Dell

Nesta semana, o cenário de cibersegurança apresenta uma série de incidentes e vulnerabilidades críticas. Um dos destaques é a exploração de uma falha de segurança de gravidade máxima no Dell RecoverPoint para Máquinas Virtuais, identificada como CVE-2026-22769, que permite a execução de comandos como root e a instalação de backdoors. Além disso, dois ex-engenheiros do Google foram indiciados por roubo de segredos comerciais, transferindo informações sensíveis para o Irã. Outro ponto alarmante é a descoberta do malware PromptSpy, que utiliza inteligência artificial para garantir sua persistência em dispositivos Android, visando usuários na Argentina. Também foi identificado um novo malware chamado Keenadu, embutido no firmware de dispositivos Android, que pode coletar dados e controlar remotamente os aparelhos. Por fim, um estudo questionou as alegações de ‘zero knowledge’ de gerenciadores de senhas como Bitwarden e LastPass, revelando que, em certas circunstâncias, dados podem ser acessados por insiders maliciosos. Esses eventos ressaltam a necessidade urgente de vigilância e atualização de sistemas para mitigar riscos.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências governamentais corrijam uma vulnerabilidade crítica da Dell em seus sistemas em um prazo de três dias. A falha, identificada como CVE-2026-22769, está sendo explorada ativamente por um grupo de hackers suspeito de ser ligado à China, conhecido como UNC6201. Essa vulnerabilidade, que envolve credenciais hardcoded no Dell RecoverPoint, uma solução para backup e recuperação de máquinas virtuais VMware, permite que os atacantes acessem redes de vítimas e implantem malwares, incluindo uma nova backdoor chamada Grimbolt. A CISA incluiu essa falha em seu catálogo de Vulnerabilidades Conhecidas e Explotadas (KEV), destacando a urgência de mitigações. Além disso, a CISA também alertou sobre outra vulnerabilidade crítica em instâncias do BeyondTrust Remote Support, exigindo ações rápidas para proteger as redes. A situação ressalta a importância de uma resposta ágil a vulnerabilidades críticas, especialmente em um cenário onde grupos de hackers estão cada vez mais sofisticados e ativos.

Uma vulnerabilidade de segurança de severidade máxima no Dell RecoverPoint for Virtual Machines, identificada como CVE-2026-22769, está sendo explorada como um zero-day por um grupo de ameaças suspeito de estar ligado à China, denominado UNC6201. Essa falha, que afeta versões anteriores à 6.0.3.1 HF1, envolve credenciais hard-coded que permitem a um atacante remoto não autenticado acessar o sistema operacional subjacente e obter persistência em nível root. A Dell recomenda que o RecoverPoint seja utilizado em redes internas confiáveis e controladas, uma vez que não é adequado para redes não confiáveis ou públicas. O grupo UNC6201 tem como alvo organizações na América do Norte e utiliza um backdoor chamado GRIMBOLT, que é mais difícil de detectar. Além disso, a atividade do grupo está relacionada a outras campanhas de espionagem, destacando a importância de monitorar e proteger sistemas que não suportam soluções tradicionais de detecção e resposta a endpoints (EDR).

Um grupo de hackers suspeito de ser apoiado pelo Estado chinês, conhecido como UNC6201, está explorando uma vulnerabilidade crítica na solução Dell RecoverPoint para Máquinas Virtuais, que é amplamente utilizada para backup e recuperação de máquinas virtuais VMware. A vulnerabilidade, identificada como CVE-2026-22769, envolve credenciais hardcoded que permitem a um atacante remoto não autenticado obter acesso não autorizado ao sistema operacional subjacente. A Dell recomenda que seus clientes atualizem ou apliquem remediações imediatamente. Após comprometer a rede de uma vítima, o grupo UNC6201 implantou diversos malwares, incluindo um novo backdoor chamado Grimbolt, que é mais rápido e mais difícil de analisar do que seu antecessor, Brickstorm. Além disso, os atacantes utilizaram técnicas inovadoras, como a criação de interfaces de rede ocultas, conhecidas como Ghost NICs, para se moverem furtivamente pela infraestrutura virtualizada das vítimas. A pesquisa também sugere que há sobreposições entre UNC6201 e outro grupo de ameaças chinês, UNC5221, que tem um histórico de exploração de vulnerabilidades zero-day. A Dell aconselha seus clientes a seguirem as orientações de remediação para bloquear os ataques em andamento.

A Dell Technologies revelou três vulnerabilidades críticas em seu software Storage Manager, que podem permitir que atacantes contornem autenticações, divulguem informações sensíveis e acessem sistemas de forma não autorizada. As falhas afetam versões até 20.1.21 e apresentam riscos significativos para organizações que utilizam essa ferramenta para gerenciar arrays de armazenamento. A vulnerabilidade mais severa, CVE-2025-43995, possui um escore CVSS de 9.8, permitindo que um atacante não autenticado explore APIs expostas para obter controle total sobre a infraestrutura de armazenamento. Outras falhas, como CVE-2025-43994 e CVE-2025-46425, também apresentam riscos elevados, permitindo a divulgação de informações e acesso não autorizado a arquivos sensíveis. A Dell recomenda que os clientes atualizem imediatamente para versões mais recentes do software para mitigar esses riscos. Embora não haja relatos de exploração ativa até o momento, a facilidade de acesso remoto torna a situação crítica, exigindo ações rápidas para evitar possíveis violações de segurança.

A Microsoft está enfrentando um problema com o Microsoft Defender para Endpoint, que erroneamente classifica o firmware da BIOS de alguns computadores como desatualizado. Esse bug, identificado por pesquisadores da Redmond, afeta principalmente dispositivos da Dell, gerando alertas para os usuários sobre a necessidade de atualizações que, na verdade, não existem. A empresa já está trabalhando em um patch para corrigir essa falha, embora não tenha divulgado quantos usuários foram impactados ou as regiões mais afetadas. Além disso, a Microsoft também resolveu recentemente outros problemas, como crashes em dispositivos macOS e falsos positivos que bloqueavam links no Microsoft Teams e Exchange Online. Esses incidentes destacam a importância de monitorar e corrigir bugs em sistemas de segurança, especialmente em um cenário onde a integridade dos dispositivos é crucial para a proteção de dados e a conformidade com regulamentações como a LGPD.

Uma falha crítica no Microsoft Defender for Endpoint resultou em uma onda de alertas falsos sobre vulnerabilidades de BIOS, afetando principalmente usuários de dispositivos Dell. O problema surgiu quando a lógica de detecção de vulnerabilidades do Defender começou a identificar erroneamente instalações de BIOS atualizadas como desatualizadas ou inseguras. Organizações em todo o mundo relataram receber repetidos avisos de que suas versões de BIOS estavam desatualizadas, mesmo quando estavam com o firmware mais recente fornecido pela Dell. Essa enxurrada de falsos positivos gerou confusão e frustração entre administradores e usuários finais, dificultando a distinção entre avisos de segurança legítimos e os alertas defeituosos do Defender. A Microsoft reconheceu o problema e está trabalhando em um patch para corrigir a lógica de comparação de versões, que deve ser implementado na próxima janela de manutenção. Enquanto isso, as equipes de TI são aconselhadas a verificar as versões de BIOS de forma independente, utilizando canais de suporte da Dell e interfaces de gerenciamento de sistema. Este incidente destaca a importância da precisão na detecção automatizada de vulnerabilidades em plataformas de segurança empresarial.