privilegiado (PRA). Identificada como CVE-2026-1731, a falha permite que um atacante remoto não autenticado execute comandos do sistema operacional, potencialmente resultando em acesso não autorizado, exfiltração de dados e interrupção de serviços. A vulnerabilidade, classificada com uma pontuação de 9.9 no sistema CVSS, afeta as versões do Remote Support até 25.3.1 e do Privileged Remote Access até 24.3.4. A BeyondTrust recomenda que os clientes que não utilizam atualizações automáticas apliquem manualmente o patch disponível nas versões 25.3.2 e 25.1.1 ou superiores. A falha foi descoberta em 31 de janeiro de 2026, e cerca de 11.000 instâncias estão expostas na internet, com aproximadamente 8.500 delas sendo implementações locais. Dada a gravidade da vulnerabilidade e o histórico de exploração ativa em produtos da BeyondTrust, é crucial que os usuários atualizem para as versões mais recentes o quanto antes.

A OpenClaw, plataforma de inteligência artificial, anunciou uma parceria com o VirusTotal, pertencente ao Google, para aumentar a segurança de seu marketplace, o ClawHub. Todas as habilidades (skills) publicadas na plataforma agora passam por uma verificação utilizando a inteligência de ameaças do VirusTotal, incluindo a nova funcionalidade Code Insight. Cada skill é convertida em um hash SHA-256 e verificada em um banco de dados. Skills com avaliação ‘benigna’ são aprovadas automaticamente, enquanto as suspeitas recebem um alerta e as maliciosas são bloqueadas. A OpenClaw também reavalia diariamente todas as skills ativas para identificar possíveis mudanças de status. Apesar dessas medidas, os mantenedores alertam que a verificação não é infalível, pois algumas habilidades maliciosas podem escapar da detecção. A plataforma também planeja divulgar um modelo de ameaças abrangente e um roteiro de segurança público, após a descoberta de centenas de skills maliciosas que se disfarçam como ferramentas legítimas. A crescente popularidade do OpenClaw levanta preocupações sobre a segurança, especialmente em ambientes corporativos, onde a falta de controle de TI pode facilitar o acesso não autorizado a dados sensíveis.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração de uma vulnerabilidade crítica, identificada como CVE-2026-24423, no SmarterMail, um servidor de e-mail e plataforma de colaboração autogerida. Essa falha permite a execução remota de código sem autenticação, afetando versões anteriores à build 9511 do software. O SmarterMail, amplamente utilizado por provedores de serviços gerenciados (MSPs) e pequenas e médias empresas, possui cerca de 15 milhões de usuários em 120 países. A vulnerabilidade foi descoberta por pesquisadores de segurança e corrigida pela SmarterTools em 15 de janeiro. A CISA incluiu a CVE-2026-24423 em seu catálogo de Vulnerabilidades Conhecidas e Exploited (KEV), destacando que a exploração pode permitir que atacantes direcionem a instância do SmarterMail para servidores HTTP maliciosos, resultando na execução de comandos indesejados. Além disso, foi identificada uma outra falha de bypass de autenticação, que permite a redefinição de senhas de administrador sem verificação. A CISA recomenda que as entidades federais apliquem as atualizações de segurança ou interrompam o uso do produto até 26 de fevereiro de 2026.

A empresa de inteligência artificial Anthropic anunciou que seu novo modelo de linguagem, Claude Opus 4.6, identificou mais de 500 falhas de segurança de alta severidade em bibliotecas open-source, como Ghostscript, OpenSC e CGIF. Lançado em 6 de fevereiro de 2026, o modelo apresenta habilidades aprimoradas em revisão de código e depuração, além de melhorias em análises financeiras e criação de documentos. Segundo a Anthropic, o Claude Opus 4.6 é capaz de descobrir vulnerabilidades sem a necessidade de ferramentas específicas ou instruções detalhadas, analisando o código de forma semelhante a um pesquisador humano. Durante testes, a equipe de segurança da empresa validou cada falha encontrada, garantindo que não eram falsas. Entre as vulnerabilidades identificadas, destaca-se uma falha de buffer overflow no OpenSC e uma vulnerabilidade no CGIF que requer um entendimento do algoritmo LZW. A Anthropic enfatizou a importância de corrigir rapidamente as falhas conhecidas, especialmente em um cenário onde o uso de IA em fluxos de trabalho cibernéticos está se tornando mais comum. A empresa também se comprometeu a atualizar suas salvaguardas à medida que novas ameaças forem descobertas.

Recentemente, uma vulnerabilidade crítica foi identificada no n8n, uma plataforma de automação de fluxos de trabalho, permitindo que usuários não autenticados executem comandos arbitrários nos servidores. A falha, classificada como CVE-2026-25049, pode resultar no roubo de segredos armazenados, como chaves de API e tokens OAuth, além de expor dados de múltiplos inquilinos que compartilham o mesmo ambiente. Os desenvolvedores do n8n reconheceram a gravidade do problema e lançaram um patch na versão 2.4.0, que deve ser aplicado imediatamente, especialmente porque um Proof of Concept (PoC) já foi divulgado, tornando a exploração da vulnerabilidade mais acessível a atacantes. Para aqueles que não conseguem aplicar a atualização de imediato, recomenda-se limitar as permissões de criação e edição de fluxos de trabalho a usuários confiáveis e implementar o n8n em um ambiente mais seguro. Apesar de não haver relatos de abusos até o momento, a situação exige atenção urgente para evitar possíveis comprometimentos.

Uma nova vulnerabilidade crítica foi identificada na plataforma de automação de fluxos de trabalho n8n, rastreada como CVE-2026-25049, com uma pontuação CVSS de 9.4. Essa falha resulta de uma sanitização inadequada que contorna as proteções implementadas para uma vulnerabilidade anterior, CVE-2025-68613, que já havia sido corrigida. O problema permite que um usuário autenticado, com permissão para criar ou modificar fluxos de trabalho, abuse de expressões maliciosas para executar comandos de sistema não intencionais no servidor que executa o n8n. As versões afetadas incluem todas as anteriores a 1.123.17 e 2.5.2, que já foram corrigidas. A exploração bem-sucedida pode levar ao comprometimento do servidor, roubo de credenciais e exfiltração de dados sensíveis. Especialistas alertam que a gravidade da falha aumenta quando combinada com a funcionalidade de webhook do n8n, permitindo que um adversário crie um fluxo de trabalho acessível publicamente. Os usuários são aconselhados a restringir permissões de criação e edição de fluxos de trabalho e a implementar o n8n em ambientes mais seguros. Além dessa vulnerabilidade, foram relatadas outras quatro falhas críticas, exigindo que os usuários atualizem suas instâncias para as versões mais recentes para garantir a proteção adequada.

Recentemente, a ferramenta de login único (SSO) da Fortinet foi alvo de uma vulnerabilidade crítica, identificada como CVE-2026-24858, com um score de 9,8. Essa falha permitiu que hackers, com contas FortiCloud ativas, acessassem dispositivos de outros usuários sem a necessidade de senha, contanto que o SSO estivesse ativado. A Fortinet desabilitou temporariamente a ferramenta para proteger os usuários, embora tenha destacado que o SSO não é ativado por padrão, o que salvou a maioria dos usuários da exposição. A empresa já havia corrigido uma falha semelhante em dezembro de 2025, mas a exploração continuou, levando à descoberta da nova vulnerabilidade. A Fortinet recomenda que os usuários atualizem seus sistemas para versões corrigidas. A empresa de segurança Shadowserver estima que cerca de 10.000 instâncias foram ameaçadas, uma diminuição em relação às 25.000 identificadas anteriormente. A situação destaca a importância de manter sistemas atualizados e a vigilância constante contra vulnerabilidades.

Um novo relatório da McDonald’s revela que senhas relacionadas a alimentos populares, como ‘bigmac’ e ‘happymeal’, estão presentes em mais de 110 mil contas comprometidas. Apesar das recomendações de segurança cibernética, muitos usuários ainda optam por senhas fáceis de lembrar, o que as torna vulneráveis a ataques automatizados. A substituição de letras por símbolos, uma prática que antes oferecia alguma proteção, já não é eficaz contra métodos modernos de quebra de senhas. A campanha da McDonald’s, que utiliza humor e reconhecimento, visa conscientizar o público sobre a importância de criar senhas mais seguras. Especialistas recomendam o uso de frases longas, autenticação multifatorial e gerenciadores de senhas para melhorar a segurança. A persistência de senhas fracas, mesmo entre usuários mais jovens, destaca a necessidade de uma mudança de comportamento em relação à segurança digital. A falta de conscientização e a resistência à mudança são fatores que contribuem para a continuidade desse problema, que persiste mesmo após anos de orientações sobre cibersegurança.

Pesquisadores de segurança cibernética identificaram múltiplas vulnerabilidades críticas na plataforma de automação de workflows n8n, coletivamente rastreadas como CVE-2026-25049. Essas falhas permitem que qualquer usuário autenticado que possa criar ou editar workflows execute código remotamente sem restrições no servidor n8n. O problema está relacionado ao mecanismo de sanitização da plataforma e contorna uma correção anterior para a CVE-2025-68613. A exploração dessa vulnerabilidade pode resultar na completa comprometimento da instância do n8n, permitindo o roubo de credenciais, segredos e arquivos de configuração sensíveis. Além disso, os pesquisadores conseguiram acessar o sistema de arquivos e serviços internos, podendo redirecionar tráfego e modificar respostas em workflows de IA. A n8n é um ambiente multi-tenant, o que significa que a exploração pode afetar dados de outros inquilinos. Embora a n8n tenha lançado uma correção em janeiro de 2026, a vulnerabilidade ainda é uma preocupação, especialmente considerando o aumento da atividade maliciosa em endpoints expostos da plataforma. Os usuários são aconselhados a atualizar para as versões mais recentes e revisar as permissões de criação e edição de workflows.

Uma vulnerabilidade crítica no Microsoft Office, identificada como CVE-2026-21509, está sendo ativamente explorada por hackers, especialmente um grupo conhecido como APT28. Apesar de a Microsoft ter lançado um patch para corrigir a falha, a exploração da vulnerabilidade foi detectada apenas três dias após a atualização. A Equipe de Resposta a Emergências Cibernéticas da Ucrânia (CERT) relatou que documentos maliciosos estão sendo distribuídos, com alvos principais em organizações governamentais ucranianas e instituições na União Europeia. O ataque envolve a abertura de arquivos DOC corrompidos que desencadeiam downloads de malware, utilizando técnicas como sequestro de COM e shellcode oculto. Especialistas recomendam que as organizações atualizem imediatamente seus sistemas Microsoft Office e outros aplicativos do Microsoft 365 para evitar compromissos de segurança. A situação é alarmante, pois a falha pode ter repercussões mais amplas do que inicialmente previsto, afetando a segurança de dados em várias regiões.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências governamentais corrijam uma vulnerabilidade do GitLab, identificada como CVE-2021-39935, que está sendo ativamente explorada em ataques. Essa falha, que permite a execução de requisições do lado do servidor (SSRF), foi corrigida pela GitLab em dezembro de 2021, mas ainda afeta versões do software que vão da 10.5 até a 14.5.2. A CISA alertou que usuários não autorizados poderiam acessar a API CI Lint, comprometendo a segurança das configurações de CI/CD. Embora a ordem se aplique apenas a agências federais, a CISA recomendou que todas as organizações, incluindo as do setor privado, priorizem a correção de suas vulnerabilidades. Atualmente, mais de 49 mil dispositivos com a impressão digital do GitLab estão expostos online, a maioria na China. A GitLab é amplamente utilizada, com mais de 30 milhões de usuários registrados, incluindo grandes empresas como Nvidia e Goldman Sachs. Além disso, a CISA também destacou uma vulnerabilidade crítica no SolarWinds Web Help Desk, exigindo correções em um prazo de três dias. A situação ressalta a necessidade urgente de ações de segurança cibernética em todos os setores.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma falha crítica no SolarWinds Web Help Desk (WHD) ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), classificando-a como ativamente explorada em ataques. A vulnerabilidade, identificada como CVE-2025-40551, possui uma pontuação CVSS de 9.8 e refere-se a uma deserialização de dados não confiáveis, que pode permitir a execução remota de código sem necessidade de autenticação. A SolarWinds lançou correções para essa e outras falhas na versão 2026.1 do WHD. Além disso, outras vulnerabilidades críticas em sistemas como Sangoma FreePBX e GitLab também foram adicionadas ao catálogo da CISA. Embora não haja informações públicas sobre como a CVE-2025-40551 está sendo explorada, o alerta destaca a rapidez com que os atores de ameaças estão se movendo para explorar falhas recém-divulgadas. Agências federais dos EUA devem corrigir essa vulnerabilidade até 6 de fevereiro de 2026, e as demais até 24 de fevereiro de 2026, conforme a Diretriz Operacional Vinculante 22-01.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) identificou uma vulnerabilidade crítica no SolarWinds Web Help Desk, classificada como CVE-2025-40551, que está sendo ativamente explorada em ataques. Esta falha de segurança, originada de uma fraqueza na desserialização de dados não confiáveis, permite que atacantes não autenticados executem comandos remotamente em dispositivos não corrigidos. A SolarWinds lançou uma atualização, a versão 2026.1, em 28 de janeiro, para corrigir essa vulnerabilidade, além de outras falhas de segurança significativas. A CISA emitiu uma diretiva exigindo que as agências federais dos EUA aplicassem patches em seus sistemas em um prazo de três dias, embora tenha incentivado também o setor privado a agir rapidamente. O SolarWinds Web Help Desk é amplamente utilizado por agências governamentais e grandes corporações, com mais de 300.000 clientes em todo o mundo. Dada a frequência com que vulnerabilidades desse software têm sido exploradas, a urgência na aplicação de correções é crítica para evitar possíveis compromissos de segurança.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica, chamada DockerDash, que afeta o assistente de inteligência artificial Ask Gordon, integrado ao Docker Desktop e à interface de linha de comando (CLI) do Docker. Essa falha, corrigida na versão 4.50.0 lançada em novembro de 2025, permite que um invasor execute código malicioso e exfiltre dados sensíveis. O problema surge da forma como o Ask Gordon interpreta metadados não verificados como comandos executáveis, permitindo que um ataque simples em três etapas comprometa o ambiente Docker. O ataque começa com a publicação de uma imagem Docker contendo instruções maliciosas em campos de metadados. Quando o assistente é consultado, ele processa essas instruções sem validação, enviando-as ao MCP Gateway, que as executa com privilégios do Docker do usuário. Além disso, a vulnerabilidade também permite a exfiltração de dados sensíveis do ambiente do usuário. A situação destaca a necessidade de uma abordagem de validação de zero confiança para mitigar esse tipo de ataque, que pode ter impactos significativos em ambientes de nuvem e aplicações de desktop.

Hackers estão atacando desenvolvedores ao explorar a vulnerabilidade crítica CVE-2025-11953 no servidor Metro do React Native, permitindo a entrega de cargas maliciosas para sistemas Windows e Linux. No Windows, um atacante não autenticado pode executar comandos do sistema operacional por meio de uma requisição POST, enquanto no Linux e macOS, a falha pode levar à execução de executáveis arbitrários com controle limitado de parâmetros. O Metro, que é o empacotador JavaScript padrão para projetos React Native, pode expor endpoints HTTP apenas para desenvolvimento, como o /open-url. A vulnerabilidade foi descoberta pela empresa JFrog e divulgada em novembro de 2025, com a exploração ativa observada em dezembro. Pesquisadores da VulnCheck identificaram um ator de ameaças utilizando a vulnerabilidade, conhecida como Metro4Shell, para entregar cargas úteis codificadas em base-64. As ações realizadas pelas cargas incluem desativar proteções do endpoint e estabelecer conexões TCP com a infraestrutura do atacante. Com cerca de 3.500 servidores Metro expostos online, a situação é preocupante, embora a vulnerabilidade tenha uma baixa pontuação no sistema de avaliação de risco EPSS. Especialistas alertam que as organizações não devem esperar por ações de autoridades como a CISA antes de agir.

Uma falha de segurança crítica, identificada como CVE-2025-11953 (Metro4Shell), está sendo explorada por atacantes em um pacote npm amplamente utilizado, o ‘@react-native-community/cli’. Com uma pontuação CVSS de 9.8, essa vulnerabilidade permite que invasores não autenticados executem comandos arbitrários no sistema operacional subjacente. A exploração foi observada pela primeira vez em 21 de dezembro de 2025, e os detalhes foram documentados pela JFrog em novembro do mesmo ano. Os atacantes têm utilizado um script PowerShell codificado em Base64 para realizar ações maliciosas, como excluir pastas do Microsoft Defender e estabelecer conexões TCP com servidores controlados por eles. A atividade maliciosa foi consistente ao longo de várias semanas, indicando um uso operacional da vulnerabilidade. A falha destaca a importância de proteger a infraestrutura de desenvolvimento, que pode se tornar um alvo de produção se acessível. Apesar da gravidade, a exploração ainda não recebeu ampla atenção pública.

O grupo de ameaças APT28, vinculado ao governo russo, está explorando uma nova vulnerabilidade no Microsoft Office, identificada como CVE-2026-21509, com um escore CVSS de 7.8. Essa falha permite que atacantes não autorizados enviem arquivos maliciosos que podem comprometer sistemas. A campanha, chamada Operation Neusploit, foi observada em ataques direcionados a usuários na Ucrânia, Eslováquia e Romênia, logo após a divulgação pública da vulnerabilidade pela Microsoft. Os pesquisadores da Zscaler relataram que os atacantes utilizaram técnicas de engenharia social em múltiplas línguas para enganar as vítimas. A exploração envolve o uso de arquivos RTF maliciosos que instalam dois tipos de droppers: MiniDoor, que rouba e-mails, e PixyNetLoader, que ativa um implante chamado Grunt, associado ao framework de comando e controle COVENANT. A CERT-UA, equipe de resposta a emergências da Ucrânia, confirmou que documentos do Word foram utilizados para atacar mais de 60 endereços de e-mail de autoridades governamentais. A vulnerabilidade representa um risco significativo, especialmente para organizações que utilizam o Microsoft Office em suas operações diárias.

A Microsoft confirmou que um problema conhecido que impede alguns dispositivos com Windows 11 de desligar também afeta sistemas com Windows 10 que possuem o Modo Seguro Virtual (VSM) habilitado. O VSM é um recurso de segurança do Windows que cria uma região de memória isolada, protegendo credenciais sensíveis e chaves de criptografia contra malware. O bug, que afeta dispositivos com a atualização cumulativa KB5073455 e o recurso Secure Launch ativado, foi identificado em janeiro e levou a Microsoft a lançar atualizações de emergência. A situação se estendeu para o Windows 10, onde usuários com VSM habilitado após as atualizações KB5078131 e KB5073724 também enfrentam problemas de desligamento. A Microsoft recomenda que os usuários afetados utilizem o comando “shutdown /s /t 0” como uma solução temporária até que uma correção oficial seja disponibilizada. A empresa planeja lançar uma solução em uma atualização futura e já corrigiu outros problemas relacionados a componentes do Windows que foram erroneamente sinalizados como maliciosos por aplicativos de segurança. A situação destaca a importância de monitorar atualizações e aplicar correções rapidamente para garantir a segurança e a funcionalidade dos sistemas operacionais.

O Centro de Resposta a Emergências de Computador da Ucrânia (CERT-UA) alertou que hackers russos estão explorando a vulnerabilidade CVE-2026-21509, recentemente corrigida pela Microsoft, em várias versões do Microsoft Office. Em 26 de janeiro, a Microsoft lançou uma atualização de segurança de emergência, identificando a falha como um zero-day ativamente explorado. Apenas três dias após o alerta, o CERT-UA detectou a distribuição de arquivos DOC maliciosos relacionados a consultas do COREPER da UE, além de e-mails falsificados que se passavam pelo Centro Hidrometeorológico da Ucrânia, enviados a mais de 60 endereços governamentais. A análise da metadata dos documentos revelou que foram criados um dia após a atualização de segurança. O CERT-UA atribuiu esses ataques ao grupo APT28, associado à inteligência militar russa (GRU). A abertura do documento malicioso inicia uma cadeia de download que instala malware via COM hijacking, utilizando um arquivo DLL malicioso e shellcode oculto em uma imagem. O malware COVENANT, utilizado nos ataques, se conecta ao serviço de armazenamento em nuvem Filen para operações de comando e controle. As organizações são aconselhadas a aplicar a atualização de segurança mais recente e a monitorar conexões associadas ao Filen para melhorar a defesa contra essa ameaça.

Uma vulnerabilidade de alta severidade foi identificada no OpenClaw, um assistente pessoal de inteligência artificial de código aberto, que pode permitir a execução remota de código (RCE) através de um link malicioso. A falha, registrada como CVE-2026-25253 e com uma pontuação CVSS de 8.8, foi corrigida na versão 2026.1.29, lançada em 30 de janeiro de 2026. O problema reside na falta de validação do parâmetro ‘gatewayUrl’ na interface de controle, que permite que um link malicioso envie um token de autenticação para um servidor controlado por um atacante. Isso possibilita que o invasor conecte-se ao gateway local da vítima, altere configurações e execute comandos com privilégios elevados. O ataque pode ser realizado com um único clique, tornando-o extremamente perigoso. A vulnerabilidade afeta qualquer implantação do OpenClaw onde o usuário tenha se autenticado na interface de controle, permitindo acesso ao API do gateway e a execução de código arbitrário. O impacto é significativo, pois mesmo configurações que limitam o acesso a localhost podem ser contornadas, devido à maneira como o navegador da vítima inicia a conexão. A rápida popularidade do OpenClaw, com mais de 149 mil estrelas no GitHub, aumenta a urgência para que as organizações que utilizam essa ferramenta implementem a atualização imediatamente.

A Microsoft resolveu um problema que fazia com que a opção de login por senha desaparecesse da tela de bloqueio do Windows 11 após a instalação de atualizações desde agosto de 2025. O ícone da senha só aparece se houver múltiplas opções de login disponíveis, como PIN, chave de segurança ou impressão digital. No entanto, se o usuário utilizar apenas a senha, o ícone pode não ser exibido, pois o campo de senha é mostrado por padrão. A empresa reconheceu essa falha em novembro de 2025 e, apesar de os usuários afetados ainda conseguirem fazer login, a ausência do ícone dificultava o acesso. A solução foi disponibilizada na atualização cumulativa opcional KB5074105, lançada em 29 de janeiro de 2025, que também incluiu 32 correções para problemas de inicialização, login e ativação. Além disso, a atualização corrigiu falhas que causavam erros de inicialização e travamentos no Explorer.exe durante o primeiro login. A Microsoft já havia abordado outras questões relacionadas a atualizações anteriores, como interrupções na reprodução de vídeos protegidos por DRM e problemas de instalação de aplicativos para usuários não administradores. Essa atualização é crucial para garantir a segurança e a funcionalidade do sistema operacional.

A Microsoft anunciou que desabilitará o protocolo de autenticação NTLM, com 30 anos de existência, por padrão nas próximas versões do Windows, devido a vulnerabilidades de segurança que expõem as organizações a ciberataques. O NTLM, introduzido em 1993, é um protocolo de autenticação que foi amplamente explorado em ataques de relé NTLM e ataques pass-the-hash, permitindo que cibercriminosos escalem privilégios e acessem dados sensíveis. A transição para a desativação do NTLM ocorrerá em três fases: a primeira permitirá que administradores identifiquem o uso do NTLM, a segunda introduzirá novas funcionalidades para evitar a queda para o NTLM, e a terceira desabilitará o NTLM por padrão, embora o protocolo ainda possa ser reativado se necessário. A mudança é parte de um movimento mais amplo em direção a métodos de autenticação sem senha e resistentes a phishing, com a Microsoft incentivando desenvolvedores a migrar para alternativas mais seguras, como o Kerberos. Essa decisão é crucial para aumentar a segurança das redes corporativas e reduzir a exposição a ataques cibernéticos.