Vulnerabilidade

Pesquisadores identificaram uma nova técnica de ataque chamada MadeYouReset, que explora vulnerabilidades em várias implementações do protocolo HTTP/2, permitindo a realização de ataques de negação de serviço (DoS) em larga escala. O ataque contorna o limite de 100 requisições HTTP/2 simultâneas por conexão TCP, que visa mitigar DoS, permitindo que um atacante envie milhares de requisições, resultando em condições de negação de serviço para usuários legítimos. A vulnerabilidade, identificada como CVE-2025-8671, afeta produtos amplamente utilizados, como Apache Tomcat, F5 BIG-IP e Netty. O ataque se baseia na manipulação de frames RST_STREAM e na violação de sequências de protocolo, levando a um esgotamento de recursos do servidor. A CERT/CC destacou que a complexidade dos protocolos modernos torna a proteção contra esses ataques mais crítica do que nunca. Além disso, a descoberta de MadeYouReset ocorre em um contexto onde outras vulnerabilidades, como ataques de desincronização HTTP/1.1, também foram reveladas, expondo milhões de sites a riscos. A segurança do HTTP/2 é essencial, pois é uma base fundamental da infraestrutura web atual.

Pesquisadores de cibersegurança descobriram uma nova técnica para explorar a experiência de configuração inicial do Windows (OOBE), que permite a usuários não autorizados obter privilégios administrativos durante o processo de instalação. Essa vulnerabilidade é particularmente preocupante em ambientes corporativos, onde funcionários podem reiniciar dispositivos e explorar o OOBE para criar contas de administrador não autorizadas ou instalar software malicioso. A técnica tradicional, que utiliza o atalho Shift + F10, já era conhecida, mas a nova abordagem, que usa o atalho Win + R, contorna as medidas de proteção implementadas pela Microsoft, como a criação do arquivo DisableCMDRequest.tag. Apesar de a Microsoft não considerar essa falha como uma vulnerabilidade de segurança, a situação expõe as empresas a riscos significativos, especialmente se o botão de redefinição não for ocultado no portal da empresa do Microsoft Intune. Administradores de TI são aconselhados a tomar medidas preventivas para proteger seus sistemas contra esse tipo de exploração.

A Microsoft revelou uma vulnerabilidade crítica em sua ferramenta Web Deploy, que pode permitir a execução remota de código em sistemas afetados. Identificada como CVE-2025-53772, a falha foi divulgada em 12 de agosto de 2025 e possui uma classificação de severidade ‘Importante’, com um escore CVSS de 8.8, indicando um risco significativo para ambientes corporativos. A vulnerabilidade decorre de um manuseio inadequado da desserialização de dados não confiáveis, uma fraqueza comum que pode conceder acesso extensivo ao sistema para atacantes. O Web Deploy, amplamente utilizado para publicar aplicações web em servidores IIS, se torna um vetor de ataque quando explorado por agentes maliciosos com privilégios baixos. A exploração dessa falha não requer interação do usuário e pode levar a acessos não autorizados, modificações de sistema e interrupções de serviço. A Microsoft recomenda que as organizações avaliem imediatamente suas implementações do Web Deploy e se preparem para atualizações de segurança, além de revisar processos de implantação e implementar controles de acesso adicionais. Profissionais de segurança são aconselhados a monitorar atividades suspeitas relacionadas ao Web Deploy e a garantir a segurança das pipelines de CI/CD para evitar infiltrações na rede.

Um novo alerta da CISA destaca uma vulnerabilidade crítica de deserialização insegura no N-able N-Central, identificada como CVE-2025-XXXX, que pode permitir a execução remota de comandos (RCE). A falha foi descoberta em 13 de agosto de 2025 e está relacionada ao deserializer YAML personalizado utilizado na console de gerenciamento do N-Central. Através da criação de um objeto Java malicioso, um atacante pode injetar código arbitrário, comprometendo a segurança do sistema. Essa vulnerabilidade é considerada de alta severidade pela OWASP, pois permite que dados não confiáveis sejam processados sem a devida validação. A CISA recomenda que as organizações adotem medidas imediatas, como aplicar patches e desabilitar o deserializer YAML, além de monitorar requisições API irregulares e realizar auditorias de logs. Embora não haja confirmação de exploração em campanhas de ransomware conhecidas, a urgência para mitigar essa falha é clara, especialmente considerando o aumento do uso de falhas de deserialização em ataques cibernéticos. As empresas devem alinhar suas ações com a Diretiva Operacional de Vinculação 22-01, que orienta sobre a proteção de serviços em nuvem.

Uma vulnerabilidade crítica foi identificada no popular plugin do WordPress “Database for Contact Form 7, WPforms, Elementor forms”, afetando todas as versões até 1.4.3. Classificada como CVE-2025-7384 e com um escore CVSS de 9.8, essa falha permite que atacantes não autenticados injetem objetos PHP maliciosos e potencialmente excluam arquivos arbitrários de sites afetados. A vulnerabilidade decorre da desserialização de dados não confiáveis na função get_lead_detail do plugin, permitindo a injeção de objetos PHP sem autenticação. Quando combinada com uma cadeia de programação orientada a propriedades (POP) presente no plugin Contact Form 7, os atacantes podem escalar a injeção de objetos para alcançar a exclusão de arquivos arbitrários, resultando em condições de negação de serviço (DoS) ou até mesmo execução remota de código (RCE). A falha foi divulgada publicamente em 12 de agosto de 2025, e um patch foi disponibilizado logo em seguida. Administradores de sites devem atualizar imediatamente para a versão 1.4.4 ou superior para evitar a exploração dessa vulnerabilidade. Dada a natureza não autenticada da falha e seu potencial para execução remota de código, é crucial que as organizações afetadas priorizem a correção imediata e considerem implementar medidas de segurança adicionais, como firewalls de aplicações web (WAF) e monitoramento de segurança regular.

Pesquisadores de cibersegurança da Horizon3.ai identificaram duas vulnerabilidades críticas, CVE-2025-8355 e CVE-2025-8356, no Xerox FreeFlow Core, uma plataforma amplamente utilizada para orquestração de impressão em empresas, universidades e órgãos governamentais. Essas falhas permitem que atacantes remotos não autenticados comprometam completamente o sistema por meio de injeção de Entidades Externas XML (XXE) e ataques de travessia de caminho. A descoberta começou com um chamado de suporte de um cliente que relatou uma detecção falsa positiva em seu sistema de segurança, levando os pesquisadores a investigar mais a fundo. A vulnerabilidade XXE permite ataques de falsificação de requisições do lado do servidor, enquanto a falha de travessia de caminho possibilita o upload de arquivos maliciosos, resultando em execução remota de código. Dada a natureza sensível das implementações do FreeFlow Core, que lidam com materiais de marketing pré-publicação, essas vulnerabilidades representam um risco significativo. A Xerox já lançou patches para ambas as falhas na versão 8.0.5 do FreeFlow Core, e os especialistas recomendam que todos os usuários atualizem imediatamente para evitar possíveis explorações.

Pesquisadores de segurança da Zimperium, através do zLabs, descobriram uma vulnerabilidade crítica em frameworks populares de rooting para Android, que pode permitir que aplicativos maliciosos comprometam completamente dispositivos roteados. A falha, identificada inicialmente em meados de 2023, explora fraquezas de autenticação em ferramentas como o KernelSU, permitindo que atacantes obtenham acesso root não autorizado e controlem totalmente os dispositivos afetados.

A vulnerabilidade afeta especificamente a versão 0.5.7 do KernelSU, um framework moderno que utiliza patching de kernel para obter privilégios elevados. O problema reside no mecanismo de autenticação do KernelSU, que verifica a assinatura digital do arquivo APK do aplicativo chamador. Os pesquisadores descobriram que esse processo de verificação tinha uma falha crítica: ele escaneava a tabela de descritores de arquivos do processo e verificava apenas o primeiro arquivo que correspondia ao padrão esperado. Isso permite que atacantes manipulem a ordem dos descritores de arquivos para enganar o kernel, fazendo-o ler o APK do gerenciador legítimo em vez do aplicativo malicioso.

Pesquisadores de segurança da Zimperium, através do zLabs, descobriram uma vulnerabilidade crítica em frameworks populares de rooting para Android, que pode permitir que aplicativos maliciosos assumam o controle total de dispositivos roteados. A falha, identificada em meados de 2023, explora fraquezas de autenticação em ferramentas como o KernelSU, permitindo acesso irrestrito ao sistema sem o conhecimento do usuário. A vulnerabilidade afeta a versão 0.5.7 do KernelSU, que utiliza técnicas de patching do kernel para fornecer acesso root. O problema central reside em um mecanismo de autenticação falho, que deveria impedir aplicativos não autorizados de acessar interfaces privilegiadas do kernel. Os atacantes podem manipular a ordem dos descritores de arquivos para enganar o kernel, fazendo com que ele leia a assinatura APK do gerenciador legítimo em vez do aplicativo malicioso. A pesquisa indica que vulnerabilidades de autenticação são comuns em frameworks de rooting, com riscos particularmente elevados durante os ciclos de inicialização do dispositivo. A Zimperium oferece soluções de defesa contra ameaças móveis que podem detectar tais compromissos, monitorando o status de rooting dos dispositivos e a presença de malware.

A Fortinet emitiu um alerta sobre uma vulnerabilidade crítica no FortiSIEM, identificada como CVE-2025-25256, que possui um CVSS de 9.8, indicando um alto nível de severidade. Essa falha permite que atacantes não autenticados executem comandos não autorizados por meio de requisições CLI manipuladas, o que pode comprometer a segurança da rede. As versões afetadas incluem FortiSIEM 6.1 a 6.6, além de várias subversões de 6.7 a 7.3, sendo recomendada a atualização para versões corrigidas. A Fortinet também confirmou a existência de código de exploração prático em circulação, embora não tenha fornecido detalhes sobre sua natureza ou localização. Como medida de mitigação, a empresa sugere que as organizações restrinjam o acesso à porta phMonitor (7900). Este alerta surge em um contexto de aumento de tráfego de força bruta direcionado a dispositivos VPN SSL da Fortinet, o que pode indicar uma intensificação das tentativas de exploração de vulnerabilidades. A situação requer atenção imediata das equipes de segurança para evitar possíveis comprometimentos.

Uma nova plataforma de ransomware como serviço chamada Global Group está utilizando chatbots de inteligência artificial para automatizar as negociações de resgate com suas vítimas. Desde sua criação em junho de 2025, o grupo já comprometeu pelo menos 17 organizações em países como Estados Unidos, Reino Unido, Austrália e Brasil, exigindo pagamentos que podem chegar a US$ 1 milhão. Essa inovação permite que os cibercriminosos mantenham várias negociações simultaneamente, sem a necessidade de intervenção humana constante, aumentando a eficiência das operações de extorsão. O sistema de IA analisa arquivos criptografados para verificar compromissos e adapta o tom das mensagens de acordo com o perfil da vítima, intensificando a pressão psicológica. O Global Group tem como alvos preferenciais organizações de alto valor nos setores de saúde, automotivo e industrial, e seu painel de negociações na deep web permite que afiliados de diversas nacionalidades conduzam as negociações. Além disso, o modelo de negócio do grupo é agressivo, oferecendo 85% dos valores arrecadados com resgates para seus afiliados, atraindo operadores experientes. Apesar da sofisticação aparente, análises técnicas indicam que o Global Group é uma rebranding de grupos anteriores, mantendo vulnerabilidades conhecidas. Essa transformação no cibercrime representa um desafio significativo para profissionais de segurança digital, que agora enfrentam negociadores artificiais programados para maximizar a pressão e acelerar os pagamentos.

Apesar do avanço nas práticas de segurança em nuvem, muitas empresas ainda lutam contra o problema das permissões excessivas e acessos permanentes. O Relatório de Riscos de Segurança na Nuvem 2025 revela que 83% das organizações que utilizam a Amazon Web Services (AWS) já implementaram serviços de Provedores de Identidade (IdPs), um passo importante para centralizar o controle de acesso. Entretanto, a presença dos IdPs não garante segurança, pois permissões mal configuradas e acessos sem limites temporais ainda criam vulnerabilidades que podem ser exploradas por atacantes. A autenticação multifator (MFA), embora recomendada, frequentemente é vista como complexa pelos usuários, o que dificulta sua adoção. Além disso, permissões temporárias, que deveriam ser revogadas após o uso, muitas vezes permanecem ativas, aumentando a superfície de ataque desnecessariamente. Embora os principais provedores de nuvem ofereçam soluções robustas para gerenciamento de identidade e acesso, o verdadeiro desafio reside na cultura organizacional. É essencial promover uma mudança de mentalidade que implemente o princípio do menor privilégio, adote acessos just-in-time e realize auditorias regulares nas permissões. A segurança de identidade deve ser encarada como um processo contínuo, especialmente em um cenário onde os ataques se tornam cada vez mais sofisticados. Portanto, a gestão adequada da identidade não deve ser opcional, mas sim uma prioridade fundamental para as empresas.

A Dell emitiu um alerta sobre cinco vulnerabilidades de segurança classificadas como críticas, que afetam milhões de notebooks em mais de 100 modelos diferentes. As falhas estão relacionadas aos chips da série Broadcom BCM5820X, encontrados principalmente em PCs e notebooks empresariais da Dell, como as séries Latitude e Precision. As vulnerabilidades, identificadas como CVE-2025-24311, CVE-2025-25215, CVE-2025-24922, CVE-2025-25050 e CVE-2025-24919, comprometem a função ControlVault3, uma solução de segurança de hardware destinada ao armazenamento de dados sensíveis, como senhas e informações biométricas. De acordo com pesquisadores da Cisco Talos, um invasor com privilégios limitados poderia explorar essas falhas para roubar dados, executar códigos maliciosos remotamente e até implantar um backdoor no firmware do ControlVault, obtendo acesso à máquina afetada. A Dell afirmou que os problemas foram corrigidos em parceria com seu fornecedor de firmware e que um aviso de segurança foi publicado em 13 de junho. Até o momento, não há relatos de exploração ativa dessas vulnerabilidades. Para garantir a segurança, os usuários devem buscar as atualizações mais recentes no Dell Command Center ou acessar a página de suporte da Dell para obter mais informações sobre como proceder.