Microsoft Exchange

O cenário de cibersegurança apresenta uma série de incidentes preocupantes, incluindo a exploração ativa de uma vulnerabilidade no Microsoft Exchange Server, identificada como CVE-2026-42897, com um CVSS de 8.1. Essa falha, que permite spoofing devido a um erro de cross-site scripting, está sendo explorada, embora detalhes sobre os atacantes e a extensão dos ataques ainda sejam desconhecidos. Além disso, um grupo de ameaças sofisticadas, UAT-8616, está atacando o Cisco Catalyst SD-WAN Controller, utilizando uma falha crítica de bypass de autenticação (CVE-2026-20182) para obter acesso não autorizado e escalar privilégios. Outro ataque significativo foi atribuído ao TeamPCP, que comprometeu pacotes npm, visando a cadeia de suprimentos de software para implantar malware e roubar credenciais. Esses incidentes destacam a importância de uma vigilância constante e de ações rápidas para mitigar riscos. Por fim, a Apple e o Google estão implementando mensagens RCS com criptografia de ponta a ponta, enquanto a Instructure chegou a um acordo com os atacantes do grupo ShinyHunters após um ataque que comprometeu dados de instituições educacionais.

Durante o segundo dia da competição Pwn2Own Berlin 2026, realizada entre 14 e 16 de maio, os participantes arrecadaram $385,750 ao explorar 15 vulnerabilidades zero-day em produtos como Windows 11, Microsoft Exchange e Red Hat Enterprise Linux. O evento, que ocorre na conferência OffensiveCon, foca em tecnologias empresariais e inteligência artificial. Os pesquisadores de segurança podem ganhar prêmios que ultrapassam $1,000,000 ao comprometer produtos totalmente atualizados em diversas categorias, incluindo aplicações empresariais e ambientes de nuvem.

A Microsoft divulgou uma nova vulnerabilidade de segurança que afeta as versões locais do Exchange Server, identificada como CVE-2026-42897, com uma pontuação CVSS de 8.1. Este problema, classificado como um bug de spoofing decorrente de uma falha de cross-site scripting, permite que atacantes não autorizados executem código JavaScript arbitrário no contexto do navegador ao enviar um e-mail malicioso. A vulnerabilidade já está sendo explorada ativamente, e a Microsoft recomenda que os usuários apliquem mitigação imediata através do Exchange Emergency Mitigation Service, que reescreve URLs automaticamente. As versões afetadas incluem Exchange Server 2016, 2019 e Subscription Edition, enquanto o Exchange Online não é impactado. Para aqueles que não podem usar o serviço de mitigação automática, a Microsoft disponibilizou um Mitigation Tool (EOMT) que deve ser aplicado manualmente. A empresa também está ciente de um problema conhecido onde a ferramenta pode indicar que a mitigação é inválida, mas assegura que a aplicação é bem-sucedida se o status mostrar ‘Applied’. Embora não haja informações sobre a identidade dos atacantes ou a escala das explorações, é crucial que as organizações adotem as medidas recomendadas para se protegerem.

Um grupo de hackers associado à China, conhecido como FamousSparrow, está vinculado a uma série de intrusões em uma empresa de petróleo e gás do Azerbaijão entre dezembro de 2025 e fevereiro de 2026. A Bitdefender, empresa de cibersegurança, atribui a atividade com confiança moderada a alta a esse grupo, que já possui um histórico de ataques em outras regiões. A campanha de ataque foi caracterizada por uma ‘intrusão em múltiplas ondas’, utilizando dois tipos distintos de backdoors: Deed RAT e TernDoor. Os atacantes exploraram uma vulnerabilidade no Microsoft Exchange Server, utilizando a cadeia ProxyNotShell para obter acesso inicial. O que chama a atenção é a persistência dos atacantes em reutilizar o mesmo ponto de entrada vulnerável, mesmo após tentativas de remediação. Além disso, a técnica de side-loading de DLL foi aprimorada para evitar detecções. O ataque destaca a importância de uma vigilância contínua e a necessidade de remediação eficaz de vulnerabilidades, especialmente em um contexto onde a segurança energética da Europa está em jogo.

Xu Zewei, um cidadão chinês de 34 anos, foi extraditado para os Estados Unidos após ser preso na Itália em julho de 2025. Ele é acusado de ser membro do grupo de hackers Silk Typhoon, supostamente patrocinado pelo governo chinês, e de ter orquestrado ataques cibernéticos contra organizações e agências governamentais americanas entre fevereiro de 2020 e junho de 2021. Entre os alvos, destaca-se uma universidade do Texas, onde informações sobre vacinas contra a COVID-19 foram roubadas. Xu enfrenta nove acusações, incluindo fraude eletrônica e roubo de identidade agravado. A acusação alega que ele e seu co-réu, Zhang Yu, realizaram os ataques sob a direção do Ministério da Segurança do Estado da China, utilizando vulnerabilidades conhecidas no Microsoft Exchange Server, um software amplamente utilizado para gerenciamento de e-mails. Apesar das acusações, Xu nega envolvimento e afirma que sua prisão foi um erro de identidade. Zhang Yu permanece foragido. Este caso destaca a crescente preocupação com a cibersegurança e a espionagem estatal, especialmente em um contexto de pesquisa crítica como a da COVID-19.

Xu Zewei, um cidadão chinês, foi extraditado da Itália para os Estados Unidos, onde enfrentará acusações de ciberespionagem em nome dos serviços de inteligência da China. Segundo o Departamento de Justiça (DOJ) dos EUA, Xu atuava como hacker contratado pelo Ministério da Segurança do Estado (MSS) da China, realizando invasões entre fevereiro de 2020 e junho de 2021. Ele foi preso em Milão em 2025, a pedido das autoridades americanas, devido a suas ligações com o grupo de hackers Silk Typhoon, também conhecido como Hafnium. As investigações revelam que Xu participou de ataques direcionados a organizações de pesquisa sobre COVID-19, buscando informações sobre vacinas e tratamentos. Os hackers exploraram vulnerabilidades zero-day do Microsoft Exchange Server, permitindo acesso não autorizado a servidores de e-mail e redes de vítimas. O DOJ afirma que Xu e seus cúmplices operavam sob a direção de oficiais do MSS, utilizando empresas como a Shanghai Powerock Network Co., Ltd. para realizar suas operações. Xu enfrentará múltiplas acusações relacionadas a intrusões em sistemas computacionais e conspiração.

A Agência de Segurança Cibernética e de Infraestrutura (CISA), em parceria com a Agência de Segurança Nacional e aliados internacionais, lançou um guia abrangente de melhores práticas de segurança para fortalecer a infraestrutura dos servidores Microsoft Exchange. Este documento é essencial para organizações que buscam proteger seus ambientes Exchange locais contra ameaças sofisticadas. Os servidores Exchange são alvos valiosos para atacantes que buscam acesso não autorizado e a exfiltração de dados sensíveis. O guia enfatiza a importância da autenticação multifatorial (MFA) e do controle de acesso robusto como pilares fundamentais da segurança. Além disso, recomenda a implementação de protocolos de criptografia para proteger as comunicações de e-mail, tanto em trânsito quanto em repouso. Outro ponto crítico abordado é a manutenção de servidores Exchange legados durante migrações para a nuvem, que frequentemente ficam sem monitoramento adequado, tornando-se vulneráveis. A CISA sugere que as organizações desenvolvam planos de descomissionamento para essas infraestruturas obsoletas, eliminando pontos de entrada para atacantes e simplificando a segurança. O guia também lista várias vulnerabilidades críticas (CVE) que afetam versões do Exchange, destacando a necessidade urgente de ações corretivas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) e a Agência de Segurança Nacional (NSA), em colaboração com parceiros internacionais, emitiram orientações para proteger instâncias locais do Microsoft Exchange Server contra possíveis explorações. As recomendações incluem restringir o acesso administrativo, implementar autenticação multifatorial e adotar princípios do modelo de segurança de confiança zero. As agências alertam que a atividade maliciosa direcionada ao Exchange Server continua a aumentar, especialmente em instâncias desprotegidas ou mal configuradas. Organizações são aconselhadas a descontinuar servidores Exchange obsoletos e migrar para o Microsoft 365. Além disso, a CISA atualizou o alerta sobre a vulnerabilidade CVE-2025-59287, que pode permitir a execução remota de código, recomendando que as organizações apliquem atualizações de segurança e monitorem atividades suspeitas em suas redes. A exploração dessa vulnerabilidade já foi identificada em diversas indústrias, incluindo tecnologia e saúde, destacando a urgência de ações corretivas para mitigar riscos.