Autenticação

O GitHub anunciou mudanças significativas em suas opções de autenticação e publicação, em resposta a uma série de ataques à cadeia de suprimentos que afetaram o ecossistema npm, incluindo o ataque Shai-Hulud. As novas medidas visam mitigar ameaças como o abuso de tokens e malware auto-replicante. Entre as alterações, destaca-se a implementação de autenticação de dois fatores (2FA) obrigatória para publicações locais, a limitação da validade de tokens granulares a sete dias e a introdução de uma nova funcionalidade chamada ‘publicação confiável’. Esta última elimina a necessidade de tokens npm, utilizando credenciais específicas de fluxo de trabalho que são criptograficamente autenticadas, garantindo a origem e o ambiente de construção de cada pacote publicado. O ataque Shai-Hulud, que injetou um verme auto-replicante em centenas de pacotes npm, destacou a vulnerabilidade do sistema, ao permitir que segredos sensíveis fossem extraídos de máquinas de desenvolvedores. Além disso, um pacote malicioso chamado fezbox foi identificado, capaz de roubar senhas de navegadores através de uma técnica esteganográfica. Embora o pacote tenha sido removido, ele ilustra a necessidade crescente de ferramentas de verificação de dependências. Essas mudanças são cruciais para aumentar a confiança na cadeia de suprimentos de software e proteger os desenvolvedores contra novas ameaças.

O Salty2FA é um novo kit de phishing que tem se destacado por sua capacidade de contornar métodos de autenticação de dois fatores (2FA), colocando em risco diversas indústrias, especialmente nos setores financeiro, energético e de telecomunicações. Identificado em campanhas nos EUA e na Europa, o kit utiliza uma cadeia de execução em múltiplas etapas e infraestrutura evasiva para interceptar credenciais e códigos 2FA. A análise de um caso real revelou que um funcionário recebeu um e-mail disfarçado de solicitação de correção de pagamento, levando-o a uma página de login falsa da Microsoft. A partir daí, as credenciais foram roubadas e, se a conta tivesse 2FA, o kit poderia interceptar os códigos de verificação. Para mitigar os riscos associados ao Salty2FA, as equipes de segurança devem focar na detecção de comportamentos, realizar análises em sandbox e reforçar políticas de autenticação multifatorial, priorizando tokens de aplicativo ou hardware em vez de SMS. A adoção de sandboxes interativas, como o ANY.RUN, pode aumentar a eficiência das operações de segurança, permitindo investigações mais rápidas e precisas.

Recentemente, circularam rumores de que o Google havia enviado um alerta de segurança urgente a todos os usuários do Gmail. No entanto, a empresa confirmou que não houve tal notificação em massa. O Gmail utiliza uma estratégia de defesa em camadas, que inclui autenticação de remetente através de protocolos como SPF, DKIM e DMARC, além de análise de conteúdo para detectar anexos maliciosos e URLs embutidos. O sistema de detecção de anomalias, apoiado por modelos de aprendizado de máquina, analisa bilhões de sinais anônimos para identificar comportamentos incomuns. Essa abordagem impede que mais de 99,9% das ameaças de phishing e malware cheguem às caixas de entrada dos usuários. O Google também recomenda que os usuários adotem métodos de autenticação modernos, como Passkeys, que eliminam os riscos associados ao roubo de senhas. Além disso, o Gmail oferece avisos de phishing e incentiva os usuários a reportarem mensagens suspeitas, contribuindo para a melhoria contínua dos algoritmos de detecção. Para aumentar a segurança, o Google sugere que os usuários verifiquem cuidadosamente os endereços dos remetentes e mantenham seus dispositivos atualizados.

A Microsoft anunciou que, a partir de outubro de 2024, a autenticação multifator (MFA) será obrigatória para todos os acessos ao portal Azure, como parte de um esforço para aumentar a segurança das contas dos usuários. Pesquisas da empresa indicam que a implementação da MFA pode prevenir mais de 99,2% dos ataques de comprometimento de contas, tornando essa medida crucial para a proteção de recursos na nuvem. A primeira fase da implementação exigirá MFA para operações administrativas em portais como o Azure e o Microsoft 365, enquanto a segunda fase, prevista para outubro de 2025, incluirá ferramentas de linha de comando e APIs. Os usuários que já utilizam MFA ou métodos de login sem senha não notarão mudanças, mas aqueles que não configuraram a MFA serão solicitados a fazê-lo ao tentar acessar suas contas. A Microsoft recomenda que as organizações revisem suas políticas de acesso condicional e realizem testes antes da implementação para evitar interrupções. Essa mudança visa reduzir a superfície de ataque e proteger recursos críticos contra acessos não autorizados.

No dia 31 de agosto de 2025, pesquisadores de segurança revelaram a vulnerabilidade CVE-2025-29927, que afeta o framework Next.js. Essa falha permite que atacantes contornem a autenticação ao manipular o cabeçalho x-middleware-subrequest, possibilitando o acesso não autorizado a rotas protegidas. O problema ocorre devido ao tratamento inadequado desse cabeçalho nas middleware do Next.js, que é utilizado para diferenciar subrequisições internas de chamadas HTTP externas. Ao forjar esse cabeçalho, um invasor pode fazer com que o servidor trate uma solicitação externa como uma subrequisição, ignorando as verificações de autorização. A vulnerabilidade se manifesta de maneiras diferentes nas versões do Next.js, sendo mais crítica nas versões anteriores à 12.2, onde a exploração é mais direta. Para mitigar os riscos, recomenda-se a atualização para a versão 13.2.1 ou superior, que corrige a lógica de parsing do cabeçalho e implementa verificações de autorização explícitas. Organizações que utilizam o Next.js devem auditar suas implementações de middleware e aplicar patches imediatamente para proteger suas aplicações contra esse exploit de alto risco.

A Click Studios, responsável pelo Passwordstate, um gerenciador de senhas voltado para empresas, alertou os usuários sobre uma vulnerabilidade crítica de bypass de autenticação. A falha, identificada na versão 9.9 - Build 9972, permite que atacantes acessem a seção de administração do Passwordstate sem a devida autenticação, utilizando uma URL manipulada na página de Acesso Emergencial. A empresa recomenda que todos os clientes atualizem suas instâncias imediatamente para mitigar os riscos associados a essa vulnerabilidade. Embora o ID CVE da falha ainda esteja pendente, a exploração dessa vulnerabilidade pode ter um impacto severo, dependendo da facilidade de execução. Para aqueles que não conseguem aplicar o patch rapidamente, a Click Studios sugere uma solução temporária: restringir o acesso à página de Acesso Emergencial a endereços IP específicos. O Passwordstate é amplamente utilizado por mais de 370.000 usuários em 29.000 empresas, incluindo instituições governamentais e financeiras. Portanto, a atualização é crucial para garantir a segurança das informações armazenadas.

Pesquisadores da Rapid7 identificaram quatro vulnerabilidades críticas no Securden Unified PAM, uma solução de gerenciamento de acesso privilegiado amplamente utilizada. Três dessas falhas permitem o bypass completo de autenticação e execução remota de código, afetando as versões de 9.0.x a 11.3.1. A vulnerabilidade mais grave, CVE-2025-53118, permite que atacantes acessem múltiplos endpoints da API sem credenciais válidas, explorando a validação inadequada de cookies. Isso pode resultar em extração de credenciais e backups de banco de dados. Outras duas vulnerabilidades, CVE-2025-53119 e CVE-2025-53120, expõem o servidor a execução remota de código não autenticada, permitindo o upload de arquivos arbitrários e a sobrescrição de scripts em diretórios privilegiados. A quarta falha, CVE-2025-6737, revela fraquezas na isolação de inquilinos, aumentando o risco de exploração cruzada entre instâncias. A Securden lançou um patch na versão 11.4.4 para corrigir essas falhas, e as organizações são aconselhadas a atualizar imediatamente suas versões vulneráveis. Dada a função do Securden como um corretor de credenciais, essas vulnerabilidades representam um vetor de ataque de alto valor, permitindo que atacantes colham credenciais e imitem administradores.

Uma investigação de segurança revelou vulnerabilidades críticas em quatro sites internos da Intel, permitindo acesso não autorizado a informações detalhadas de mais de 270 mil funcionários globalmente. O pesquisador de segurança Eaton identificou técnicas de bypass de autenticação e credenciais hardcoded que possibilitaram acesso extensivo aos sistemas internos da Intel entre outubro de 2024 e fevereiro de 2025. As falhas de autenticação afetaram sistemas como o de pedidos de cartões de visita e o de gerenciamento de fornecedores, permitindo que atacantes manipulassem funções JavaScript para contornar proteções do Microsoft Azure Active Directory. O ataque mais significativo ocorreu no site de pedidos de cartões de visita da Intel na Índia, onde um endpoint de API não autenticado forneceu tokens de acesso sem verificação adequada, resultando na extração de um arquivo JSON de quase 1 GB com dados de funcionários, incluindo nomes, cargos e contatos. A resposta da Intel às divulgações de vulnerabilidades revelou desafios significativos em seu processo de segurança, com a empresa apenas reconhecendo automaticamente os relatórios enviados. Embora a Intel tenha expandido seu programa de recompensas por bugs, as questões de segurança em sites ainda não estão totalmente cobertas. Este incidente destaca a necessidade de revisões abrangentes de segurança em aplicações web internas, especialmente em grandes corporações de tecnologia.