⚡ Não perca: notícia importante no ar! ⚡
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os pesquisadores do Flare que monitoram canais clandestinos do Telegram e fóruns de crimes cibernéticos observaram atores de ameaças compartilhando rapidamente explorações de prova de conceito, ferramentas ofensivas e credenciais de administrador roubadas relacionadas a vulnerabilidades recentemente divulgadas do SmarterMail, fornecendo informações sobre a rapidez com que os invasores transformam em armas novas falhas de segurança.
A atividade ocorreu poucos dias após a divulgação das vulnerabilidades, com agentes de ameaças compartilhando e vendendo código de exploração e acesso comprometido vinculado a CVE-2026-24423 e CVE-2026-23760, falhas críticas que permitem execução remota de código e desvio de autenticação em servidores de e-mail expostos.
Desde então, estas vulnerabilidades foram confirmadas em ataques do mundo real, incluindo campanhas de ransomware, destacando como os atacantes visam cada vez mais a infraestrutura de e-mail como um ponto de acesso inicial às redes corporativas, permitindo-lhes mover-se lateralmente e estabelecer pontos de apoio persistentes.
CVE-2026-24423 e CVE-2026-23760: falhas críticas de RCE e desvio de autenticação
Várias vulnerabilidades do SmarterMail divulgadas recentemente criaram uma tempestade perfeita que tornou a plataforma altamente atraente para os invasores. Entre eles, CVE-2026-24423 se destaca como uma falha crítica de execução remota de código não autenticado que afeta versões anteriores ao Build 9511.
Com uma pontuação CVSS de 9,3 e sem necessidade de interação do usuário, a falha é particularmente adequada para automação, varredura em larga escala e campanhas de exploração em massa.
Paralelamente, vulnerabilidades adicionais CVE-2026-23760 (CVSS 9.3) incluem desvio de autenticação e falhas lógicas de redefinição de senha. Ele permite que invasores redefinam credenciais de administrador ou obtenham acesso privilegiado à plataforma. A pesquisa também mostra que os invasores fizeram rapidamente engenharia reversa de patches para identificar e transformar essas fraquezas em armas poucos dias após o lançamento.
Quando combinados, esses problemas possibilitaram cenários de controle total do servidor, onde os invasores poderiam passar do acesso em nível de aplicativo para o controle do sistema operacional e potencialmente comprometer o nível de domínio em ambientes conectados.
Do ponto de vista de um invasor, esta combinação é ideal: SmarterMail é um serviço exposto à rede, muitas vezes mantém uma posição de alta confiança dentro de ambientes corporativos e, em muitos casos, é monitorado de forma menos agressiva do que os sistemas de endpoint protegidos por EDR.
Assim que o código de exploração de prova de conceito estiver disponível, a exploração poderá ser rapidamente operacionalizada – o que significa que o cronograma desde a divulgação da vulnerabilidade até a implantação do ransomware pode diminuir para dias.
SmarterTools violado por falha do próprio produto, grupos de ransomware seguem
Incidentes recentes demonstram exatamente como esse pipeline funciona.
De acordo com um relatório do SmarterTools, o SmarterTools foi violado em janeiro de 2026 depois que invasores exploraram um servidor SmarterMail não corrigido executado em uma VM interna que foi exposta dentro de sua rede.
O ambiente comprometido incluía redes de escritórios e laboratórios e um segmento de data center conectado através do Active Directory, onde os invasores moviam-se lateralmente e impactavam cerca de uma dúzia de servidores Windows.
A empresa desligou a infraestrutura afetada, restaurou sistemas de backup, alternou credenciais e removeu algumas dependências do Windows/AD. Dito isto, foi relatado que os principais serviços e dados do cliente não foram afetados. Os invasores ganharam uma posição segura na rede interna e tentaram ações pós-exploração típicas do estilo ransomware; não teve sucesso graças à segmentação da rede.
Em outra investigação publicada pela Bleeping Computer, os operadores de ransomware obtiveram acesso inicial por meio de vulnerabilidades do SmarterMail e esperaram antes de acionar cargas de criptografia, um padrão clássico de comportamento de afiliados.
Este padrão é importante:
Acesso inicial via vulnerabilidade do servidor de e-mail
Coleta de credenciais ou extração de token
Movimento lateral via Active Directory
Persistência através de tarefas agendadas ou abuso da ferramenta DFIR
Implantação de ransomware após período de teste
Algumas campanhas foram vinculadas ao grupo de ransomware Warlock, com sobreposições observadas com grupos de atividades alinhados ao estado-nação.
Detecte explorações antes do ataque de grupos de ransomware
Flare monitora fóruns clandestinos e canais de Telegram onde os agentes de ameaças compartilham PoCs, explorações e credenciais comprometidas poucas horas após a divulgação.
Receba avisos antecipados quando sua infraestrutura for discutida ou alvo de operadores de ransomware.
Comece o teste gratuito
Servidores de e-mail: os invasores da infraestrutura de identidade visam primeiro
Os servidores de e-mail ficam em uma interseção única de confiança e visibilidade.
Eles geralmente fornecem:
Tokens de autenticação de domínio
Capacidades de redefinição de senha
Canais de comunicação externa
Acesso a gráficos de contato internos
Integração com serviços de identidade e diretório
Os invasores entendem que os ecossistemas de e-mail dependem de cadeias de autenticação multicomponentes, onde um único elo fraco pode quebrar a confiança geral. Comprometer a ema
A atividade ocorreu poucos dias após a divulgação das vulnerabilidades, com agentes de ameaças compartilhando e vendendo código de exploração e acesso comprometido vinculado a CVE-2026-24423 e CVE-2026-23760, falhas críticas que permitem execução remota de código e desvio de autenticação em servidores de e-mail expostos.
Desde então, estas vulnerabilidades foram confirmadas em ataques do mundo real, incluindo campanhas de ransomware, destacando como os atacantes visam cada vez mais a infraestrutura de e-mail como um ponto de acesso inicial às redes corporativas, permitindo-lhes mover-se lateralmente e estabelecer pontos de apoio persistentes.
CVE-2026-24423 e CVE-2026-23760: falhas críticas de RCE e desvio de autenticação
Várias vulnerabilidades do SmarterMail divulgadas recentemente criaram uma tempestade perfeita que tornou a plataforma altamente atraente para os invasores. Entre eles, CVE-2026-24423 se destaca como uma falha crítica de execução remota de código não autenticado que afeta versões anteriores ao Build 9511.
Com uma pontuação CVSS de 9,3 e sem necessidade de interação do usuário, a falha é particularmente adequada para automação, varredura em larga escala e campanhas de exploração em massa.
Paralelamente, vulnerabilidades adicionais CVE-2026-23760 (CVSS 9.3) incluem desvio de autenticação e falhas lógicas de redefinição de senha. Ele permite que invasores redefinam credenciais de administrador ou obtenham acesso privilegiado à plataforma. A pesquisa também mostra que os invasores fizeram rapidamente engenharia reversa de patches para identificar e transformar essas fraquezas em armas poucos dias após o lançamento.
Quando combinados, esses problemas possibilitaram cenários de controle total do servidor, onde os invasores poderiam passar do acesso em nível de aplicativo para o controle do sistema operacional e potencialmente comprometer o nível de domínio em ambientes conectados.
Do ponto de vista de um invasor, esta combinação é ideal: SmarterMail é um serviço exposto à rede, muitas vezes mantém uma posição de alta confiança dentro de ambientes corporativos e, em muitos casos, é monitorado de forma menos agressiva do que os sistemas de endpoint protegidos por EDR.
Assim que o código de exploração de prova de conceito estiver disponível, a exploração poderá ser rapidamente operacionalizada – o que significa que o cronograma desde a divulgação da vulnerabilidade até a implantação do ransomware pode diminuir para dias.
SmarterTools violado por falha do próprio produto, grupos de ransomware seguem
Incidentes recentes demonstram exatamente como esse pipeline funciona.
De acordo com um relatório do SmarterTools, o SmarterTools foi violado em janeiro de 2026 depois que invasores exploraram um servidor SmarterMail não corrigido executado em uma VM interna que foi exposta dentro de sua rede.
O ambiente comprometido incluía redes de escritórios e laboratórios e um segmento de data center conectado através do Active Directory, onde os invasores moviam-se lateralmente e impactavam cerca de uma dúzia de servidores Windows.
A empresa desligou a infraestrutura afetada, restaurou sistemas de backup, alternou credenciais e removeu algumas dependências do Windows/AD. Dito isto, foi relatado que os principais serviços e dados do cliente não foram afetados. Os invasores ganharam uma posição segura na rede interna e tentaram ações pós-exploração típicas do estilo ransomware; não teve sucesso graças à segmentação da rede.
Em outra investigação publicada pela Bleeping Computer, os operadores de ransomware obtiveram acesso inicial por meio de vulnerabilidades do SmarterMail e esperaram antes de acionar cargas de criptografia, um padrão clássico de comportamento de afiliados.
Este padrão é importante:
Acesso inicial via vulnerabilidade do servidor de e-mail
Coleta de credenciais ou extração de token
Movimento lateral via Active Directory
Persistência através de tarefas agendadas ou abuso da ferramenta DFIR
Implantação de ransomware após período de teste
Algumas campanhas foram vinculadas ao grupo de ransomware Warlock, com sobreposições observadas com grupos de atividades alinhados ao estado-nação.
Detecte explorações antes do ataque de grupos de ransomware
Flare monitora fóruns clandestinos e canais de Telegram onde os agentes de ameaças compartilham PoCs, explorações e credenciais comprometidas poucas horas após a divulgação.
Receba avisos antecipados quando sua infraestrutura for discutida ou alvo de operadores de ransomware.
Comece o teste gratuito
Servidores de e-mail: os invasores da infraestrutura de identidade visam primeiro
Os servidores de e-mail ficam em uma interseção única de confiança e visibilidade.
Eles geralmente fornecem:
Tokens de autenticação de domínio
Capacidades de redefinição de senha
Canais de comunicação externa
Acesso a gráficos de contato internos
Integração com serviços de identidade e diretório
Os invasores entendem que os ecossistemas de e-mail dependem de cadeias de autenticação multicomponentes, onde um único elo fraco pode quebrar a confiança geral. Comprometer a ema
#samirnews #samir #news #boletimtec #canais #de #telegrama #expõem #o #rápido #armamento #das #falhas #do #smartermail
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário