Escalada De Privilégios

Um pesquisador anônimo de cibersegurança revelou duas novas vulnerabilidades no Microsoft Defender, conhecidas como YellowKey e GreenPlasma. A primeira, YellowKey, permite a contornagem do BitLocker, funcionando como uma porta dos fundos, e afeta o Windows 11 e Windows Server 2022/2025. O exploit se dá através da manipulação de arquivos ‘FsTx’ em um drive USB, permitindo que um invasor acesse um shell de comando com o BitLocker desbloqueado. O pesquisador destacou que a falha está oculta e que medidas como TPM+PIN não são eficazes. A segunda vulnerabilidade, GreenPlasma, refere-se a uma escalada de privilégios no Windows CTFMON, permitindo que usuários não privilegiados criem objetos de seção de memória arbitrários, potencialmente manipulando serviços ou drivers privilegiados. Essas falhas surgem em um contexto onde o pesquisador já havia denunciado outras vulnerabilidades que foram exploradas ativamente. A Microsoft, por sua vez, afirmou que investiga as questões de segurança reportadas, mas a resposta tem sido criticada por sua lentidão e falta de transparência.

A Progress Software divulgou atualizações para corrigir duas vulnerabilidades de segurança no MOVEit Automation, uma solução de transferência de arquivos gerenciada e segura. As falhas identificadas são a CVE-2026-4670, que apresenta um risco crítico com uma pontuação CVSS de 9.8, permitindo um bypass de autenticação, e a CVE-2026-5174, com uma pontuação de 7.7, que permite a escalada de privilégios devido a uma validação inadequada de entrada. Ambas as vulnerabilidades podem ser exploradas através das interfaces de comando do serviço, resultando em acesso não autorizado e controle administrativo, além de potencial exposição de dados. As versões afetadas incluem MOVEit Automation até 2025.1.4, 2025.0.8 e 2024.1.7, que foram corrigidas nas versões 2025.1.5, 2025.0.9 e 2024.1.8, respectivamente. Embora não haja relatos de exploração ativa dessas falhas, a recomendação é que os usuários apliquem as correções imediatamente, especialmente considerando que vulnerabilidades anteriores no MOVEit Transfer foram exploradas por grupos de ransomware. A descoberta das falhas foi creditada a pesquisadores da Airbus SecLab.

Uma falha de segurança de severidade máxima foi identificada no plugin Modular DS do WordPress, afetando todas as versões até a 2.5.1. A vulnerabilidade, classificada como CVE-2026-23550 com uma pontuação CVSS de 10.0, permite a escalada de privilégios não autenticados. O problema reside na forma como o plugin gerencia suas rotas, permitindo que atacantes contornem mecanismos de autenticação ao ativar o modo de ‘pedido direto’. Isso expõe várias rotas sensíveis, como /login/ e /manager/, permitindo ações que vão desde login remoto até a obtenção de dados confidenciais. Desde 13 de janeiro de 2026, ataques explorando essa falha foram detectados, com tentativas de criar usuários administradores. O plugin possui mais de 40.000 instalações ativas e a versão corrigida 2.5.2 já está disponível. A situação ressalta os riscos de confiar implicitamente em caminhos de requisição internos expostos à internet pública. Usuários do plugin são fortemente aconselhados a atualizar para a versão corrigida o mais rápido possível.

A SonicWall anunciou a correção de uma vulnerabilidade crítica em seus dispositivos Secure Mobile Access (SMA) da série 100, identificada como CVE-2025-40602, com uma pontuação CVSS de 6.6. Essa falha permite a escalada de privilégios locais devido a uma autorização insuficiente no console de gerenciamento do aparelho. As versões afetadas incluem 12.4.3-03093 e anteriores, além de 12.5.0-02002 e anteriores, com correções disponíveis nas versões 12.4.3-03245 e 12.5.0-02283, respectivamente. A SonicWall alertou que essa vulnerabilidade está sendo explorada ativamente, especialmente em combinação com outra falha crítica, CVE-2025-23006, que permite a execução remota de código não autenticado com privilégios de root. Essa última falha foi corrigida em janeiro de 2025. A descoberta das vulnerabilidades foi creditada a pesquisadores do Google Threat Intelligence Group. Dada a gravidade da situação, é crucial que os usuários dos dispositivos SMA 100 apliquem as correções imediatamente para evitar possíveis comprometimentos.

Uma vulnerabilidade crítica foi descoberta no Elastic Defend, um software de proteção de endpoint, que pode permitir que atacantes escalem privilégios em sistemas Windows. Identificada como CVE-2025-37735, a falha resulta de um manuseio inadequado das permissões de arquivos no serviço Defend. Quando o serviço é executado com privilégios de nível SYSTEM, ele não preserva corretamente as configurações de permissão originais, criando uma brecha que permite a usuários locais deletar arquivos arbitrários no sistema comprometido. Isso pode levar a uma escalada de privilégios, permitindo que um atacante com acesso limitado obtenha controle administrativo total da máquina afetada. A Elastic classificou a vulnerabilidade com um score CVSS de 7.0 (Alto), o que indica um risco significativo, especialmente em ambientes onde usuários locais têm acesso. As organizações são aconselhadas a atualizar imediatamente para as versões corrigidas 8.19.6, 9.1.6 ou 9.2.0, que implementam mecanismos adequados de preservação de permissões. Para aquelas que não podem atualizar imediatamente, a versão 24H2 do Windows 11 oferece mudanças arquitetônicas que dificultam a exploração dessa vulnerabilidade, servindo como uma medida de segurança temporária.

Uma nova vulnerabilidade de segurança, identificada como CVE-2025-41244, foi descoberta nas ferramentas VMware e no VMware Aria Operations, afetando diversas versões do VMware Cloud Foundation e VMware vSphere. Com um escore CVSS de 7.8, essa falha permite a escalada de privilégios locais, possibilitando que um usuário não privilegiado execute código em um contexto privilegiado, como o root, em máquinas virtuais (VMs) afetadas. A exploração da vulnerabilidade foi atribuída ao grupo de ameaças UNC5174, vinculado à China, que a utilizou desde outubro de 2024. A falha está relacionada a uma função chamada ‘get_version()’, que, devido a um padrão de expressão regular mal formulado, permite que binários maliciosos sejam executados em diretórios acessíveis a usuários não privilegiados. A VMware já lançou patches para mitigar a vulnerabilidade, mas a exploração em ambientes reais levanta preocupações sobre a segurança das infraestruturas que utilizam suas soluções. A situação exige atenção imediata de profissionais de segurança da informação, especialmente em contextos onde as tecnologias da VMware são amplamente utilizadas.