Smb

Vulnerabilidade expõe hash NTLMv2 em ferramenta da Microsoft

Pesquisadores em cibersegurança revelaram uma vulnerabilidade não corrigida que pode permitir que atacantes obtenham o hash NTLMv2 de um usuário. O problema, relacionado ao manipulador de URI ‘search:’, é semelhante ao CVE-2026-33829, que afetou a ferramenta Snipping Tool da Microsoft. A vulnerabilidade permite que um invasor induza o usuário a clicar em um link malicioso, que, se aprovado, conecta o computador a um servidor SMB controlado pelo atacante, expondo o hash NTLMv2 do usuário. A Microsoft já havia corrigido uma falha semelhante em abril de 2026, mas optou por não abordar essa nova questão, alegando que apenas casos de severidade ‘Importante’ e ‘Crítico’ são priorizados. Sem uma correção disponível, recomenda-se bloquear o tráfego SMB em hosts desnecessários, aplicar assinatura SMB e desativar o NTLM quando possível. Essa situação representa um risco significativo, pois o hash capturado pode ser utilizado em ataques de retransmissão, permitindo acesso não autorizado a redes.

GhostLock nova técnica de ataque bloqueia acesso a arquivos no Windows

Um pesquisador de segurança lançou uma ferramenta chamada GhostLock, que demonstra como a API de arquivos do Windows pode ser explorada para bloquear o acesso a arquivos armazenados localmente ou em compartilhamentos de rede SMB. A técnica, desenvolvida por Kim Dvash da Israel Aerospace Industries, utiliza a função ‘CreateFileW’ e o parâmetro ‘dwShareMode’ para garantir acesso exclusivo a arquivos, impedindo que outros usuários ou aplicações os abram. A ferramenta automatiza o ataque, abrindo recursivamente um grande número de arquivos em compartilhamentos SMB, resultando em falhas de acesso com o erro ‘STATUS_SHARING_VIOLATION’. O ataque pode ser realizado por usuários comuns de domínio, sem necessidade de privilégios elevados, e se torna mais eficaz se executado a partir de múltiplos dispositivos comprometidos. Dvash classifica a técnica como um ataque de interrupção, semelhante a um ataque de negação de serviço, que pode ser usado como uma distração durante intrusões. Embora a técnica não cause perda de dados, ela pode sobrecarregar as equipes de TI, permitindo que atacantes realizem atividades maliciosas em outras partes do ambiente. O pesquisador também forneceu consultas SIEM e regras de detecção para ajudar as equipes de segurança a identificar esse tipo de ataque.

CISA alerta sobre vulnerabilidade crítica no SMB do Windows

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre uma grave vulnerabilidade no Microsoft Windows Server Message Block (SMB), identificada como CVE-2025-33073. Essa falha de controle de acesso inadequado permite que atacantes escalem privilégios em sistemas comprometidos, possibilitando o controle total sobre eles. A vulnerabilidade está sendo ativamente explorada em ataques reais, o que representa uma ameaça significativa para redes federais e infraestrutura crítica. A CISA incluiu essa vulnerabilidade em seu catálogo de Vulnerabilidades Conhecidas e Exploited, exigindo que agências federais a corrijam até 10 de novembro de 2025. Organizações que utilizam sistemas Windows são aconselhadas a revisar as orientações de atualização de segurança da Microsoft e aplicar patches imediatamente. Embora não haja confirmação de que essa vulnerabilidade esteja ligada a ataques de ransomware, falhas de escalonamento de privilégios são frequentemente utilizadas por grupos de ransomware. A rápida ação das organizações é crucial para proteger seus sistemas contra esses ataques, destacando a importância de práticas eficazes de gerenciamento de vulnerabilidades.