📰 Informação fresquinha chegando para você!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
SmarterTools confirmou na semana passada que a gangue de ransomware Warlock (também conhecida como Storm-2603) violou sua rede ao explorar uma instância do SmarterMail não corrigida.
O incidente ocorreu em 29 de janeiro de 2026, quando um servidor de e-mail que não estava atualizado para a versão mais recente foi comprometido, disse o diretor comercial da empresa, Derek Curtis.
“Antes da violação, tínhamos aproximadamente 30 servidores/VMs com SmarterMail instalados em toda a nossa rede”, explicou Curtis. “Infelizmente, não tínhamos conhecimento de uma VM, configurada por um funcionário, que não estava sendo atualizada. Como resultado, esse servidor de e-mail foi comprometido, o que levou à violação”.
No entanto, a SmarterTools enfatizou que a violação não afetou seu site, carrinho de compras, portal Minha Conta e vários outros serviços, e que nenhum aplicativo comercial ou dados de conta foram afetados ou comprometidos.
Cerca de 12 servidores Windows na rede do escritório da empresa, bem como um data center secundário usado para testes de controle de qualidade (QC), foram afetados. De acordo com seu CEO, Tim Uzzanti, a “tentativa de ataque de ransomware” também impactou clientes hospedados que usavam o SmarterTrack.
“Os clientes hospedados que usam o SmarterTrack foram os mais afetados”, disse Uzzanti em uma ameaça diferente no Portal da Comunidade. “Isso não se deveu a nenhum problema no próprio SmarterTrack, mas sim porque esse ambiente era mais facilmente acessível do que outros, uma vez que violavam nossa rede.”
Além disso, SmarterTools reconheceu que o grupo Warlock esperou alguns dias após obter o acesso inicial para assumir o controle do servidor Active Directory e criar novos usuários, seguido pela eliminação de cargas adicionais como o Velociraptor e o armário para criptografar arquivos.
“Depois que esses malfeitores obtêm acesso, eles normalmente instalam arquivos e esperam aproximadamente de 6 a 7 dias antes de tomar outras medidas”, disse Curtis. “Isso explica por que alguns clientes sofreram um comprometimento mesmo após a atualização – a violação inicial ocorreu antes da atualização, mas a atividade maliciosa foi acionada posteriormente”.
Atualmente não está claro qual vulnerabilidade do SmarterMail foi transformada em arma pelos invasores, mas vale a pena notar que várias falhas no software de e-mail – CVE-2025-52691 (pontuação CVSS: 10,0), CVE-2026-23760 e CVE-2026-24423 (pontuação CVSS: 9,3) – estão sob exploração ativa na natureza.
CVE-2026-23760 é uma falha de desvio de autenticação que pode permitir que qualquer usuário redefina a senha do administrador do sistema SmarterMail enviando uma solicitação HTTP especialmente criada. CVE-2026-24423, por outro lado, explora uma fraqueza no método ConnectToHub API para obter execução remota de código (RCE) não autenticada.
As vulnerabilidades foram abordadas pelo SmarterTools na versão 9511. Na semana passada, a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) confirmou que CVE-2026-24423 estava sendo explorado em ataques de ransomware.
Em um relatório publicado na segunda-feira, a empresa de segurança cibernética ReliaQuest disse que identificou atividades provavelmente ligadas ao Warlock que envolviam o abuso de CVE-2026-23760 para contornar a autenticação e preparar a carga útil do ransomware em sistemas voltados para a Internet. O ataque também aproveita o acesso inicial para baixar um instalador MSI malicioso (“v4.msi”) da Supabase, uma plataforma de back-end legítima baseada em nuvem, para instalar o Velociraptor.
“Embora esta vulnerabilidade permita que os invasores ignorem a autenticação e redefinam as senhas do administrador, o Storm-2603 encadeia esse acesso com o recurso integrado de ‘Volume Mount’ do software para obter controle total do sistema”, disse a pesquisadora de segurança Alexa Feminella. “Ao entrar, o grupo instala o Velociraptor, uma ferramenta forense digital legítima que usou em campanhas anteriores, para manter o acesso e preparar o terreno para ransomware.”
A equipe de segurança também observou que as duas vulnerabilidades têm o mesmo resultado líquido: enquanto o CVE-2026-23760 concede acesso administrativo não autenticado por meio da API de redefinição de senha, que pode então ser combinada com a lógica de montagem para obter a execução do código, o CVE-2026-24423 oferece um caminho mais direto para a execução do código por meio de um caminho de API.
O fato de os invasores seguirem o primeiro método é uma indicação de que ele provavelmente permite que a atividade maliciosa se misture aos fluxos de trabalho administrativos típicos, ajudando-os a evitar a detecção.
“Ao abusar de recursos legítimos (redefinições de senha e montagem de unidade) em vez de confiar apenas em uma única exploração primitiva ‘ruidosa’, os operadores podem reduzir a eficácia das detecções ajustadas especificamente para padrões RCE conhecidos”, acrescentou Feminella. “Esse ritmo de armamento é consistente com os operadores de ransomware analisando rapidamente as correções dos fornecedores e desenvolvendo técnicas de trabalho logo após o lançamento.”
Os usuários do SmarterMail são aconselhados a atualizar para a versão mais recente (Build 9526) com efeito imediato para proteção ideal e isolar os servidores de e-mail para bloquear a movimentação lateral.
O incidente ocorreu em 29 de janeiro de 2026, quando um servidor de e-mail que não estava atualizado para a versão mais recente foi comprometido, disse o diretor comercial da empresa, Derek Curtis.
“Antes da violação, tínhamos aproximadamente 30 servidores/VMs com SmarterMail instalados em toda a nossa rede”, explicou Curtis. “Infelizmente, não tínhamos conhecimento de uma VM, configurada por um funcionário, que não estava sendo atualizada. Como resultado, esse servidor de e-mail foi comprometido, o que levou à violação”.
No entanto, a SmarterTools enfatizou que a violação não afetou seu site, carrinho de compras, portal Minha Conta e vários outros serviços, e que nenhum aplicativo comercial ou dados de conta foram afetados ou comprometidos.
Cerca de 12 servidores Windows na rede do escritório da empresa, bem como um data center secundário usado para testes de controle de qualidade (QC), foram afetados. De acordo com seu CEO, Tim Uzzanti, a “tentativa de ataque de ransomware” também impactou clientes hospedados que usavam o SmarterTrack.
“Os clientes hospedados que usam o SmarterTrack foram os mais afetados”, disse Uzzanti em uma ameaça diferente no Portal da Comunidade. “Isso não se deveu a nenhum problema no próprio SmarterTrack, mas sim porque esse ambiente era mais facilmente acessível do que outros, uma vez que violavam nossa rede.”
Além disso, SmarterTools reconheceu que o grupo Warlock esperou alguns dias após obter o acesso inicial para assumir o controle do servidor Active Directory e criar novos usuários, seguido pela eliminação de cargas adicionais como o Velociraptor e o armário para criptografar arquivos.
“Depois que esses malfeitores obtêm acesso, eles normalmente instalam arquivos e esperam aproximadamente de 6 a 7 dias antes de tomar outras medidas”, disse Curtis. “Isso explica por que alguns clientes sofreram um comprometimento mesmo após a atualização – a violação inicial ocorreu antes da atualização, mas a atividade maliciosa foi acionada posteriormente”.
Atualmente não está claro qual vulnerabilidade do SmarterMail foi transformada em arma pelos invasores, mas vale a pena notar que várias falhas no software de e-mail – CVE-2025-52691 (pontuação CVSS: 10,0), CVE-2026-23760 e CVE-2026-24423 (pontuação CVSS: 9,3) – estão sob exploração ativa na natureza.
CVE-2026-23760 é uma falha de desvio de autenticação que pode permitir que qualquer usuário redefina a senha do administrador do sistema SmarterMail enviando uma solicitação HTTP especialmente criada. CVE-2026-24423, por outro lado, explora uma fraqueza no método ConnectToHub API para obter execução remota de código (RCE) não autenticada.
As vulnerabilidades foram abordadas pelo SmarterTools na versão 9511. Na semana passada, a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) confirmou que CVE-2026-24423 estava sendo explorado em ataques de ransomware.
Em um relatório publicado na segunda-feira, a empresa de segurança cibernética ReliaQuest disse que identificou atividades provavelmente ligadas ao Warlock que envolviam o abuso de CVE-2026-23760 para contornar a autenticação e preparar a carga útil do ransomware em sistemas voltados para a Internet. O ataque também aproveita o acesso inicial para baixar um instalador MSI malicioso (“v4.msi”) da Supabase, uma plataforma de back-end legítima baseada em nuvem, para instalar o Velociraptor.
“Embora esta vulnerabilidade permita que os invasores ignorem a autenticação e redefinam as senhas do administrador, o Storm-2603 encadeia esse acesso com o recurso integrado de ‘Volume Mount’ do software para obter controle total do sistema”, disse a pesquisadora de segurança Alexa Feminella. “Ao entrar, o grupo instala o Velociraptor, uma ferramenta forense digital legítima que usou em campanhas anteriores, para manter o acesso e preparar o terreno para ransomware.”
A equipe de segurança também observou que as duas vulnerabilidades têm o mesmo resultado líquido: enquanto o CVE-2026-23760 concede acesso administrativo não autenticado por meio da API de redefinição de senha, que pode então ser combinada com a lógica de montagem para obter a execução do código, o CVE-2026-24423 oferece um caminho mais direto para a execução do código por meio de um caminho de API.
O fato de os invasores seguirem o primeiro método é uma indicação de que ele provavelmente permite que a atividade maliciosa se misture aos fluxos de trabalho administrativos típicos, ajudando-os a evitar a detecção.
“Ao abusar de recursos legítimos (redefinições de senha e montagem de unidade) em vez de confiar apenas em uma única exploração primitiva ‘ruidosa’, os operadores podem reduzir a eficácia das detecções ajustadas especificamente para padrões RCE conhecidos”, acrescentou Feminella. “Esse ritmo de armamento é consistente com os operadores de ransomware analisando rapidamente as correções dos fornecedores e desenvolvendo técnicas de trabalho logo após o lançamento.”
Os usuários do SmarterMail são aconselhados a atualizar para a versão mais recente (Build 9526) com efeito imediato para proteção ideal e isolar os servidores de e-mail para bloquear a movimentação lateral.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #warlock #ransomware #viola #smartertools #por #meio #de #servidor #smartermail #sem #patch
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário