Vulnerabilidades

Anthropic descobre 22 vulnerabilidades no Firefox com IA

A empresa de inteligência artificial Anthropic anunciou a descoberta de 22 novas vulnerabilidades de segurança no navegador Firefox, em parceria com a Mozilla. Dentre essas falhas, 14 foram classificadas como de alta severidade, sete como moderadas e uma como baixa. As vulnerabilidades foram identificadas em um período de duas semanas em janeiro de 2026 e foram corrigidas na versão 148 do Firefox, lançada no mês anterior. O modelo de linguagem Claude Opus 4.6 da Anthropic foi responsável por detectar a maioria dessas falhas, incluindo um bug crítico de uso após liberação (use-after-free) no JavaScript, identificado em apenas 20 minutos de exploração. Embora o modelo tenha conseguido desenvolver um exploit para apenas duas das vulnerabilidades testadas, isso levanta preocupações sobre a capacidade de exploração automática de falhas de segurança. A Mozilla também confirmou que a abordagem assistida por IA resultou na identificação de 90 outros bugs, a maioria já corrigidos, demonstrando a eficácia da combinação de engenharia rigorosa com ferramentas de análise de nova geração. A empresa enfatizou que, embora os patches gerados pela IA não possam ser garantidos como prontos para implementação imediata, os verificadores de tarefa aumentam a confiança na eficácia das correções propostas.

OpenAI lança Codex Security para detectar vulnerabilidades

A OpenAI anunciou o lançamento do Codex Security, um agente de segurança baseado em inteligência artificial, que visa identificar, validar e sugerir correções para vulnerabilidades em sistemas. Disponível em pré-visualização para clientes do ChatGPT Pro, Enterprise, Business e Edu, o Codex Security promete melhorar a detecção de falhas complexas que outras ferramentas podem não captar, oferecendo resultados mais confiáveis e relevantes. Nos últimos 30 dias, a ferramenta analisou mais de 1,2 milhão de commits em repositórios externos, identificando 792 descobertas críticas e 10.561 de alta severidade, incluindo vulnerabilidades em projetos de código aberto como OpenSSH e GnuTLS. O Codex Security utiliza um modelo de raciocínio avançado para minimizar falsos positivos e validar as descobertas em um ambiente controlado, permitindo que as equipes de segurança tenham evidências mais concretas para remediação. Esta nova funcionalidade surge em um momento em que a segurança de software é cada vez mais crucial, especialmente com o aumento das ameaças cibernéticas.

Navegadores com IA apresentam falha que pode roubar senhas

Pesquisadores da Zenity Labs identificaram falhas de segurança em navegadores que utilizam inteligência artificial, permitindo que hackers acessem informações sensíveis de forma discreta. Um exemplo é o navegador Comet, da Perplexity, que apresentava uma vulnerabilidade que permitia a injeção de comandos maliciosos através de convites enviados por aplicativos de calendário, como o Google Calendar. Ao aceitar um convite, o navegador executava ações sem o conhecimento do usuário, como acessar e exfiltrar dados do sistema. Além disso, outra falha permitia que atacantes acessassem o gerenciador de senhas do navegador, possibilitando a alteração de senhas e configurações sem que a vítima percebesse. Essas vulnerabilidades foram corrigidas em fevereiro de 2026, mas ressaltam a preocupação com a segurança em navegadores que incorporam IA, uma vez que a distinção entre comandos legítimos e maliciosos se torna cada vez mais difícil. A OpenAI já alertou que tais vulnerabilidades podem ser desafiadoras de mitigar completamente, dada a natureza permissiva dos assistentes pessoais. A situação destaca a necessidade de vigilância contínua e medidas de segurança robustas para proteger dados sensíveis.

CISA adiciona falhas críticas de segurança em produtos Hikvision e Rockwell

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu duas vulnerabilidades críticas no catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), afetando produtos da Hikvision e da Rockwell Automation. A primeira, CVE-2017-7921, com uma pontuação CVSS de 9.8, refere-se a uma falha de autenticação inadequada em diversos produtos da Hikvision, permitindo que um usuário malicioso eleve privilégios e acesse informações sensíveis. A segunda, CVE-2021-22681, também com pontuação 9.8, diz respeito a credenciais insuficientemente protegidas em produtos da Rockwell, permitindo que um usuário não autorizado contorne mecanismos de verificação e altere configurações. A CISA recomenda que agências federais atualizem seus softwares até 26 de março de 2026, enfatizando que essas vulnerabilidades são vetores frequentes de ataque e representam riscos significativos. Embora a CVE-2017-7921 tenha sido associada a tentativas de exploração, não há relatos públicos sobre ataques relacionados à CVE-2021-22681. A CISA alerta que todas as organizações devem priorizar a remediação dessas vulnerabilidades como parte de suas práticas de gerenciamento de vulnerabilidades.

Apenas 1 das falhas de segurança é explorado, mas danos são severos

Um estudo da VulnCheck revelou que, embora milhares de falhas de segurança sejam registradas anualmente, apenas 1% delas é explorado por hackers, resultando em danos significativos. Em 2025, foram identificadas 48 mil vulnerabilidades, mas apenas algumas foram alvo de ciberataques, com destaque para o React2Shell, que permitiu a violação de sistemas de segurança em plataformas online. Além disso, vulnerabilidades no Microsoft SharePoint e no SAP NetWeaver também foram frequentemente exploradas. A pesquisa indicou que 56,4% das falhas estão relacionadas a ataques de ransomware, um dado alarmante para a segurança digital. O uso crescente de inteligência artificial (IA) para gerar códigos maliciosos tem contribuído para um aumento de 16,5% nos exploits em comparação ao ano anterior, tornando os ataques mais rápidos e eficazes. A situação exige atenção redobrada das empresas, especialmente em um cenário onde a maioria das falhas ainda é considerada de dia zero, aumentando o risco antes que correções sejam implementadas.

Cisco alerta sobre falhas de segurança no Catalyst SD-WAN Manager

A Cisco identificou duas falhas de segurança no Catalyst SD-WAN Manager, software de gerenciamento de rede, que estão sendo ativamente exploradas. As vulnerabilidades, identificadas como CVE-2026-20128 e CVE-2026-20122, exigem que os administradores atualizem seus dispositivos vulneráveis. A CVE-2026-20122 é uma falha de alta severidade que permite a sobrescrita arbitrária de arquivos, acessível apenas a atacantes remotos com credenciais de leitura e acesso à API. Já a CVE-2026-20128 é uma falha de severidade média que requer credenciais válidas no sistema alvo. Além disso, a Cisco também destacou uma vulnerabilidade crítica (CVE-2026-20127) que permite a bypass de autenticação, permitindo que atacantes sofisticados comprometam controladores e adicionem dispositivos maliciosos às redes desde 2023. A CISA emitiu uma diretiva de emergência, exigindo que agências federais realizem inventários e apliquem atualizações. Recentemente, a Cisco lançou atualizações de segurança para corrigir falhas em seu software Secure Firewall Management Center, que também podem ser exploradas remotamente. É crucial que as organizações que utilizam esses sistemas realizem as atualizações necessárias para evitar compromissos de segurança.

Aumento de Exploração de Vulnerabilidades Zero-Day em 2025

O Google Threat Intelligence Group (GTIG) identificou 90 vulnerabilidades zero-day ativamente exploradas em 2025, um aumento de 15% em relação a 2024, mas abaixo do recorde de 100 em 2023. Quase metade dessas falhas afetou software e dispositivos empresariais. As vulnerabilidades zero-day são falhas de segurança em produtos de software que são exploradas por atacantes antes que o fornecedor tome conhecimento e desenvolva um patch. Em 2025, 47 zero-days visaram plataformas de usuários finais e 43, produtos empresariais. Os tipos de falhas exploradas incluem execução remota de código, escalonamento de privilégios e corrupção de memória, com problemas de segurança de memória representando 35% das vulnerabilidades exploradas. O relatório destaca que a Microsoft foi o fornecedor mais visado, com 25 zero-days explorados. Além disso, pela primeira vez, fornecedores de spyware comerciais superaram grupos de espionagem patrocinados pelo estado em termos de uso de falhas não documentadas. O uso de ferramentas de IA para automatizar a descoberta de vulnerabilidades pode manter a exploração de zero-days alta em 2026. O GTIG recomenda a redução da superfície de ataque e a monitorização contínua para detectar e conter essas explorações.

Cisco revela vulnerabilidades ativas no Catalyst SD-WAN Manager

A Cisco divulgou que duas vulnerabilidades críticas no Catalyst SD-WAN Manager estão sendo ativamente exploradas. As falhas, identificadas como CVE-2026-20122 e CVE-2026-20128, têm pontuações CVSS de 7.1 e 5.5, respectivamente. A primeira permite que um atacante remoto autenticado sobrescreva arquivos arbitrários no sistema, enquanto a segunda possibilita que um atacante local obtenha privilégios de usuário do Data Collection Agent (DCA). Para mitigar os riscos, a Cisco lançou patches para diversas versões do software, recomendando que os usuários atualizem imediatamente para versões corrigidas e adotem medidas de segurança adicionais, como restringir o acesso a redes não seguras e monitorar o tráfego de logs. A empresa também alertou sobre uma falha crítica anterior (CVE-2026-20127) que foi explorada por um ator de ameaças sofisticado, destacando a necessidade urgente de atenção à segurança em ambientes corporativos. As vulnerabilidades afetam um produto amplamente utilizado, o que aumenta a relevância para empresas que dependem da tecnologia da Cisco.

Cisco lança atualizações de segurança para vulnerabilidades críticas

A Cisco divulgou atualizações de segurança para corrigir duas vulnerabilidades de gravidade máxima em seu software Secure Firewall Management Center (FMC). Essas falhas, identificadas como CVE-2026-20079 e CVE-2026-20131, podem ser exploradas remotamente por atacantes não autenticados. A primeira vulnerabilidade permite o bypass de autenticação, possibilitando que atacantes obtenham acesso root ao sistema operacional subjacente. A segunda, uma vulnerabilidade de execução remota de código (RCE), permite a execução de código Java arbitrário como root em dispositivos não corrigidos. Ambas as falhas afetam o Cisco Secure FMC, mas a CVE-2026-20131 também impacta o Cisco Security Cloud Control (SCC). Até o momento, não há evidências de que essas vulnerabilidades tenham sido exploradas em ataques. A Cisco também corrigiu outras falhas de segurança, incluindo 15 de alta gravidade em diversos produtos. A empresa já havia alertado sobre outra vulnerabilidade crítica em agosto, que permitia a injeção de comandos shell por atacantes não autenticados. Dada a gravidade das falhas, é crucial que as organizações atualizem seus sistemas o mais rápido possível.

Google Chrome muda para ciclo de lançamentos de duas semanas

O Google Chrome anunciou uma mudança significativa em seu ciclo de lançamentos, passando de um intervalo de quatro semanas para um de duas semanas. A partir da versão 153, lançada em 8 de setembro, o navegador começará a receber duas novas versões estáveis por mês, uma alteração que visa implementar novas funcionalidades, correções de bugs e melhorias de desempenho com maior frequência. Essa nova abordagem se aplica tanto às versões beta quanto às estáveis em plataformas Desktop, Android e iOS, enquanto os canais Dev e Canary continuarão com o cronograma atual. A Google acredita que lançamentos mais frequentes, mas com um escopo menor, reduzirão interrupções e simplificarão a depuração pós-lançamento, mantendo a estabilidade do navegador. Embora as atualizações de segurança ainda sejam parte dos lançamentos principais, o Chrome receberá correções de segurança semanalmente, uma medida que visa diminuir a janela de exploração para hackers. Essa mudança ocorre em um contexto onde o Chrome teve um início de ano relativamente calmo em termos de vulnerabilidades, com apenas uma zero-day reportada até agora. A nova cadência de lançamentos reflete um esforço mais amplo da Google para melhorar a segurança e a experiência do usuário no navegador mais popular do mundo.

Campanha de ciberataques com IA atinge dispositivos Fortinet

Um novo relatório revela que um ator de ameaças, supostamente ligado a grupos de língua russa, utilizou uma plataforma de teste de segurança assistida por inteligência artificial chamada CyberStrikeAI para atacar dispositivos Fortinet FortiGate. A análise da Team Cymru identificou o uso dessa ferramenta, que integra mais de 100 ferramentas de segurança, para realizar varreduras automatizadas em busca de vulnerabilidades. Entre janeiro e fevereiro de 2026, foram observados 21 endereços IP únicos executando o CyberStrikeAI, com servidores localizados principalmente na China, Cingapura e Hong Kong. A campanha comprometeu mais de 600 dispositivos em 55 países, utilizando serviços de IA generativa como Anthropic Claude e DeepSeek. O desenvolvedor da ferramenta, conhecido como Ed1s0nZ, tem laços com o governo chinês e interage com empresas que apoiam operações cibernéticas estatais. A crescente adoção de ferramentas de segurança ofensiva baseadas em IA, como o CyberStrikeAI, representa uma evolução preocupante na cibersegurança, exigindo atenção especial de profissionais da área.

Google corrige 129 vulnerabilidades de segurança no Android

O Google lançou atualizações de segurança para corrigir 129 vulnerabilidades no Android, incluindo uma falha zero-day criticamente explorada em um componente de display da Qualcomm, identificada como CVE-2026-21385. Essa vulnerabilidade, que pode estar sob exploração limitada e direcionada, é um estouro de inteiro que pode levar à corrupção de memória, afetando 235 chipsets da Qualcomm. Além disso, o Google corrigiu 10 vulnerabilidades críticas que poderiam permitir a execução remota de código, elevação de privilégios ou negação de serviço. As atualizações foram divididas em dois pacotes: 2026-03-01 e 2026-03-05, com o segundo incluindo todos os patches do primeiro e correções para subcomponentes de terceiros. Enquanto dispositivos Google Pixel recebem atualizações imediatamente, outros fabricantes podem demorar mais para implementá-las. A Qualcomm foi notificada sobre a vulnerabilidade em dezembro e alertou seus clientes em fevereiro. O artigo destaca a importância de que as empresas que utilizam dispositivos Android estejam cientes dessas vulnerabilidades e realizem as atualizações necessárias para mitigar riscos.

Plataforma de IA CyberStrikeAI usada em ataque a firewalls Fortinet

Pesquisadores alertam sobre o uso da nova plataforma de teste de segurança de IA de código aberto, CyberStrikeAI, por um ator de ameaça que comprometeu recentemente centenas de firewalls Fortinet FortiGate. Em uma operação que durou cinco semanas, mais de 500 dispositivos FortiGate foram afetados. A equipe de inteligência de ameaças da Team Cymru identificou que o mesmo endereço IP, 212.11.64[.]250, estava executando o CyberStrikeAI, que permite a automação de ataques cibernéticos, mesmo por operadores com habilidades limitadas. A plataforma combina mais de 100 ferramentas de segurança e um motor de orquestração inteligente, facilitando a descoberta de vulnerabilidades e a visualização de resultados. Os pesquisadores observaram 21 endereços IP únicos executando o CyberStrikeAI entre janeiro e fevereiro de 2026, com servidores principalmente na China, Singapura e Hong Kong. A crescente adoção de ferramentas de orquestração nativas de IA por adversários pode acelerar o direcionamento automatizado de dispositivos expostos, como firewalls e appliances de VPN. O desenvolvedor do CyberStrikeAI, conhecido como ‘Ed1s0nZ’, tem vínculos com operações cibernéticas supostamente ligadas ao governo chinês, o que levanta preocupações sobre a segurança global.

Vulnerabilidades e Ameaças em Cibersegurança Panorama Atual

Nesta semana, o cenário de cibersegurança apresenta uma série de incidentes e vulnerabilidades que refletem a evolução das ameaças digitais. Um dos principais destaques é a exploração ativa de uma falha crítica no Cisco Catalyst SD-WAN, identificada como CVE-2026-20127, que permite a atacantes não autenticados obterem privilégios administrativos. Além disso, a Anthropic acusou três empresas chinesas de realizar ataques em larga escala para extrair informações de seu modelo de IA, enquanto o Google desmantelou a infraestrutura de um grupo de espionagem cibernética ligado à China, conhecido como UNC2814, que visava organizações globais. Outro ponto crítico é a exposição de chaves de API do Google Cloud, que poderiam ser utilizadas para acessar dados sensíveis. Por fim, um novo grupo de ameaças, UAT-10027, tem como alvo os setores de educação e saúde nos EUA, utilizando um backdoor chamado Dohdoor. Esses eventos ressaltam a necessidade de vigilância constante e atualização de sistemas para mitigar riscos.

Trend Micro corrige vulnerabilidades críticas no Apex One

A empresa japonesa de cibersegurança Trend Micro anunciou a correção de duas vulnerabilidades críticas em sua plataforma de segurança de endpoints, Apex One, que permitem a execução remota de código (RCE) em sistemas Windows vulneráveis. A primeira falha, identificada como CVE-2025-71210, resulta de uma vulnerabilidade de travessia de caminho na console de gerenciamento do Apex One, permitindo que atacantes sem privilégios executem código malicioso em sistemas não corrigidos. A segunda vulnerabilidade, CVE-2025-71211, é semelhante, mas afeta um executável diferente. A Trend Micro recomenda que os clientes que expuserem o endereço IP da console de gerenciamento considerem restrições de origem para mitigar riscos. Embora a empresa não tenha identificado exploração ativa dessas falhas, outras vulnerabilidades do Apex One foram exploradas em ataques nos últimos anos. A Trend Micro lançou o Critical Patch Build 14136, que corrige essas falhas e outras relacionadas a escalonamento de privilégios. A U.S. Cybersecurity and Infrastructure Security Agency (CISA) monitora atualmente 10 vulnerabilidades do Apex que foram ou ainda estão sendo exploradas.

Vulnerabilidades críticas no assistente de codificação Claude Code da Anthropic

Pesquisadores de cibersegurança identificaram várias vulnerabilidades no Claude Code, um assistente de codificação baseado em inteligência artificial da Anthropic, que podem levar à execução remota de código e ao roubo de credenciais da API. As falhas exploram mecanismos de configuração, como Hooks e variáveis de ambiente, permitindo a execução de comandos de shell arbitrários e a exfiltração de chaves da API da Anthropic ao clonar repositórios não confiáveis. As vulnerabilidades se dividem em três categorias principais: uma falha de injeção de código sem CVE, que permite a execução de código arbitrário sem confirmação do usuário; uma vulnerabilidade CVE-2025-59536, que executa comandos de shell automaticamente ao iniciar o Claude Code em um diretório não confiável; e uma falha CVE-2026-21852, que permite a exfiltração de dados, incluindo chaves da API, de repositórios maliciosos. A exploração bem-sucedida dessas vulnerabilidades pode comprometer a infraestrutura de IA do desenvolvedor, permitindo acesso a arquivos de projetos compartilhados e gerando custos inesperados com a API. A Anthropic já lançou correções para essas falhas, mas a situação destaca a necessidade de cautela ao trabalhar com ferramentas de IA em ambientes de desenvolvimento.

OpenClaw Riscos de Segurança em Frameworks de Automação com IA

O OpenClaw, um framework de automação impulsionado por IA, surgiu como um projeto para facilitar tarefas como gerenciamento de e-mails e agendamento. No entanto, sua arquitetura modular, que permite a instalação de plugins, expõe o sistema a riscos significativos de segurança. Pesquisadores identificaram vulnerabilidades críticas, como a CVE-2026-25253, que permite execução remota de código com um único clique, e a distribuição de skills maliciosas na marketplace ClawHub, que podem roubar credenciais e instalar malware. Embora o OpenClaw tenha gerado um aumento nas discussões sobre segurança cibernética, a análise de dados sugere que, até o momento, não houve uma exploração em massa dessas vulnerabilidades. A conversa em fóruns e canais de Telegram é dominada por pesquisas de segurança e especulações, sem evidências claras de operações criminosas em larga escala. Contudo, a combinação de automação e permissões elevadas torna o OpenClaw um alvo atrativo para ataques de cadeia de suprimentos, exigindo atenção dos profissionais de segurança. A situação atual indica um potencial de risco alto, mas em um estágio inicial de exploração.

SolarWinds Serv-U apresenta falhas críticas de segurança atualize agora

A SolarWinds divulgou um alerta sobre quatro vulnerabilidades críticas em seu software Serv-U, uma solução popular de transferência de arquivos para empresas. As falhas, que receberam uma classificação de severidade de 9.1/10, permitem a execução de código arbitrário no sistema subjacente. As vulnerabilidades incluem uma falha de Controle de Acesso Quebrado (CVE-2025-40538) e duas falhas de confusão de tipo (CVE-2025-40540 e CVE-2025-40539), além de uma falha de Referência Direta Insegura (CVE-2025-40541). A empresa não observou nenhuma exploração dessas falhas até o momento, mas enfatiza a importância de atualizar para a versão 15.5.4 ou superior para mitigar riscos. O Serv-U é um alvo atrativo para ciberataques, como demonstrado em incidentes anteriores envolvendo soluções de transferência de arquivos. A SolarWinds se comprometeu a monitorar a situação e trabalhar em estreita colaboração com seus clientes para resolver rapidamente quaisquer problemas de segurança.

SolarWinds corrige falhas críticas no software Serv-U

A SolarWinds lançou atualizações para corrigir quatro vulnerabilidades críticas em seu software de transferência de arquivos Serv-U, que, se exploradas, podem resultar em execução remota de código. Todas as falhas, classificadas com 9.1 no sistema de pontuação CVSS, incluem: CVE-2025-40538, uma vulnerabilidade de controle de acesso quebrado que permite a criação de um usuário administrador do sistema; CVE-2025-40539 e CVE-2025-40540, ambas relacionadas a confusão de tipos que possibilitam a execução de código nativo arbitrário; e CVE-2025-40541, uma vulnerabilidade de referência direta insegura (IDOR) que também permite a execução de código nativo como root. A SolarWinds destacou que essas vulnerabilidades exigem privilégios administrativos para serem exploradas, mas representam um risco médio em implementações do Windows, pois os serviços geralmente operam sob contas de serviço com menos privilégios por padrão. As falhas afetam a versão 15.5 do Serv-U e foram corrigidas na versão 15.5.4. Embora não haja menção de exploração ativa, vulnerabilidades anteriores foram alvo de grupos de hackers, incluindo um grupo baseado na China conhecido como Storm-0322.

16 vulnerabilidades de dia zero em leitores de PDF ameaçam PCs

Pesquisadores da Novee Security identificaram 16 vulnerabilidades de dia zero nas plataformas de PDF da Foxit e da Apryse, que podem permitir o acesso não autorizado a sistemas através da execução remota de códigos maliciosos. As falhas foram detectadas utilizando ferramentas de inteligência artificial, revelando que os hackers exploram a confiança que os usuários têm em arquivos PDF. Um único clique pode ser suficiente para ativar a armadilha, seja ao abrir um documento ou clicar em um link. Além disso, foram observados métodos de execução de scripts que roubam dados de login e mensagens enganosas que levam à execução de códigos maliciosos. Os pesquisadores alertam que essas vulnerabilidades podem dar controle total do dispositivo ao agente malicioso, muitas vezes sem que a vítima perceba. A situação é alarmante, pois o uso de leitores de PDF é comum em ambientes corporativos, aumentando o risco de compromissos de segurança em empresas. O estudo destaca a necessidade urgente de atualização e monitoramento das plataformas afetadas para evitar possíveis ataques.

SolarWinds corrige vulnerabilidades críticas no Serv-U

A SolarWinds lançou atualizações de segurança para corrigir quatro vulnerabilidades críticas no software de transferência de arquivos Serv-U, que podem permitir que atacantes obtenham acesso root a servidores não corrigidos. A falha mais grave, identificada como CVE-2025-40538, permite que atacantes com altos privilégios criem um usuário administrador do sistema e executem código arbitrário como root. Além disso, foram corrigidas duas falhas de confusão de tipo e uma vulnerabilidade de Referência Direta Insegura (IDOR), todas exigindo que os atacantes já possuam privilégios elevados nos servidores-alvo. Atualmente, mais de 12.000 servidores Serv-U estão expostos na Internet, tornando-os alvos atraentes para grupos de cibercrime, que já exploraram vulnerabilidades anteriores para roubo de dados e ataques de ransomware. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) está monitorando nove falhas de segurança da SolarWinds que estão sendo ativamente exploradas. É crucial que as organizações que utilizam o Serv-U apliquem as atualizações de segurança imediatamente para mitigar riscos potenciais.

Aplicativos de saúde mental apresentam vulnerabilidades de segurança

Um estudo recente revelou que vários aplicativos móveis de saúde mental, com milhões de downloads na Google Play, contêm vulnerabilidades de segurança que podem expor informações médicas sensíveis dos usuários. Pesquisadores da empresa Oversecured identificaram mais de 1.575 falhas de segurança em dez aplicativos, incluindo 54 de alta severidade. Esses aplicativos, que oferecem suporte a condições como depressão e ansiedade, afirmam que as conversas dos usuários são privadas ou criptografadas. No entanto, muitos deles não validam adequadamente as URIs fornecidas pelos usuários, permitindo que atacantes acessem dados confidenciais, como registros de terapia. Além disso, a falta de detecção de root em alguns aplicativos pode permitir que dados de saúde sejam acessados por aplicativos maliciosos em dispositivos comprometidos. Com um total de downloads superior a 14,7 milhões, a segurança desses aplicativos é uma preocupação crescente, especialmente considerando que dados de terapia podem ser vendidos por altos valores no mercado negro. A pesquisa destaca a necessidade urgente de atualizações e melhorias na segurança desses aplicativos para proteger a privacidade dos usuários.

Gerenciadores de senha apresentam falhas críticas, aponta pesquisa

Uma pesquisa realizada pelas Universidades de Zurique e da Svizzera Italiana revelou falhas críticas em gerenciadores de senha populares, como Bitwarden, LastPass e Dashlane. O estudo, liderado por Kenneth Paterson, demonstrou que 27 ataques bem-sucedidos foram realizados, comprometendo a segurança dos dados dos usuários. Embora esses serviços utilizem a Encriptação Zero-Knowledge, que promete que nem mesmo as empresas podem acessar os dados dos usuários, os resultados mostraram que essa proteção é falha. Os pesquisadores identificaram vulnerabilidades que permitem que hackers manipulem dados armazenados, como logins, para obter senhas desencriptadas. Além disso, métodos de segurança obsoletos ainda ativos em alguns aplicativos aumentam o risco de ataques. O 1Password se destacou como o mais seguro, utilizando uma tecnologia de Chave Secreta que mantém os dados no dispositivo do usuário. As empresas afetadas já começaram a lançar atualizações para corrigir as falhas, mas os usuários são aconselhados a atualizar seus aplicativos imediatamente para garantir a segurança de suas informações.

CISA alerta sobre vulnerabilidades críticas no Roundcube Webmail

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) identificou duas vulnerabilidades críticas no Roundcube Webmail, um cliente de e-mail amplamente utilizado, especialmente em servidores que operam com cPanel. A primeira, CVE-2025-49113, é uma falha de execução remota de código que está sendo ativamente explorada por agentes maliciosos, com mais de 84.000 instalações vulneráveis. A segunda vulnerabilidade, CVE-2025-68461, permite ataques de cross-site scripting (XSS) por atacantes remotos e não autenticados, utilizando a tag animate em documentos SVG. Ambas as falhas foram adicionadas ao catálogo de vulnerabilidades conhecidas da CISA, que exige que as agências federais dos EUA apliquem patches em suas instalações em até três semanas. O Roundcube já lançou versões atualizadas (1.6.12 e 1.5.12) para corrigir essas falhas. A CISA também monitora outras vulnerabilidades no Roundcube, que têm sido alvo de grupos de cibercrime e ameaças patrocinadas por estados, como o grupo russo Winter Vivern. A situação é crítica, e a CISA recomenda a atualização imediata das instalações afetadas.

Vulnerabilidades e Incidentes de Cibersegurança em Destaque

Nesta semana, o cenário de cibersegurança apresenta uma série de incidentes e vulnerabilidades críticas. Um dos destaques é a exploração de uma falha de segurança de gravidade máxima no Dell RecoverPoint para Máquinas Virtuais, identificada como CVE-2026-22769, que permite a execução de comandos como root e a instalação de backdoors. Além disso, dois ex-engenheiros do Google foram indiciados por roubo de segredos comerciais, transferindo informações sensíveis para o Irã. Outro ponto alarmante é a descoberta do malware PromptSpy, que utiliza inteligência artificial para garantir sua persistência em dispositivos Android, visando usuários na Argentina. Também foi identificado um novo malware chamado Keenadu, embutido no firmware de dispositivos Android, que pode coletar dados e controlar remotamente os aparelhos. Por fim, um estudo questionou as alegações de ‘zero knowledge’ de gerenciadores de senhas como Bitwarden e LastPass, revelando que, em certas circunstâncias, dados podem ser acessados por insiders maliciosos. Esses eventos ressaltam a necessidade urgente de vigilância e atualização de sistemas para mitigar riscos.

Senhas geradas por IA podem ser quebradas em horas, alertam pesquisadores

Pesquisadores alertam que senhas geradas por modelos de linguagem artificial (LLMs), como ChatGPT e Claude, podem parecer seguras, mas possuem padrões previsíveis que as tornam vulneráveis a ataques. Um estudo da Irregular analisou 50 senhas de 16 caracteres geradas por esses sistemas e descobriu que muitas eram duplicadas e seguiam estruturas semelhantes. Embora essas senhas tenham passado em testes de força comuns, a análise revelou que sua entropia variava entre 20 e 27 bits, enquanto uma senha verdadeiramente aleatória teria entre 98 e 120 bits. Essa diferença significa que senhas geradas por IA podem ser quebradas em questão de horas, mesmo em computadores antigos. Os pesquisadores alertam que ferramentas de avaliação de senhas não consideram padrões estatísticos ocultos, o que pode levar à falsa sensação de segurança. Além disso, a recomendação é que os usuários utilizem geradores de senhas baseados em aleatoriedade criptográfica e gerenciadores de senhas, em vez de confiar nas sugestões de LLMs, que não são adequadas para autenticação segura.

CISA adiciona falhas críticas do Roundcube ao catálogo de vulnerabilidades

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu duas falhas de segurança do software de webmail Roundcube em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), devido a evidências de exploração ativa. As vulnerabilidades são: CVE-2025-49113, com uma pontuação CVSS de 9.9, que permite a execução remota de código por usuários autenticados devido à falta de validação do parâmetro _from em uma URL; e CVE-2025-68461, com pontuação CVSS de 7.2, que permite a execução de scripts entre sites via a tag animate em documentos SVG. Ambas as falhas foram corrigidas, a primeira em junho de 2025 e a segunda em dezembro do mesmo ano. A empresa de cibersegurança FearsOff, que descobriu a CVE-2025-49113, alertou que a vulnerabilidade foi rapidamente explorada e disponibilizada para venda em um curto espaço de tempo após a divulgação pública. Embora não haja informações sobre os responsáveis pela exploração, o histórico de ataques a software de email sugere que atores de ameaças de nações, como APT28, possam estar envolvidos. As agências do Federal Civilian Executive Branch (FCEB) têm até 13 de março de 2026 para remediar as vulnerabilidades identificadas, a fim de proteger suas redes contra essa ameaça ativa.

Nova funcionalidade de segurança da Anthropic para código de software

A Anthropic, empresa de inteligência artificial, lançou uma nova funcionalidade chamada Claude Code Security, que permite a análise de códigos de software em busca de vulnerabilidades e sugere correções. Atualmente, essa ferramenta está disponível em uma prévia de pesquisa limitada para clientes das categorias Enterprise e Team. Segundo a empresa, a Claude Code Security utiliza inteligência artificial para identificar falhas que métodos tradicionais podem não detectar, oferecendo uma vantagem aos defensores contra ataques automatizados. A funcionalidade vai além da análise estática, raciocinando sobre o código como um pesquisador humano, compreendendo a interação entre componentes e rastreando fluxos de dados. Cada vulnerabilidade identificada passa por um processo de verificação em múltiplas etapas para minimizar falsos positivos e é classificada quanto à severidade, permitindo que as equipes priorizem as correções. Os resultados são apresentados em um painel, onde os analistas podem revisar e aprovar as sugestões. A Anthropic destaca que a decisão final sempre fica a cargo dos desenvolvedores, garantindo um controle humano sobre as ações recomendadas.

O que é Hardcoding e por que essa prática pode te colocar em risco?

O hardcoding é uma prática de programação que envolve a inserção de informações sensíveis, como senhas e chaves de API, diretamente no código-fonte de um aplicativo. Essa abordagem é comparada a deixar uma chave embaixo do tapete ou escrever a senha na parede, tornando essas informações facilmente acessíveis a hackers. Com o crescimento da demanda por aplicativos, especialmente impulsionada pela inteligência artificial, desenvolvedores podem optar por soluções rápidas e inadequadas, resultando em vulnerabilidades. Um hacker pode descompactar um arquivo .apk e encontrar senhas em texto claro, permitindo acesso a servidores e dados sensíveis. Para os usuários, é crucial evitar aplicativos de desenvolvedores desconhecidos e estar atento às permissões solicitadas. A segurança deve ser uma prioridade, e a conscientização sobre práticas de programação seguras é fundamental para mitigar riscos.

Gerenciadores de senhas têm falha que expõe dados a hackers

Pesquisadores da ETH Zurich e da USI University identificaram vulnerabilidades em quatro gerenciadores de senhas populares: Bitwarden, LastPass, Dashlane e 1Password. Essas falhas, que afetam cerca de 40 milhões de usuários, permitem que hackers acessem e alterem senhas de forma não autorizada. A análise envolveu 27 cenários de ataques, revelando problemas de segurança que vão desde violações de integridade até o comprometimento total dos cofres dos usuários. Os especialistas destacaram que a criptografia utilizada por esses serviços apresenta falhas, como chaves públicas não autenticadas e uma separação inadequada das chaves guardadas, criando uma falsa sensação de segurança entre os usuários. Os provedores foram notificados sobre as vulnerabilidades e recomendações foram feitas para melhorar a segurança, incluindo a combinação de métodos de autenticação e criptografia. A situação é alarmante, pois muitos usuários confiam nesses gerenciadores para proteger suas credenciais mais sensíveis.

Desafios de Segurança na Era do Desenvolvimento Ágil

O artigo de Ivan Milenkovic discute a crescente tensão entre velocidade e segurança no desenvolvimento de software. Apesar da ideia de ‘shift left’, que sugere que os desenvolvedores assumam mais responsabilidades de segurança, a realidade é que a pressão por entregas rápidas tem levado a práticas arriscadas. A análise de mais de 34.000 imagens de contêineres revelou que cerca de 7,3% eram maliciosas, com 70% delas contendo software de mineração de criptomoedas. Além disso, 42% das imagens continham segredos que poderiam comprometer recursos valiosos, como chaves de acesso AWS. O autor critica a visão de que os desenvolvedores são descuidados, argumentando que eles estão sobrecarregados e que as ferramentas de segurança muitas vezes são vistas como obstáculos à produtividade. Para mitigar esses riscos, Milenkovic sugere que as equipes de infraestrutura implementem controles automáticos que garantam a segurança sem sobrecarregar os desenvolvedores, criando um ‘caminho dourado’ que facilita a conformidade com as práticas de segurança. Essa abordagem visa integrar a segurança ao fluxo de trabalho de desenvolvimento, permitindo que as empresas mantenham a agilidade sem sacrificar a proteção.

Texas processa TP-Link por ligações suspeitas com a China e falhas de segurança

O Procurador-Geral do Texas, Ken Paxton, processou a TP-Link, uma gigante de roteadores e redes, alegando que a empresa enganou consumidores sobre a origem de seus produtos e suas promessas de segurança. Segundo a ação, a TP-Link afirma que seus produtos destinados aos EUA são fabricados no Vietnã, mas a maioria dos componentes é importada da China, o que, segundo Paxton, configura uma designação geográfica enganosa. Além disso, o processo menciona a plataforma HomeShield da TP-Link, que promete proteção total contra ameaças cibernéticas, mas que tem sido associada a várias vulnerabilidades, como as campanhas Volt Typhoon e Salt Typhoon. O Texas busca penalidades civis que podem ultrapassar US$ 1 milhão, além de um julgamento por júri. A TP-Link, por sua vez, defende sua posição, afirmando que a ação é infundada e que suas operações são independentes e seguras nos EUA. Este caso levanta preocupações sobre a segurança de dispositivos de rede amplamente utilizados, especialmente em um cenário onde a privacidade e a proteção de dados são cada vez mais cruciais.

Texas processa TP-Link por segurança de roteadores comprometida

O estado do Texas processou a TP-Link Systems, acusando a empresa de marketing enganoso ao promover seus roteadores como seguros, enquanto permitia que hackers apoiados pelo governo chinês explorassem vulnerabilidades de firmware. A ação judicial, iniciada após uma investigação em outubro, alega que a TP-Link enganou os consumidores ao rotular seus produtos como ‘Feito no Vietnã’, apesar de quase todos os componentes serem originários da China. O procurador-geral do Texas, Ken Paxton, destacou que a legislação chinesa pode obrigar empresas a cooperar com solicitações de inteligência do governo, colocando em risco a segurança dos dados dos usuários. O processo menciona falhas de segurança anteriores, incluindo a utilização de roteadores TP-Link em uma botnet de roubo de credenciais, que foi ligada a ataques cibernéticos contra os Estados Unidos. A TP-Link, por sua vez, negou as acusações, afirmando que é uma empresa americana independente e que todos os dados dos usuários nos EUA são armazenados em servidores da Amazon Web Services. O caso levanta preocupações sobre a segurança de dispositivos conectados e a proteção de dados dos consumidores, especialmente em um contexto onde a vigilância e a exploração de dados são temas cada vez mais relevantes.

Vulnerabilidades do SmarterMail expõem servidores a ataques rápidos

Pesquisadores da Flare monitoraram canais subterrâneos do Telegram e fóruns de cibercrime, observando que atores de ameaças compartilharam rapidamente exploits e credenciais de administrador roubadas relacionadas a vulnerabilidades do SmarterMail, como CVE-2026-24423 e CVE-2026-23760. Essas falhas críticas permitem execução remota de código e bypass de autenticação em servidores de e-mail expostos. A exploração dessas vulnerabilidades já foi confirmada em ataques reais, incluindo campanhas de ransomware, evidenciando que os atacantes visam cada vez mais a infraestrutura de e-mail como ponto de acesso inicial às redes corporativas. Com um CVSS de 9.3, a CVE-2026-24423 é particularmente alarmante, pois não requer interação do usuário, facilitando a automação de ataques em larga escala. O SmarterTools, fabricante do SmarterMail, também foi comprometido por uma falha em seu próprio produto, demonstrando a gravidade da situação. A CISA confirmou a exploração ativa dessas vulnerabilidades em campanhas de ransomware, destacando a necessidade urgente de ações corretivas por parte das organizações.

Automação de Fluxos de Trabalho em Cibersegurança Oportunidades e Desafios

As equipes de segurança, TI e engenharia enfrentam uma pressão constante para acelerar resultados e maximizar o uso de inteligência artificial (IA) e automação. Um estudo revela que 88% das provas de conceito de IA não chegam à produção, apesar de 70% dos trabalhadores desejarem liberar tempo para atividades de maior valor. O artigo apresenta três casos de uso que demonstram como fluxos de trabalho inteligentes podem transformar a automação em processos eficazes.

Vulnerabilidades em extensões do Visual Studio Code expõem riscos sérios

Pesquisadores de cibersegurança revelaram múltiplas vulnerabilidades em quatro extensões populares do Microsoft Visual Studio Code (VS Code), que, se exploradas, podem permitir que atacantes roubem arquivos locais e executem códigos remotamente. As extensões afetadas, que somam mais de 125 milhões de instalações, incluem Live Server, Code Runner, Markdown Preview Enhanced e Microsoft Live Preview. As vulnerabilidades identificadas são: CVE-2025-65717, que permite a exfiltração de arquivos locais através de um site malicioso; CVE-2025-65716, que possibilita a execução de JavaScript arbitrário via arquivos markdown; e CVE-2025-65715, que permite a execução de código ao manipular o arquivo ‘settings.json’. A vulnerabilidade no Microsoft Live Preview foi corrigida silenciosamente pela Microsoft. Para mitigar os riscos, recomenda-se desabilitar extensões não essenciais, evitar configurações não confiáveis e manter um firewall ativo. A pesquisa destaca que uma única extensão maliciosa pode comprometer toda uma organização, tornando a segurança das extensões uma prioridade crítica para desenvolvedores e empresas.

CISA adiciona novas vulnerabilidades exploradas ativamente ao KEV

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu quatro novas vulnerabilidades em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), destacando a exploração ativa dessas falhas. Entre elas, a CVE-2026-2441, uma vulnerabilidade de uso após a liberação no Google Chrome, com uma pontuação CVSS de 8.8, que pode permitir que atacantes remotos explorem a corrupção de heap através de uma página HTML manipulada. Outra vulnerabilidade, a CVE-2024-7694, afeta o TeamT5 ThreatSonar Anti-Ransomware, permitindo o upload de arquivos maliciosos. A CVE-2020-7796, com uma pontuação CVSS de 9.8, é uma falha de falsificação de solicitação do lado do servidor (SSRF) no Zimbra Collaboration Suite, que pode dar acesso não autorizado a informações sensíveis. Por fim, a CVE-2008-0015, uma vulnerabilidade de estouro de buffer no controle ActiveX do Windows, também foi adicionada. A CISA recomenda que as agências federais apliquem correções até 10 de março de 2026 para garantir proteção adequada.

Notepad implementa novo mecanismo de atualização para segurança

O Notepad++ lançou a versão 8.9.2, que introduz um novo mecanismo de atualização denominado “double-lock” para mitigar vulnerabilidades de segurança que resultaram em compromissos na cadeia de suprimentos. O sistema combina a verificação do instalador assinado do GitHub com a validação de um arquivo XML assinado digitalmente do domínio notepad-plus-plus.org. Essa abordagem visa criar um processo de atualização mais robusto e seguro. Além disso, foram implementadas mudanças como a remoção do libcurl.dll para evitar riscos de side-loading e a restrição da execução de plugins apenas a programas assinados com o mesmo certificado. O Notepad++ também trocou de provedor de hospedagem e corrigiu falhas exploradas em ataques anteriores, que foram atribuídos a um grupo de ameaças ligado à China. Os usuários são aconselhados a atualizar para a nova versão e garantir que os instaladores sejam baixados do domínio oficial.

Vulnerabilidades críticas em extensões do Visual Studio Code expõem dados

Pesquisadores da Ox Security identificaram vulnerabilidades de alta a crítica em extensões populares do Visual Studio Code (VSCode), que foram baixadas mais de 128 milhões de vezes. As falhas afetam as extensões Live Server (CVE-2025-65715), Code Runner (CVE-2025-65716), Markdown Preview Enhanced (CVE-2025-65717) e Microsoft Live Preview. Essas vulnerabilidades podem ser exploradas para roubar arquivos locais e executar código remotamente. O CVE-2025-65717, por exemplo, permite que um atacante roube arquivos locais ao direcionar a vítima a uma página maliciosa. Já o CVE-2025-65715 possibilita a execução remota de código ao manipular o arquivo de configuração da extensão. Os pesquisadores tentaram alertar os mantenedores das extensões desde junho de 2025, mas não obtiveram resposta. A Ox Security recomenda que os desenvolvedores evitem executar servidores localhost desnecessários e que removam extensões não confiáveis, além de monitorar alterações inesperadas nas configurações. Essas falhas representam um risco significativo para ambientes corporativos, podendo levar a movimentos laterais na rede e exfiltração de dados sensíveis.

Gerenciadores de Senhas em Nuvem Vulneráveis a Ataques de Recuperação

Um novo estudo revelou que gerenciadores de senhas baseados em nuvem, como Bitwarden, Dashlane e LastPass, são vulneráveis a ataques de recuperação de senhas sob certas condições. Os pesquisadores da ETH Zurich e da Università della Svizzera italiana identificaram 12 ataques distintos contra o Bitwarden, 7 contra o LastPass e 6 contra o Dashlane, que variam de violações de integridade a compromissos totais de cofres organizacionais. Os ataques exploram falhas no mecanismo de recuperação de contas, criptografia de nível de item, recursos de compartilhamento e compatibilidade com códigos legados. Embora os fornecedores tenham implementado contramedidas, os pesquisadores apontam que várias concepções errôneas criptográficas e padrões de design inadequados contribuíram para essas vulnerabilidades. O estudo também destaca que o 1Password, embora vulnerável, considera as falhas como limitações arquitetônicas conhecidas. Apesar da gravidade das descobertas, não há evidências de que essas vulnerabilidades tenham sido exploradas ativamente. As empresas estão trabalhando para corrigir as falhas identificadas e fortalecer suas arquiteturas de segurança.

Vulnerabilidades e Ameaças em Cibersegurança Recap Semanal

Nesta semana, o cenário de cibersegurança revela que pequenas falhas estão se transformando em grandes pontos de entrada para atacantes. Um exemplo alarmante é o caso do complemento AgreeTo para Outlook, que foi sequestrado e transformado em um kit de phishing, resultando no roubo de mais de 4.000 credenciais de contas Microsoft. Essa situação ilustra como ativos negligenciados podem se tornar vetores de ataque. Além disso, a Google lançou atualizações de segurança para o Chrome, corrigindo uma vulnerabilidade crítica (CVE-2026-2441) que estava sendo explorada ativamente. Outra vulnerabilidade crítica, CVE-2026-1731, foi identificada nos produtos da BeyondTrust e já está sendo explorada, permitindo execução remota de código. A Apple também lançou correções para uma falha zero-day em seus sistemas operacionais. Por fim, o grupo TeamPCP está explorando ambientes de nuvem mal configurados para expandir suas operações criminosas, enquanto hackers patrocinados por estados estão utilizando inteligência artificial em várias etapas do ciclo de ataque, aumentando a eficiência de suas operações. Esses incidentes destacam a necessidade urgente de vigilância e atualização constante das defesas cibernéticas.

Ator de ameaça explora vulnerabilidades críticas no Ivanti EPMM

Observações de inteligência de ameaças indicam que um único ator é responsável pela exploração ativa de duas vulnerabilidades críticas no Ivanti Endpoint Manager Mobile (EPMM), identificadas como CVE-2026-21962 e CVE-2026-24061. Ambas as falhas, que permitem a execução remota de código (RCE) sem autenticação, foram destacadas em um aviso de segurança da Ivanti, que também anunciou correções temporárias. A empresa de inteligência GreyNoise revelou que um único endereço IP, hospedado em uma infraestrutura ‘à prova de balas’, é responsável por mais de 83% das atividades de exploração relacionadas a essas vulnerabilidades. Entre 1 e 9 de fevereiro, foram observadas 417 sessões de exploração, com um pico significativo em 8 de fevereiro, quando 269 sessões foram registradas em um único dia. A maioria das sessões utilizou callbacks DNS do tipo OAST, sugerindo atividade de corretores de acesso inicial. As correções da Ivanti não são permanentes, e a empresa planeja lançar patches completos no primeiro trimestre deste ano. Até lá, recomenda-se a utilização de pacotes RPM específicos para versões vulneráveis do EPMM.

Ameaça de Exploração de Falha Crítica na BeyondTrust

Recentemente, um grave problema de segurança foi descoberto nos produtos BeyondTrust Remote Support (RS) e Privileged Remote Access (PRA), com a vulnerabilidade CVE-2026-1731 recebendo uma pontuação de 9.9 no CVSS. Essa falha permite que atacantes não autenticados executem comandos no sistema operacional ao enviar requisições especialmente elaboradas. A exploração dessa vulnerabilidade foi observada em tempo real, com os atacantes utilizando a função get_portal_info para extrair informações antes de estabelecer um canal WebSocket. A BeyondTrust já lançou patches para corrigir a falha nas versões mais recentes de seus produtos. Além disso, a CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) adicionou quatro outras vulnerabilidades ao seu catálogo de Exploited Vulnerabilities, incluindo falhas em sistemas da Apple e SolarWinds, que também estão sendo ativamente exploradas. O cenário destaca a rapidez com que as vulnerabilidades podem ser exploradas, exigindo que as organizações implementem correções rapidamente para proteger seus sistemas contra acessos não autorizados e possíveis interrupções de serviço.

Pesquisador revela vulnerabilidades em arquivos de atalho do Windows

Durante o Wild West Hackin’ Fest, o pesquisador de segurança Wietze Beukema apresentou várias vulnerabilidades em arquivos de atalho (.LNK) do Windows, que permitem a execução de payloads maliciosos. Beukema documentou quatro técnicas desconhecidas que manipulam esses arquivos para ocultar alvos maliciosos, enganando os usuários que verificam as propriedades do arquivo. Os arquivos LNK, introduzidos no Windows 95, utilizam um formato binário complexo que possibilita a criação de arquivos enganosos que parecem legítimos no Windows Explorer, mas que executam programas diferentes ao serem abertos. As falhas exploram inconsistências na priorização de caminhos de destino conflitantes dentro dos arquivos de atalho. A técnica mais poderosa envolve a manipulação da estrutura EnvironmentVariableDataBlock, permitindo que um alvo falso, como “invoice.pdf”, seja exibido, enquanto comandos maliciosos são executados. Apesar da gravidade das falhas, a Microsoft não as classificou como vulnerabilidades de segurança, argumentando que a exploração requer interação do usuário. Beukema, por sua vez, destacou que os usuários frequentemente ignoram avisos de segurança, o que torna esses ataques viáveis. Ele também lançou uma ferramenta de código aberto chamada “lnk-it-up” para testar e identificar arquivos LNK potencialmente maliciosos.

Ameaças cibernéticas ataques se intensificam e evoluem

A atividade de ameaças cibernéticas nesta semana revela um padrão preocupante: os atacantes estão se concentrando em métodos já conhecidos, utilizando ferramentas confiáveis e explorando vulnerabilidades negligenciadas. A entrada inicial em sistemas está se tornando mais simples, enquanto as atividades pós-comprometimento estão mais estruturadas e persistentes, com o objetivo de permanecer infiltrado e extrair valor. Um exemplo é a falha de injeção de comando no Notepad da Microsoft (CVE-2026-20841), que permite a execução remota de código. Além disso, Taiwan se tornou um alvo frequente de ataques APT, com 173 operações registradas em 2025, refletindo sua importância geopolítica. Novos malwares, como LTX Stealer e Marco Stealer, estão sendo usados para roubo de credenciais e dados sensíveis. Uma campanha de engenharia social também está em andamento, visando contas do Telegram através do abuso de fluxos de autenticação. Por fim, a Discord anunciou um novo sistema de verificação de idade, levantando preocupações sobre a privacidade dos usuários após um incidente anterior que resultou no vazamento de dados de 70 mil usuários. Esses eventos destacam a necessidade urgente de vigilância e atualização das defesas cibernéticas.

Nova botnet SSHStalker utiliza IRC para controle de sistemas Linux

Pesquisadores de cibersegurança revelaram detalhes sobre uma nova operação de botnet chamada SSHStalker, que utiliza o protocolo de comunicação Internet Relay Chat (IRC) para fins de comando e controle. A operação combina técnicas de exploração de sistemas Linux mais antigos com ferramentas de automação para comprometer em massa servidores vulneráveis, principalmente aqueles que ainda operam com versões do kernel Linux 2.6.x. O SSHStalker se destaca por manter acesso persistente aos sistemas comprometidos sem realizar ações de exploração subsequentes, sugerindo que a infraestrutura comprometida pode ser utilizada para testes ou retenção estratégica de acesso.

Microsoft corrige 59 vulnerabilidades, incluindo 6 ativamente exploradas

No dia 11 de fevereiro de 2026, a Microsoft lançou atualizações de segurança para corrigir 59 falhas em seu software, das quais seis estão sendo ativamente exploradas. Entre as vulnerabilidades, cinco foram classificadas como Críticas e 52 como Importantes. As falhas incluem escalonamento de privilégios, execução remota de código e bypass de recursos de segurança. As vulnerabilidades mais críticas são CVE-2026-21510 e CVE-2026-21513, ambas com pontuação CVSS de 8.8, permitindo que atacantes contornem mecanismos de segurança em redes. A Microsoft também corrigiu uma vulnerabilidade moderada no navegador Edge, que poderia permitir spoofing em dispositivos Android. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu essas falhas em seu catálogo de Vulnerabilidades Conhecidas e Explotadas, exigindo que agências federais apliquem as correções até 3 de março de 2026. Além disso, a Microsoft está implementando novas iniciativas de segurança, como o Modo de Segurança Padrão do Windows, para melhorar a proteção contra ameaças futuras.

Ambientes de Treinamento Expostos Risco Real em Nuvem

Um estudo da Pentera Labs revelou que aplicações de treinamento intencionalmente vulneráveis, como OWASP Juice Shop e DVWA, estão frequentemente expostas à internet em ambientes de nuvem. Essas aplicações, projetadas para fins educacionais e testes, são frequentemente implantadas com configurações padrão e permissões excessivas, permitindo que atacantes acessem identidades de nuvem privilegiadas. A pesquisa identificou quase 2.000 instâncias de aplicações expostas, com 60% delas hospedadas em infraestruturas gerenciadas por clientes em plataformas como AWS, Azure e GCP. Além disso, cerca de 20% dessas instâncias apresentaram evidências de exploração ativa, incluindo atividades de mineração de criptomoedas e shells web. O estudo destaca que ambientes de treinamento são frequentemente considerados de baixo risco e, portanto, não recebem a devida atenção em termos de monitoramento e gestão de segurança. Essa situação é preocupante, pois um único aplicativo exposto pode servir como ponto de entrada para comprometer toda a infraestrutura de nuvem de uma organização. O artigo enfatiza que a rotulagem de um ambiente como ’treinamento’ não diminui seu risco, especialmente quando conectado a identidades privilegiadas na nuvem.

Atualizações de Segurança do Windows 11 KB5077181 e KB5075941

A Microsoft lançou as atualizações cumulativas KB5077181 e KB5075941 para o Windows 11, abrangendo as versões 25H2, 24H2 e 23H2. Essas atualizações são obrigatórias e incluem correções de vulnerabilidades de segurança e bugs, além de novas funcionalidades. A atualização de fevereiro de 2026 traz melhorias significativas, como a resolução de problemas de conectividade com redes Wi-Fi WPA3 e aprimoramentos no suporte a MIDI, beneficiando músicos. Também foram introduzidas novas funcionalidades, como o controle aprimorado do Narrador e a expansão do recurso Cross-Device Resume, que permite continuar atividades do celular Android no PC. A atualização altera os números de versão para 26200.7840 (25H2) e 226x1.6050 (23H2). A Microsoft não reportou novos problemas relacionados a esta atualização, mas recomenda que os usuários a instalem o quanto antes para garantir a segurança e a funcionalidade do sistema.

Atualizações de Segurança da Microsoft em Fevereiro de 2026

Em fevereiro de 2026, a Microsoft lançou atualizações de segurança para 58 vulnerabilidades, incluindo 6 que estão sendo ativamente exploradas e 3 vulnerabilidades zero-day publicamente divulgadas. Dentre as falhas corrigidas, 5 são classificadas como ‘Críticas’, sendo 3 relacionadas a elevação de privilégios e 2 a divulgação de informações. As vulnerabilidades incluem 25 falhas de elevação de privilégios, 12 de execução remota de código e 6 de divulgação de informações. A Microsoft também começou a implementar novos certificados de Secure Boot, substituindo os certificados de 2011 que expirarão em junho de 2026. Entre as vulnerabilidades ativamente exploradas, destacam-se falhas no Windows Shell e no Microsoft Word, que permitem que atacantes contornem mecanismos de segurança e executem código malicioso. A correção dessas falhas é crucial, pois pode prevenir ataques que visam comprometer sistemas e dados sensíveis. A atualização é especialmente relevante para empresas que utilizam produtos Microsoft em suas operações diárias.