Vulnerabilidade

Uma campanha sofisticada atribuída ao grupo de ameaças patrocinado pelo Estado chinês, conhecido como BRONZE BUTLER, está explorando uma vulnerabilidade crítica zero-day no Motex LANSCOPE Endpoint Manager para comprometer organizações japonesas e roubar informações sensíveis. A falha, identificada como CVE-2025-61932, possui um escore CVSS 3.0 de 9.8, permitindo que atacantes remotos executem código arbitrário com privilégios de sistema. A vulnerabilidade afeta versões 9.4.7.1 e anteriores do LANSCOPE Endpoint Manager, visando especificamente os componentes do programa cliente e do agente de detecção. As tentativas de exploração começaram em abril de 2025, com a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionando a CVE-2025-61932 ao seu catálogo de vulnerabilidades conhecidas exploradas em 22 de outubro de 2025. Os pesquisadores identificaram que o grupo BRONZE BUTLER utilizou um malware sofisticado chamado Gokcpdoor como infraestrutura de comando e controle, além de técnicas de exfiltração de dados que incluíam ferramentas legítimas e serviços de armazenamento em nuvem. Organizações que utilizam o LANSCOPE devem revisar imediatamente a justificativa para a exposição pública e aplicar atualizações de segurança disponíveis.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu a vulnerabilidade CVE-2025-24893 em seu catálogo de Vulnerabilidades Conhecidas Exploited, destacando um grave problema de injeção de código na plataforma XWiki. Essa falha permite que qualquer usuário convidado execute código remoto arbitrário sem autenticação, representando um risco significativo para organizações que utilizam essa plataforma de wiki de código aberto. A vulnerabilidade está relacionada ao componente SolrSearch do XWiki, que não trata adequadamente as funções de avaliação de código, permitindo que atacantes não autenticados injetem código malicioso. A CISA estabeleceu o dia 20 de novembro de 2025 como prazo crítico para que as organizações implementem correções de segurança fornecidas pela equipe de desenvolvimento do XWiki. Para organizações que não conseguem aplicar as correções imediatamente, a CISA recomenda a suspensão do uso da plataforma até que a remediação completa seja possível. Embora não haja evidências de exploração ativa, a gravidade da vulnerabilidade sugere que os atacantes podem rapidamente desenvolver códigos de exploração contra sistemas não corrigidos. As equipes de segurança devem realizar um inventário de todas as implementações do XWiki e estabelecer procedimentos de teste de patches antes da implementação em larga escala.

Pesquisadores de segurança da Sophos identificaram a exploração ativa de uma vulnerabilidade crítica nos Serviços de Atualização do Windows Server (WSUS), que permite a atores maliciosos coletar dados sensíveis de organizações sem necessidade de autenticação. A falha, classificada como CVE-2025-59287, foi amplamente explorada após a divulgação de detalhes técnicos e a liberação de patches pela Microsoft em 14 de outubro de 2025. A situação se agravou com a publicação de um código de prova de conceito no GitHub, resultando em uma onda de ataques coordenados contra servidores WSUS expostos à internet. Os ataques, que começaram em 24 de outubro de 2025, afetaram principalmente organizações nos setores de tecnologia, saúde, manufatura e educação, com pelo menos seis incidentes confirmados. Os atacantes utilizam um bug de desserialização para executar comandos PowerShell maliciosos, extraindo informações críticas como endereços IP externos e configurações de rede, que são então exfiltradas para URLs controladas pelos atacantes. Especialistas em segurança estão alertando as organizações para que apliquem imediatamente os patches disponíveis e restrinjam o acesso aos servidores WSUS expostos.

Um grupo de ciberespionagem conhecido como Tick, também chamado de Bronze Butler, tem explorado uma vulnerabilidade crítica no Motex Lanscope Endpoint Manager, identificada como CVE-2025-61932, com uma pontuação CVSS de 9.3. Essa falha permite que atacantes remotos executem comandos arbitrários com privilégios de sistema em versões locais do software. O JPCERT/CC confirmou que a vulnerabilidade está sendo ativamente utilizada para instalar um backdoor em sistemas comprometidos. A campanha sofisticada, observada pela Sophos, utiliza um backdoor chamado Gokcpdoor, que estabelece uma conexão proxy com um servidor remoto e permite a execução de comandos maliciosos. Além disso, o ataque envolve o uso do framework Havoc para pós-exploração e ferramentas como goddi e Remote Desktop para movimentação lateral e exfiltração de dados. O Tick já havia sido observado explorando falhas zero-day em campanhas anteriores, como em 2017, quando comprometeu o SKYSEA Client View. A Sophos recomenda que as organizações atualizem seus servidores Lanscope vulneráveis e revisem a necessidade de expô-los publicamente na internet.

O grupo de ameaças conhecido como UNC6384, associado à China, está vinculado a uma nova onda de ataques que exploram uma vulnerabilidade não corrigida em atalhos do Windows, visando entidades diplomáticas e governamentais na Europa entre setembro e outubro de 2025. Os ataques foram direcionados a organizações diplomáticas na Hungria, Bélgica, Itália e Países Baixos, além de agências governamentais na Sérvia. A cadeia de ataque começa com e-mails de spear-phishing que contêm URLs maliciosas, levando à entrega de arquivos LNK que exploram a vulnerabilidade ZDI-CAN-25373, identificada como CVE-2025-9491. Esses arquivos são projetados para desencadear uma sequência de ataques que culminam na implantação do malware PlugX, um trojan de acesso remoto. O PlugX é conhecido por suas capacidades de acesso remoto, incluindo execução de comandos, registro de teclas e upload/download de arquivos. A evolução do malware foi observada, com a redução do tamanho dos artefatos de 700 KB para 4 KB, indicando um desenvolvimento ativo. A campanha se alinha com os interesses estratégicos da China em relação à coesão das alianças europeias e iniciativas de defesa.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração ativa de uma vulnerabilidade crítica de escalonamento de privilégios, identificada como CVE-2025-41244, que afeta o VMware Tools e o VMware Aria Operations. Essa falha permite que atacantes com acesso de usuário padrão a uma máquina virtual elevem seus privilégios a nível root, comprometendo a segurança de sistemas virtualizados. A vulnerabilidade é particularmente preocupante devido à sua baixa complexidade de ataque e aos requisitos mínimos para exploração, tornando-a acessível em ambientes multi-inquilinos e de hospedagem compartilhada. A CISA estabeleceu um prazo obrigatório até 20 de novembro de 2025 para que as organizações apliquem patches ou implementem medidas de segurança alternativas. A Broadcom, responsável pelo VMware, já disponibilizou orientações de segurança e patches para mitigar a falha. Enquanto isso, as organizações devem considerar restrições de acesso local e desativação de funcionalidades não essenciais como medidas temporárias. A urgência é reforçada pela natureza pública da vulnerabilidade e pela janela de exploração ativa, exigindo uma resposta rápida das equipes de segurança.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade de alta severidade no catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), afetando o Broadcom VMware Tools e o VMware Aria Operations. Identificada como CVE-2025-41244, essa falha possui uma pontuação CVSS de 7.8 e permite que atacantes locais com privilégios não administrativos escalem suas permissões para nível root em sistemas vulneráveis. A CISA destacou que a exploração dessa vulnerabilidade pode ocorrer em máquinas virtuais (VMs) com VMware Tools instalados e geridos pelo Aria Operations, especialmente com o SDMP habilitado. A falha foi descoberta pela NVISO Labs e já estava sendo explorada como um zero-day desde outubro de 2024 por um ator de ameaça vinculado à China, identificado como UNC5174. Além disso, a CISA também listou uma vulnerabilidade crítica de injeção eval no XWiki, que permite a execução remota de código por usuários convidados. As agências do Federal Civilian Executive Branch (FCEB) devem implementar as mitig ações necessárias até 20 de novembro de 2025 para proteger suas redes contra essas ameaças.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) e a Agência de Segurança Nacional (NSA), em colaboração com parceiros internacionais, emitiram orientações para proteger instâncias locais do Microsoft Exchange Server contra possíveis explorações. As recomendações incluem restringir o acesso administrativo, implementar autenticação multifatorial e adotar princípios do modelo de segurança de confiança zero. As agências alertam que a atividade maliciosa direcionada ao Exchange Server continua a aumentar, especialmente em instâncias desprotegidas ou mal configuradas. Organizações são aconselhadas a descontinuar servidores Exchange obsoletos e migrar para o Microsoft 365. Além disso, a CISA atualizou o alerta sobre a vulnerabilidade CVE-2025-59287, que pode permitir a execução remota de código, recomendando que as organizações apliquem atualizações de segurança e monitorem atividades suspeitas em suas redes. A exploração dessa vulnerabilidade já foi identificada em diversas indústrias, incluindo tecnologia e saúde, destacando a urgência de ações corretivas para mitigar riscos.

Pesquisadores das universidades Georgia Tech e Purdue University descobriram uma falha grave em CPUs modernas da AMD e Intel, que permite o acesso a informações sensíveis armazenadas no Ambiente de Execução Confiável (TEE). O ataque, denominado TEE.Fail, explora vulnerabilidades nas tecnologias Intel SGX/TDX e AMD SEV-SNP, especialmente em sistemas que utilizam memórias DDR5. Embora o método de ataque exija acesso físico à máquina e uma modificação invasiva, ele pode ser realizado com um custo inferior a 1.000 euros, tornando-o acessível até mesmo para entusiastas de hardware. Durante os testes, os pesquisadores conseguiram extrair chaves de assinatura do OpenSSL em máquinas virtuais protegidas pela tecnologia SEV-SNP da AMD, mesmo com a segurança adicional ativada. Apesar da gravidade da vulnerabilidade, o ataque não representa uma ameaça imediata para o usuário comum, pois requer privilégios de administrador e acesso físico. A AMD, única entre as fabricantes a responder, afirmou que não planeja correções, uma vez que a solução exigiria alterações de hardware. Essa situação levanta preocupações sobre a segurança de dados sensíveis em ambientes corporativos que utilizam essas tecnologias.

Uma vulnerabilidade severa foi descoberta no motor de renderização Blink do Chromium, permitindo que navegadores baseados em Chromium, como Google Chrome e Microsoft Edge, sejam explorados para falhar em questão de segundos. O pesquisador de segurança Jose Pino, que revelou a falha, a nomeou de Brash. Essa vulnerabilidade se origina da falta de limitação de taxa nas atualizações da API ‘document.title’, permitindo que milhões de mutações do modelo de objeto do documento (DOM) sejam enviadas por segundo, levando o navegador a travar e degradar o desempenho do sistema. O ataque ocorre em três etapas: geração de hash, injeção em rajadas de atualizações e saturação da thread da interface do usuário, resultando em um navegador não responsivo. Além disso, Brash pode ser programada para ser ativada em momentos específicos, funcionando como uma bomba lógica. A falha afeta todos os navegadores baseados em Chromium, enquanto o Mozilla Firefox e o Apple Safari estão imunes. A equipe do Hacker News entrou em contato com o Google para obter mais informações sobre a correção.

Pesquisadores de segurança identificaram uma falha crítica na arquitetura do motor de renderização Blink, que afeta navegadores baseados em Chromium, como Chrome, Edge, Brave e Opera, colocando mais de 3 bilhões de usuários em risco de ataques de negação de serviço (DoS). Denominada Brash, a vulnerabilidade permite que atacantes incapacitem completamente esses navegadores em apenas 15 a 60 segundos, utilizando técnicas simples de injeção de código. O ataque explora a ausência de limitação de taxa na API document.title, inundando o navegador com milhões de solicitações de atualização de título por segundo, o que sobrecarrega o thread principal do navegador e provoca um colapso do sistema. Testes mostraram que todos os navegadores baseados em Chromium são vulneráveis, enquanto Firefox e Safari permanecem imunes devido a arquiteturas de renderização diferentes. As consequências vão além da simples inconveniência, afetando o desempenho do sistema e podendo interromper operações críticas em setores como saúde e finanças. A vulnerabilidade ainda não foi corrigida, e patches estão em desenvolvimento, o que exige atenção imediata dos usuários e administradores de sistemas.

Uma vulnerabilidade crítica foi identificada no plugin Anti-Malware Security e Brute-Force Firewall do WordPress, afetando mais de 100 mil sites globalmente. A falha, registrada como CVE-2025-11705, permite que atacantes autenticados com acesso básico leiam arquivos arbitrários nos servidores afetados, expondo dados sensíveis como configurações e credenciais de banco de dados. O problema decorre da ausência de uma verificação de autorização na função GOTMLS_ajax_scan(), que exibe resultados de varredura de malware. Apesar de mecanismos de proteção, a implementação falhou em validar corretamente as capacidades dos usuários, permitindo que contas de baixo privilégio contornassem essas salvaguardas. A vulnerabilidade foi descoberta pelo pesquisador Dmitrii Ignatyev e divulgada através do programa de recompensas da Wordfence, resultando em um patch liberado em 15 de outubro de 2025. Administradores de sites devem atualizar imediatamente para a versão 4.23.83 ou posterior para mitigar os riscos. Este incidente destaca a importância de manter versões de plugins atualizadas e monitorar avisos de segurança.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração ativa de uma vulnerabilidade crítica no Windows Server Update Service (WSUS), identificada como CVE-2025-59287. Essa falha permite que atacantes não autenticados executem código remotamente com privilégios de sistema, comprometendo a infraestrutura de milhões de servidores. A CISA atualizou suas diretrizes em 29 de outubro de 2025, recomendando que as organizações identifiquem servidores vulneráveis e apliquem imediatamente a atualização de segurança emergencial da Microsoft, lançada em 23 de outubro de 2025. Para aqueles que não conseguem aplicar os patches rapidamente, a CISA sugere desabilitar temporariamente o WSUS ou bloquear o tráfego para as portas padrão do WSUS. Além disso, as equipes de segurança devem monitorar tentativas de exploração e movimentos laterais dentro da rede, prestando atenção a processos suspeitos que possam indicar uma violação. A vulnerabilidade foi adicionada ao catálogo de Vulnerabilidades Conhecidas da CISA, confirmando a exploração ativa desde pelo menos 24 de outubro de 2025. A situação exige atenção imediata das organizações para evitar compromissos severos em suas operações.

A Microsoft corrigiu uma vulnerabilidade crítica no driver Windows Cloud Files Minifilter, identificada como CVE-2025-55680, que permite a atacantes locais escalar privilégios e criar arquivos arbitrários no sistema. Descoberta por pesquisadores da Exodus Intelligence em março de 2024, a falha foi incluída nas atualizações de segurança de outubro de 2025, recebendo uma pontuação CVSS de 7.8 devido à sua capacidade de conceder acesso em nível SYSTEM por meio de técnicas de side-loading de DLLs.

Pesquisadores em cibersegurança identificaram uma nova vulnerabilidade em navegadores web que utilizam inteligência artificial, como o OpenAI ChatGPT Atlas. O problema, denominado ‘cloaking direcionado a IA’, permite que atacantes manipulem o conteúdo exibido para crawlers de IA, expondo-os a ataques de envenenamento de contexto. A técnica, semelhante ao cloaking de motores de busca, utiliza uma verificação simples do agente do usuário para entregar conteúdo diferente para humanos e sistemas de IA. Isso pode distorcer a percepção de autoridade e verdade, afetando milhões de usuários. A empresa SPLX, que divulgou a vulnerabilidade, alerta que essa manipulação pode ser uma arma poderosa de desinformação, comprometendo a confiança nas ferramentas de IA. Além disso, um estudo da hCaptcha Threat Analysis Group revelou que muitos navegadores tentaram executar ações maliciosas sem necessidade de jailbreak, indicando uma falta de salvaguardas adequadas. Isso levanta preocupações sobre a segurança de sistemas que dependem de IA, especialmente em um cenário onde a otimização para IA se torna cada vez mais comum.

Uma vulnerabilidade de execução remota de código (RCE) não autenticada no XWiki, identificada como CVE-2025-24893, está sendo ativamente explorada por atacantes para implantar malware de mineração de criptomoedas. Essa falha, que permite a injeção de templates, possibilita a execução de código arbitrário em sistemas vulneráveis sem necessidade de autenticação, representando uma ameaça significativa para organizações que utilizam versões não corrigidas do XWiki.

A análise da VulnCheck revelou uma cadeia de ataque sofisticada em duas etapas, onde os atacantes inicialmente enviam uma solicitação GET maliciosa para um endpoint específico, que baixa um arquivo malicioso para o diretório /tmp do sistema alvo. O primeiro estágio do downloader, denominado x640, puxa scripts adicionais que estabelecem operações de mineração de criptomoedas. O segundo estágio prepara o ambiente do sistema e inicia um minerador de Monero, demonstrando práticas avançadas de segurança operacional para evitar detecções.

Pesquisadores de cibersegurança da LayerX identificaram uma vulnerabilidade crítica no navegador Atlas da OpenAI, que permite a injeção de instruções maliciosas no sistema de memória do ChatGPT por meio de ataques de Cross-Site Request Forgery (CSRF). Essa falha, divulgada de forma responsável à OpenAI em 27 de outubro de 2025, representa um risco significativo para usuários que dependem da IA para codificação e gerenciamento de sistemas. O ataque se aproveita de uma fraqueza na forma como o Atlas lida com sessões autenticadas, permitindo que atacantes utilizem credenciais de autenticação de vítimas para injetar instruções ocultas na memória do ChatGPT. Uma vez comprometida, essa memória contaminada pode executar código remoto e potencialmente conceder controle sobre contas de usuários e sistemas conectados. Além disso, o navegador Atlas demonstrou deficiências alarmantes em detectar e bloquear ataques de phishing, aumentando ainda mais a vulnerabilidade dos usuários. A pesquisa revelou que apenas 6 de 103 páginas maliciosas foram bloqueadas, resultando em uma taxa de falha de 94,2%. Essa situação é particularmente preocupante, pois a memória contaminada persiste em todos os dispositivos onde o usuário acessa sua conta, dificultando a detecção e remediação do ataque.

A Microsoft implementou uma mudança significativa em suas versões do Windows 10 e 11, desabilitando a função de pré-visualização de arquivos baixados da internet. Essa decisão visa proteger os usuários de um vetor de ataque que permite o roubo de credenciais sem a necessidade de abrir um arquivo malicioso. A vulnerabilidade estava relacionada ao ‘Mark of the Web’ (MotW), que identifica arquivos baixados da internet. Ao tentar gerar uma prévia, o Windows se conectava automaticamente a servidores maliciosos, enviando hashes NTLM do usuário, que podem ser usados para autenticação em outros serviços da rede. Embora a pré-visualização possa ser reativada, a Microsoft alerta que essa ação deve ser feita com cautela, pois transfere a responsabilidade de segurança para o usuário. Essa mudança é especialmente relevante para ambientes corporativos, onde a segurança das credenciais é crucial. A nova configuração reflete uma prioridade pela segurança em detrimento da conveniência, destacando a necessidade de conscientização sobre os riscos associados a arquivos baixados.

O Windows 11 recebeu uma nova atualização no canal Dev, introduzindo a funcionalidade Proactive Memory Diagnostics, que visa aumentar a confiabilidade do sistema. Essa ferramenta notifica o usuário para realizar um diagnóstico de memória após uma falha crítica, como um bugcheck, que pode resultar em uma tela preta. O diagnóstico é realizado no próximo reinício do PC e, caso sejam encontrados problemas, o sistema tentará corrigi-los. Além disso, a atualização trouxe uma nova funcionalidade de ‘copiar e pesquisar’, que facilita a busca de textos copiados.

Pesquisadores da Kaspersky revelaram uma campanha de ciberespionagem sofisticada, chamada Operação ForumTroll, que utilizou uma vulnerabilidade zero-day do Chrome, identificada como CVE-2025-2783. Essa vulnerabilidade permitiu que atacantes contornassem as proteções de segurança do navegador ao explorar uma falha no sistema operacional Windows. A campanha visou instituições russas, incluindo meios de comunicação, universidades e organizações governamentais, através de e-mails de phishing disfarçados de convites para um fórum científico. O ataque foi acionado simplesmente ao clicar em um link malicioso, sem necessidade de interação adicional do usuário. A Kaspersky notificou o Google, que lançou patches para corrigir a falha. Além disso, a investigação revelou conexões com o spyware comercial Dante, desenvolvido pela Memento Labs, que possui capacidades avançadas de espionagem, como keylogging e execução remota de comandos. Essa situação destaca a importância de monitorar e corrigir vulnerabilidades em softwares amplamente utilizados, especialmente em um cenário de crescente ciberespionagem.

Pesquisadores de cibersegurança da NeuralTrust descobriram uma vulnerabilidade crítica no navegador Atlas da OpenAI, que permite a atacantes disfarçar instruções maliciosas como URLs legítimas, burlando os controles de segurança do sistema. A falha explora a omnibox, a barra de endereço e pesquisa combinada, manipulando a forma como o Atlas distingue entre solicitações de navegação e comandos em linguagem natural.

Os atacantes criam strings que parecem URLs válidas, mas que contêm erros sutis de formatação. Quando um usuário insere essas strings na omnibox, o Atlas não valida corretamente a URL e trata o conteúdo como um comando confiável, permitindo que instruções maliciosas sejam executadas com privilégios elevados.

Um pesquisador de cibersegurança apresentou a ferramenta EDR-Redir, que explora drivers de filtro de vinculação e de nuvem do Windows para comprometer sistemas de Detecção e Resposta de Endpoint (EDR). A técnica redireciona pastas executáveis do EDR para locais controlados por atacantes, permitindo injeção de código ou interrupção total do serviço sem a necessidade de privilégios de nível de kernel. O ataque utiliza o recurso de vinculação do Windows, introduzido no Windows 11 versão 24H2, que permite redirecionamento de namespace de sistema de arquivos através de caminhos virtuais. Diferente dos links simbólicos tradicionais, que os EDRs monitoram ativamente, os links de vinculação operam em nível de driver de minifiltro, permitindo redirecionamento transparente que parece legítimo para softwares de segurança. A ferramenta foi testada com sucesso contra Elastic Defend e Sophos Intercept X, redirecionando suas pastas executáveis. Quando a redireção falhou contra o Windows Defender, o pesquisador utilizou a API de Filtro de Nuvem do Windows para corromper a pasta alvo, bloqueando o acesso do Defender. A EDR-Redir está disponível no GitHub, levantando preocupações sobre sua exploração generalizada. A detecção desse tipo de ataque é extremamente desafiadora, pois opera em nível de driver, gerando poucos eventos de segurança. Para mitigar essa ameaça, os EDRs precisam aprimorar os mecanismos de proteção de pastas e implementar monitoramento para atividades de drivers de filtro.

A HashiCorp revelou uma vulnerabilidade crítica no Vault e no Vault Enterprise, que permite a atacantes contornar a autenticação e realizar ataques de negação de serviço (DoS). Identificada como CVE-2025-12044, essa falha resulta de um erro na ordem de operações durante a correção de uma vulnerabilidade anterior, permitindo que a limitação de taxa ocorra após o processamento de payloads JSON. Isso significa que um atacante pode enviar repetidamente payloads JSON maliciosos, consumindo recursos do sistema sem necessidade de autenticação. O impacto pode ser severo, levando à degradação do desempenho ou até mesmo à queda total do serviço, tornando segredos inacessíveis para aplicações legítimas. A vulnerabilidade afeta versões do Vault Community Edition de 1.20.3 a 1.20.4 e do Vault Enterprise em várias versões, exigindo atualizações urgentes para versões corrigidas. A HashiCorp recomenda que as organizações avaliem sua exposição e realizem as atualizações necessárias para evitar incidentes de DoS. A descoberta foi feita por Toni Tauro da Adfinis AG, que coordenou a divulgação responsável da falha.

Pesquisadores de cibersegurança identificaram uma nova vulnerabilidade no navegador ChatGPT Atlas da OpenAI, que pode permitir que agentes maliciosos injetem instruções prejudiciais na memória do assistente de inteligência artificial. Essa falha, baseada em um erro de falsificação de solicitação entre sites (CSRF), possibilita que as instruções maliciosas persistam entre dispositivos e sessões, comprometendo a segurança do usuário. A memória, introduzida pela OpenAI em fevereiro de 2024, visa personalizar as interações, mas, se corrompida, pode ser utilizada para executar códigos arbitrários sem o conhecimento do usuário. A vulnerabilidade é agravada pela falta de controles robustos contra phishing no ChatGPT Atlas, tornando os usuários até 90% mais expostos em comparação com navegadores tradicionais como Google Chrome e Microsoft Edge. O ataque pode ser desencadeado por meio de engenharia social, onde o usuário é induzido a clicar em um link malicioso. Uma vez que a memória do ChatGPT é comprometida, comandos normais podem ativar a execução de códigos maliciosos, resultando em escalonamento de privilégios ou exfiltração de dados. Essa situação representa um risco significativo, pois transforma uma funcionalidade útil em uma ferramenta de ataque.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta urgente sobre a exploração ativa de uma vulnerabilidade crítica no Windows Server Update Services (WSUS), identificada como CVE-2025-59287. Essa falha permite que atacantes não autenticados executem código remotamente com privilégios de sistema em servidores vulneráveis. A Microsoft lançou uma atualização de segurança emergencial em 23 de outubro de 2025, após descobrir que um patch anterior não resolveu completamente o problema. A vulnerabilidade afeta várias versões do Windows Server, incluindo 2012, 2016, 2019, 2022 e 2025, e é especialmente perigosa para organizações que utilizam o WSUS com as portas 8530 ou 8531 abertas. Os atacantes podem obter controle total sobre os sistemas afetados, possibilitando a instalação de ransomware, roubo de dados sensíveis e criação de backdoors. A CISA recomenda que as organizações identifiquem imediatamente os servidores vulneráveis e apliquem a atualização de segurança, além de considerar medidas temporárias, como desabilitar o WSUS ou bloquear o tráfego nas portas mencionadas. A situação é crítica, e a falta de ação pode resultar em sérias consequências para a segurança das informações das empresas.

Durante a competição de hacking Pwn2Own Irlanda 2025, realizada em Cork, de 21 a 23 de outubro, a equipe Z3 decidiu não demonstrar publicamente uma vulnerabilidade crítica de execução remota de código sem clique no WhatsApp. Em vez disso, optaram por relatar a falha de forma privada à Meta, a empresa-mãe do WhatsApp, através de um processo de divulgação coordenada. Essa decisão surpreendeu os participantes, pois a exploração poderia ter rendido à equipe um prêmio recorde de US$ 1 milhão. A Zero Day Initiative (ZDI), organizadora do evento, elogiou a escolha da equipe, que priorizou a segurança dos usuários em vez de um espetáculo público. A vulnerabilidade é considerada de alto risco, pois permite que atacantes comprometam dispositivos sem qualquer interação do usuário, tornando-se uma ameaça significativa, especialmente para os três bilhões de usuários do WhatsApp. A Meta se comprometeu a reforçar a segurança do aplicativo e a ZDI concedeu um prazo de até 90 dias para que a empresa desenvolva e implemente correções antes de qualquer divulgação pública. Embora os detalhes técnicos da vulnerabilidade não tenham sido divulgados, especialistas esperam que a Meta atue rapidamente para mitigar o risco de exploração real.

O navegador OpenAI Atlas, recém-lançado, foi identificado como vulnerável a um ataque de injeção de prompt, onde um prompt malicioso pode ser disfarçado como um URL aparentemente inofensivo. Segundo um relatório da NeuralTrust, o omnibox do navegador, que combina a barra de endereço e de busca, interpreta entradas como URLs ou comandos em linguagem natural. Isso permite que um atacante crie um link que, ao ser inserido, faz com que o navegador execute instruções prejudiciais. Por exemplo, um URL malformado pode redirecionar o usuário para um site controlado pelo atacante, potencialmente levando a páginas de phishing ou até comandos que excluem arquivos de aplicativos conectados, como o Google Drive. A falta de distinção rigorosa entre entradas de usuário confiáveis e conteúdo não confiável no Atlas é uma falha crítica. A situação é agravada por técnicas como o ‘AI Sidebar Spoofing’, onde extensões maliciosas podem enganar usuários a fornecer dados ou instalar malware. Embora a OpenAI tenha implementado medidas de segurança, a injeção de prompt continua a ser um problema de segurança não resolvido, exigindo atenção contínua da indústria de cibersegurança.

No dia 24 de outubro de 2025, a Microsoft divulgou atualizações de segurança fora do ciclo regular para corrigir uma vulnerabilidade crítica no Windows Server Update Service (WSUS), identificada como CVE-2025-59287, com uma pontuação CVSS de 9.8. Essa falha permite a execução remota de código e já está sendo explorada ativamente na natureza, com um exploit de prova de conceito (PoC) disponível publicamente. A vulnerabilidade resulta da desserialização insegura de dados não confiáveis, permitindo que um atacante não autenticado execute código remotamente. A Microsoft recomenda que os administradores de sistemas instalem a atualização imediatamente e realizem uma reinicialização do sistema. Como medidas temporárias, é aconselhável desativar o papel do servidor WSUS e bloquear o tráfego nas portas 8530 e 8531. A situação é crítica, pois o Centro Nacional de Segurança Cibernética da Holanda relatou que a exploração da vulnerabilidade foi observada no mesmo dia do anúncio. A CISA dos EUA também incluiu essa falha em seu catálogo de vulnerabilidades exploradas, exigindo que agências federais a remediem até 14 de novembro de 2025.

A Microsoft lançou um patch de segurança crítico para corrigir uma vulnerabilidade grave de execução remota de código (RCE) no Windows Server Update Services (WSUS), identificada como CVE-2025-59287. Essa falha representa uma ameaça imediata para organizações que gerenciam atualizações do Windows em sua infraestrutura, com uma pontuação máxima de 9.8 no CVSS, o que a classifica como crítica. A vulnerabilidade se origina na forma como o WSUS lida com a desserialização de dados não confiáveis, permitindo que atacantes executem código arbitrário sem necessidade de autenticação ou interação do usuário. Um invasor com acesso à rede de um servidor WSUS pode executar comandos com os mesmos privilégios da conta de serviço do WSUS, comprometendo completamente a infraestrutura de atualização e potencialmente afetando milhares de sistemas conectados. Dada a facilidade de exploração e o alto impacto, a Microsoft recomenda que as organizações apliquem o patch imediatamente e revisem a topologia de implantação do WSUS para limitar o alcance de possíveis ataques. A situação exige atenção urgente de administradores de sistemas e equipes de segurança de TI em todo o mundo.

Uma vulnerabilidade crítica na forma como o Microsoft Teams armazena dados de autenticação expôs organizações a um novo tipo de ataque. Pesquisadores de segurança descobriram que atacantes podem roubar tokens de acesso das instalações do Teams, permitindo-lhes ler conversas privadas, e-mails e documentos confidenciais sem precisar das senhas dos usuários. O ataque é particularmente preocupante, pois uma vez que um invasor ganha acesso inicial ao computador de um funcionário, ele pode extrair tokens de autenticação já armazenados no disco. Esses tokens funcionam como passes permanentes para os serviços da Microsoft, permitindo que os atacantes se façam passar por usuários legítimos e acessem todo o espaço de trabalho digital. O método de ataque se aproveita da forma como o Teams criptografa seus dados de autenticação, onde a chave de criptografia é armazenada em texto simples. Uma vez que os atacantes obtêm um token de acesso roubado, eles podem interagir diretamente com a API do Microsoft Graph, acessando conversas do Teams, lendo e enviando e-mails e navegando em documentos compartilhados. Para mitigar esses riscos, as empresas devem implementar soluções de detecção e resposta em endpoints e educar os funcionários sobre segurança de dispositivos.

Pesquisadores de cibersegurança, Ben R. e Georgi G., da Interrupt Labs, revelaram uma vulnerabilidade crítica no Samsung Galaxy S25 durante o evento Pwn2Own Ireland 2025. A falha, uma vulnerabilidade 0-Day, permite que atacantes ativem remotamente a câmera do dispositivo e rastreiem a localização do usuário sem seu consentimento. O problema foi identificado como uma falha de validação de entrada no software do Galaxy S25, que possibilitou a execução de código arbitrário. Essa vulnerabilidade destaca as lacunas de segurança que ainda existem em smartphones Android de ponta, mesmo após rigorosos testes de qualidade. Os pesquisadores foram recompensados com US$ 50.000 e 5 pontos no Master of Pwn por sua descoberta. A Samsung foi notificada sobre a vulnerabilidade e, embora ainda não tenha emitido um comunicado oficial, é esperado que um patch de segurança seja lançado em breve. Enquanto isso, os usuários devem habilitar atualizações automáticas e evitar aplicativos não confiáveis, uma vez que essa falha pode ser explorada para comprometer dados pessoais e privacidade.

A Microsoft implementou uma atualização de segurança no Windows File Explorer a partir de 14 de outubro de 2025, que desativa automaticamente o painel de pré-visualização para arquivos baixados. Essa medida visa mitigar uma vulnerabilidade que poderia expor hashes NTLM, credenciais sensíveis usadas na autenticação em redes. O vetor de ataque envolve a pré-visualização de arquivos maliciosos que incorporam elementos HTML, permitindo que solicitações de rede não autorizadas sejam disparadas em segundo plano. Com a nova atualização, arquivos de fontes não confiáveis são marcados com o atributo ‘Mark of the Web’, impedindo a pré-visualização e exibindo um aviso ao usuário. Embora a maioria dos usuários não sinta um impacto significativo, a proteção é ativada automaticamente, priorizando a segurança sem comprometer a usabilidade. Para arquivos confiáveis, os usuários podem facilmente reverter a proteção. Essa mudança é especialmente benéfica para ambientes corporativos, onde a segurança é crucial, reduzindo a superfície de ataque e promovendo hábitos de segurança mais seguros. A atualização é um passo importante na luta contra o roubo de credenciais, mantendo os sistemas Windows mais resilientes frente a ameaças cibernéticas.

A Atlassian revelou uma vulnerabilidade crítica de travessia de caminho no Jira Software Data Center e Server, identificada como CVE-2025-22167. Essa falha permite que atacantes autenticados modifiquem arquivos acessíveis ao processo da Máquina Virtual Java (JVM) do Jira, apresentando um risco significativo para organizações que utilizam essa plataforma para gerenciamento de projetos e rastreamento de problemas. Com uma pontuação CVSS de 8.7, a vulnerabilidade pode comprometer a integridade do sistema, permitindo que arquivos críticos, como arquivos de configuração e dados de aplicação, sejam alterados. A falha é especialmente preocupante em ambientes multi-inquilinos, onde várias organizações compartilham a mesma instância do Jira. A Atlassian já lançou patches para corrigir a vulnerabilidade, e as organizações afetadas devem priorizar a atualização imediata para as versões mais recentes. As versões vulneráveis incluem a 9.12.0 e outras variantes, com recomendações específicas de atualização para cada ramo de versão. A transparência da Atlassian em divulgar essa falha oferece às organizações tempo suficiente para aplicar as correções antes que a exploração ocorra.

Uma vulnerabilidade crítica, identificada como CVE-2025-54236 e chamada de SessionReaper, está sendo explorada ativamente por hackers em plataformas de comércio eletrônico como Adobe Commerce e Magento. Essa falha permite a execução remota de código e a tomada de controle de contas de clientes em milhares de lojas online. Detectada pela primeira vez em 22 de outubro de 2025, a vulnerabilidade combina uma sessão maliciosa com um bug de desserialização na API REST do Magento, permitindo que atacantes façam upload de backdoors PHP disfarçados. Apesar de um patch de emergência ter sido lançado pela Adobe em 9 de setembro, a adoção do mesmo foi lenta, com menos de 40% das lojas afetadas aplicando a correção até a data da descoberta. A situação é agravada pelo fato de que a Adobe inicialmente minimizou a gravidade da vulnerabilidade em seu aviso oficial. Com 62% das lojas ainda sem correção, a ameaça continua a evoluir, exigindo ações imediatas por parte dos administradores de sistemas para evitar compromissos.

Pesquisadores de segurança da Brave descobriram uma vulnerabilidade crítica no navegador Comet da Perplexity, que permite a injeção de comandos maliciosos por meio de texto oculto em capturas de tela. Essa falha explora a esteganografia para esconder instruções perigosas em conteúdos da web. Ao tirar uma captura de tela de uma página comprometida, o navegador utiliza tecnologia de reconhecimento óptico de caracteres (OCR) para extrair todo o texto, incluindo os comandos maliciosos ocultos. O problema crítico é que essas instruções são enviadas diretamente para o sistema de IA sem qualquer filtragem, permitindo que atacantes manipulem o navegador para realizar ações não autorizadas. As consequências para os usuários são graves, especialmente para aqueles que mantêm sessões ativas em contas sensíveis, pois um ataque bem-sucedido pode resultar em acesso não autorizado a contas bancárias, roubo de e-mails e comprometimento de sistemas corporativos. Os pesquisadores da Brave relataram a vulnerabilidade à Perplexity em 1º de outubro de 2025, dando tempo para a empresa corrigir o problema antes da divulgação pública. Até que medidas de segurança adequadas sejam implementadas, os especialistas recomendam que os usuários evitem manter contas sensíveis logadas ao usar recursos de navegação do Comet.

Pesquisadores de segurança da GitGuardian identificaram uma vulnerabilidade crítica de travessia de caminho na plataforma Smithery.ai, que hospeda servidores do Modelo de Protocolo de Contexto (MCP). Essa falha expôs mais de 3.000 servidores de IA e comprometeu milhares de chaves de API. A vulnerabilidade foi causada por um erro de configuração no processo de construção do servidor da Smithery, permitindo que atacantes especificassem locais arbitrários do sistema de arquivos como contexto de construção do Docker. Ao explorar essa falha, os pesquisadores conseguiram acessar arquivos sensíveis, incluindo credenciais de autenticação do Docker, que estavam severamente sobreprivilegiadas. Isso possibilitou a execução de código arbitrário em servidores comprometidos e a captura de tráfego de rede, expondo chaves de API e tokens de autenticação de milhares de clientes. A vulnerabilidade representa um cenário clássico de ataque à cadeia de suprimentos, onde a exploração de uma única plataforma confiável pode resultar em violações que afetam diversas organizações. A Smithery respondeu rapidamente à divulgação da vulnerabilidade, implementando correções em menos de 48 horas, sem evidências de exploração antes do patch.

Pesquisas de segurança da Trail of Bits revelam que agentes de inteligência artificial modernos estão vulneráveis a ataques de injeção de argumentos, permitindo a execução remota de código (RCE). Essa vulnerabilidade explora uma falha arquitetônica fundamental na forma como esses agentes lidam com a execução de comandos do sistema. Ao utilizar utilitários de linha de comando como find, grep e git, os sistemas se tornam mais rápidos, mas também expõem uma superfície de ataque perigosa quando a entrada do usuário influencia os parâmetros dos comandos.

Uma vulnerabilidade crítica, conhecida como TARmageddon (CVE-2025-62518), foi descoberta na biblioteca async-tar do Rust e em seus forks, como o tokio-tar. Com uma classificação de severidade de 8.1 (alta), essa falha permite que atacantes executem código remotamente ao sobrescrever arquivos de configuração e sequestrar backends de construção através de arquivos TAR aninhados cuidadosamente elaborados. A equipe de segurança Edera identificou que a vulnerabilidade afeta projetos importantes nos ecossistemas Python e de desenvolvimento web, incluindo o gerenciador de pacotes uv da Astral e o testcontainers. O tokio-tar, que já acumulou mais de 5 milhões de downloads, representa um grande risco para seus usuários, especialmente porque parece estar descontinuado e não recebe mais manutenção. A falha se origina de um erro de desincronização na forma como o parser lida com arquivos TAR aninhados, permitindo que um atacante crie um arquivo TAR que contenha arquivos legítimos na camada externa e cargas maliciosas ocultas na interna. A Edera lançou patches que priorizam cabeçalhos PAX sobre cabeçalhos ustar e recomendou que os desenvolvedores atualizem para versões corrigidas. Para organizações que não podem aplicar patches imediatamente, alternativas incluem a migração para a crate tar padrão ou a implementação de mitigação em tempo de execução.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha de segurança crítica no Motex Lanscope Endpoint Manager em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A vulnerabilidade, identificada como CVE-2025-61932, possui uma pontuação CVSS v4 de 9.3 e afeta versões locais do Lanscope, especificamente o programa Cliente e o Agente de Detecção. Essa falha permite que atacantes executem código arbitrário em sistemas vulneráveis ao enviar pacotes especialmente elaborados. A CISA recomenda que as agências do Federal Civilian Executive Branch (FCEB) remedeiem essa vulnerabilidade até 12 de novembro de 2025, a fim de proteger suas redes. Embora ainda não se saiba como a vulnerabilidade está sendo explorada em ataques reais, o portal japonês Japan Vulnerability Notes (JVN) informou que um cliente da Motex recebeu um pacote malicioso suspeito de visar essa falha. As versões afetadas são as 9.4.7.1 e anteriores, enquanto as versões corrigidas incluem a 9.4.6.3.

Cibercriminosos têm explorado uma vulnerabilidade no ToolShell do Microsoft SharePoint, identificada como CVE-2025-53770, para invadir instituições governamentais em diversos continentes. Apesar de um patch ter sido lançado em julho de 2025 para corrigir a falha, ataques foram registrados em agências de telecomunicações no Oriente Médio, departamentos governamentais na África, agências estatais na América do Sul e uma universidade nos Estados Unidos. A vulnerabilidade permitia burlar a autenticação e executar códigos remotamente, sendo utilizada em conjunto com outras falhas, como CVE-2025-49704 e CVE-2025-49706, por grupos hackers chineses. Esses grupos, como Linen Typhoon e Violet Typhoon, têm utilizado malwares zero-day para realizar suas invasões. Além disso, técnicas de evasão de DLL foram empregadas para entregar malwares em servidores SQL e Apache HTTP. Os ataques visam roubar credenciais e garantir acesso persistente aos sistemas das vítimas, sugerindo um interesse em espionagem. A situação destaca a necessidade de vigilância contínua e atualização de sistemas para mitigar riscos de segurança.

Uma investigação realizada pelo Varonis Threat Labs revelou uma vulnerabilidade crítica que permitiu a hackers criar aplicativos maliciosos no Azure utilizando nomes reservados da Microsoft. Ao contornar as salvaguardas, os atacantes conseguiram registrar nomes enganosos, como ‘Azure Portal’, induzindo os usuários a conceder permissões perigosas. Essa falha possibilitou que cibercriminosos obtivessem acesso inicial, mantivessem persistência e escalassem privilégios em ambientes Microsoft 365, expondo organizações a riscos de perda de dados e danos à reputação.

A Oracle revelou duas vulnerabilidades críticas em seu produto Marketing do E-Business Suite, identificadas como CVE-2025-53072 e CVE-2025-62481. Ambas as falhas afetam o componente de Administração de Marketing e possuem uma pontuação CVSS de 9.8, indicando um alto nível de severidade. Essas vulnerabilidades permitem que atacantes remotos não autenticados obtenham controle total sobre o módulo de Marketing da Oracle, comprometendo a confidencialidade, integridade e disponibilidade dos dados. A exploração dessas falhas não requer privilégios especiais ou interação do usuário, tornando-as particularmente perigosas. As versões afetadas vão de 12.2.3 a 12.2.14, e a Oracle recomenda a aplicação imediata de patches de segurança disponíveis. Além disso, especialistas sugerem a segmentação de rede e a implementação de firewalls de aplicação web para mitigar riscos. O aumento de ataques à cadeia de suprimentos, como os recentes incidentes com Cisco e Microsoft, destaca a urgência em proteger sistemas que gerenciam dados sensíveis de clientes, especialmente em setores como varejo e finanças, onde a conformidade com regulamentos como LGPD é crucial.

Recentemente, grupos de ameaças ligados à China exploraram a vulnerabilidade ToolShell no Microsoft SharePoint para invadir uma empresa de telecomunicações no Oriente Médio, após a falha ter sido divulgada e corrigida em julho de 2025. Além da telecomunicação, alvos incluíram departamentos governamentais em um país africano, agências governamentais na América do Sul, uma universidade nos EUA e uma empresa de finanças na Europa. A vulnerabilidade CVE-2025-53770 permitiu a execução remota de código e foi utilizada por diversos grupos, como Linen Typhoon e Violet Typhoon, além do Salt Typhoon, que implementaram ferramentas como Zingdoor e ShadowPad. Os ataques também envolveram a exploração de servidores SQL e Apache, utilizando técnicas de side-loading de DLLs. A análise da Symantec indica que os atacantes estavam interessados em roubar credenciais e estabelecer acesso persistente às redes das vítimas, sugerindo um objetivo de espionagem. A situação destaca a necessidade de vigilância contínua e atualização de sistemas para mitigar riscos semelhantes.

O Google lançou uma atualização de segurança urgente para o navegador Chrome, visando uma vulnerabilidade de alta severidade no motor JavaScript V8, que poderia permitir que atacantes executassem código remotamente em sistemas afetados. A falha, identificada como CVE-2025-12036, foi corrigida nas versões 141.0.7390.122/.123 para Windows e Mac, e na versão 141.0.7390.122 para Linux. Descoberta pelo projeto Big Sleep do Google em 15 de outubro de 2025, a vulnerabilidade foi classificada como uma ‘implementação inadequada’ no motor V8, que é responsável pela execução de código JavaScript em navegadores. A rápida resposta do Google resultou na liberação do patch apenas seis dias após a descoberta, e os usuários são fortemente aconselhados a verificar suas versões do Chrome e garantir que a atualização mais recente esteja instalada. O Google utiliza ferramentas sofisticadas para detectar vulnerabilidades, e a informação detalhada sobre a falha permanece restrita até que a maioria dos usuários tenha atualizado seus navegadores, evitando que atores maliciosos explorem a vulnerabilidade antes que os usuários possam se proteger.

Uma vulnerabilidade crítica de execução remota de código foi identificada na edição on-premise do LANSCOPE Endpoint Manager, permitindo que atacantes não autenticados executem comandos arbitrários com altos privilégios nos sistemas afetados. A falha, rastreada como CVE-2025-61932, afeta tanto o Programa Cliente (MR) quanto o Agente de Detecção (DA) nas versões 9.4.7.1 e anteriores. Pesquisadores de segurança descobriram que pacotes de rede especialmente elaborados podem acionar um erro severo no cliente MR e no agente DA, contornando todos os requisitos de interação do usuário, como cliques ou abertura de e-mails. Tentativas de exploração no mundo real já foram observadas, tornando a aplicação de patches urgente. A edição on-premise é a única afetada, enquanto a edição em nuvem permanece segura. Um patch já está disponível no portal de suporte oficial da LANSCOPE, e é crucial que todas as máquinas que executam a edição on-premise sejam atualizadas imediatamente para mitigar o risco de exploração.

O Apache Syncope revelou uma vulnerabilidade crítica, identificada como CVE-2025-57738, que permite que administradores autenticados executem código arbitrário em sistemas afetados. Essa falha afeta todas as versões do Apache Syncope 3.x anteriores à 3.0.14 e 4.x anteriores à 4.0.2, expondo as organizações a riscos significativos de comprometimento do sistema por meio da injeção de código Groovy malicioso.

A vulnerabilidade reside na implementação personalizada do Syncope, que permite que administradores estendam a funcionalidade central ao enviar código Java ou Groovy. Enquanto as extensões Java requerem arquivos JAR pré-compilados, os scripts Groovy podem ser enviados como código-fonte simples e compilados em tempo de execução, sem restrições de segurança. Isso significa que qualquer administrador com permissão para criar ou atualizar implementações Groovy pode injetar scripts que o servidor executa com privilégios totais.

Uma nova vulnerabilidade no Microsoft 365 Copilot foi descoberta, permitindo que atacantes enganem o assistente de IA para acessar e vazar dados sensíveis de e-mails corporativos. Pesquisadores identificaram que, ao ocultar instruções secretas dentro de um documento do Office, os atacantes podem forçar o Copilot a buscar e codificar e-mails recentes, empacotando-os em um diagrama malicioso gerado pelo Mermaid. Quando um usuário clica no diagrama, os e-mails codificados são enviados para um servidor controlado pelo atacante.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre uma grave vulnerabilidade no Microsoft Windows Server Message Block (SMB), identificada como CVE-2025-33073. Essa falha de controle de acesso inadequado permite que atacantes escalem privilégios em sistemas comprometidos, possibilitando o controle total sobre eles. A vulnerabilidade está sendo ativamente explorada em ataques reais, o que representa uma ameaça significativa para redes federais e infraestrutura crítica. A CISA incluiu essa vulnerabilidade em seu catálogo de Vulnerabilidades Conhecidas e Exploited, exigindo que agências federais a corrijam até 10 de novembro de 2025. Organizações que utilizam sistemas Windows são aconselhadas a revisar as orientações de atualização de segurança da Microsoft e aplicar patches imediatamente. Embora não haja confirmação de que essa vulnerabilidade esteja ligada a ataques de ransomware, falhas de escalonamento de privilégios são frequentemente utilizadas por grupos de ransomware. A rápida ação das organizações é crucial para proteger seus sistemas contra esses ataques, destacando a importância de práticas eficazes de gerenciamento de vulnerabilidades.

Pesquisadores da Universidade da Califórnia revelaram uma vulnerabilidade intrigante que transforma mouses ópticos em dispositivos de escuta. Denominada ‘Mic-E-Mouse’, essa prova de conceito demonstra que mouses podem captar vibrações sonoras mínimas da superfície onde estão posicionados. Utilizando softwares variados, incluindo programas sem privilégios e extensões de navegador, é possível converter essas vibrações em áudio compreensível. O processo é realizado através de técnicas avançadas de filtragem estatística e redes neurais, permitindo que palavras faladas sejam extraídas com clareza.

Uma vulnerabilidade crítica nos dispositivos de segurança de rede Firebox da WatchGuard pode permitir que um atacante remoto e não autenticado execute código arbitrário, comprometendo redes corporativas. A falha, identificada como CVE-2025-9242, está relacionada ao gerenciamento de conexões VPN IKEv2 e recebeu uma pontuação de severidade crítica de 9.3 em 10. Essa vulnerabilidade é um problema de escrita fora dos limites dentro do processo iked do sistema operacional Fireware, que gerencia trocas de chaves IKEv2 para VPNs. Os atacantes podem explorar essa falha enviando um pacote especialmente elaborado a um dispositivo afetado, provocando um estouro de buffer baseado em pilha. A WatchGuard recomenda que os clientes atualizem seus sistemas imediatamente, com versões corrigidas já disponíveis. A vulnerabilidade afeta uma ampla gama de modelos Firebox, incluindo dispositivos de pequeno escritório e unidades empresariais maiores, com um potencial de ataque significativo, dado que a empresa protege mais de 250.000 negócios e 10 milhões de endpoints. Administradores são aconselhados a priorizar a aplicação de patches para evitar possíveis explorações, especialmente por grupos de ransomware.