Windows sofre ataque de coerção de autenticação que envia credenciais

BR Defense Center (By River de Morais e Silva)
ataque

Pesquisadores de segurança identificaram um aumento nos ataques de coerção de autenticação que exploram os mecanismos de Chamada de Procedimento Remoto (RPC) do Windows. Esses ataques manipulam o comportamento de autenticação de rede embutido no sistema, permitindo que máquinas enviem credenciais para servidores controlados por atacantes, sem a necessidade de interação do usuário ou privilégios administrativos. Ao abusar de funções RPC menos conhecidas, como MS-DFSNM e MS-EVEN, os atacantes conseguem fazer com que ativos valiosos, como Controladores de Domínio e Servidores de Certificado, se autentiquem em servidores maliciosos. Uma vez autenticados, os atacantes capturam hashes NTLM e realizam ataques de retransmissão para se mover lateralmente na rede. Para se defender contra esses ataques, recomenda-se monitorar rigorosamente o tráfego RPC e implementar técnicas de prevenção, como a assinatura SMB e a proteção estendida para autenticação. A evolução desses ataques representa uma nova ameaça que exige visibilidade aprimorada sobre o comportamento do RPC para evitar a extração de credenciais.

Fonte: https://cyberpress.org/authentication-coercion/

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
12/11/2025 • Risco: ALTO
ATAQUE

Windows sofre ataque de coerção de autenticação que envia credenciais

RESUMO EXECUTIVO
Os ataques de coerção de autenticação representam uma nova e sutil evolução nas táticas de roubo de credenciais do Windows. A exploração de funções RPC menos monitoradas pode levar a comprometimentos significativos, exigindo que as organizações implementem medidas de defesa robustas e monitorem ativamente o tráfego RPC.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras devido a comprometimento de dados e interrupções operacionais.
Operacional
Extração de hashes de contas de máquina e movimentação lateral na rede.
Setores vulneráveis
['Saúde', 'Financeiro', 'Tecnologia da Informação']

📊 INDICADORES CHAVE

Campanhas de ataque em aumento desde 2025. Indicador
Uso de ferramentas como DFSCoerce e ShadowCoerce. Contexto BR
Tentativas de autenticação em servidores críticos falharam inicialmente, mas foram bem-sucedidas posteriormente. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar logs de autenticação e tráfego RPC em busca de atividades suspeitas.
2 Implementar assinatura SMB e desabilitar serviços RPC não utilizados.
3 Monitorar continuamente o tráfego RPC e autenticações para endereços IP não reconhecidos.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a exploração de funções legítimas do Windows que podem comprometer a segurança da rede.

⚖️ COMPLIANCE

Implicações para a conformidade com a LGPD, especialmente em setores que lidam com dados sensíveis.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).