⚡ Não perca: notÃcia importante no ar! ⚡
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Suspeita-se que os atores da ameaça estejam explorando uma falha de segurança de gravidade máxima que afeta o Quest KACE Systems Management Appliance (SMA), de acordo com a Arctic Wolf.
A empresa de segurança cibernética disse ter observado atividades maliciosas a partir da semana de 9 de março de 2026, em ambientes de clientes que são consistentes com a exploração de CVE-2025-32975 em sistemas SMA não corrigidos expostos à Internet. Atualmente não se sabe quais são os objetivos finais do ataque.
CVE-2025-32975 (pontuação CVSS: 10,0) refere-se a uma vulnerabilidade de desvio de autenticação que permite que invasores se façam passar por usuários legÃtimos sem credenciais válidas. A exploração bem-sucedida da falha poderia facilitar o controle total das contas administrativas. O problema foi corrigido pela Quest em maio de 2025.
Na atividade maliciosa detectada pelo Arctic Wolf, acredita-se que os agentes da ameaça tenham transformado a vulnerabilidade em uma arma para assumir o controle de contas administrativas e executar comandos remotos para descartar cargas codificadas em Base64 de um servidor externo (216.126.225[.]156) por meio do comando curl.
Os invasores desconhecidos então criaram contas administrativas adicionais por meio de “runkbot.exe”, um processo em segundo plano associado ao Agente SMA usado para executar scripts e gerenciar instalações. Também foram detectadas modificações no Registro do Windows por meio de um script do PowerShell para possÃveis alterações de persistência ou configuração do sistema.
Outras ações realizadas pelos atores da ameaça estão listadas abaixo -
Conduzindo a coleta de credenciais usando Mimikatz.
Executar descoberta e reconhecimento enumerando usuários logados e contas de administrador e executando comandos "net time" e "net group".
Obtenção de acesso de protocolo de desktop remoto (RDP) à infraestrutura de backup (Veeam, Veritas) e controladores de domÃnio.
Para combater a ameaça, os administradores são aconselhados a aplicar as atualizações mais recentes e evitar expor as instâncias do SMA à Internet. O problema foi resolvido nas versões 13.0.385, 13.1.81, 13.2.183, 14.0.341 (Patch 5) e 14.1.101 (Patch 4).
A empresa de segurança cibernética disse ter observado atividades maliciosas a partir da semana de 9 de março de 2026, em ambientes de clientes que são consistentes com a exploração de CVE-2025-32975 em sistemas SMA não corrigidos expostos à Internet. Atualmente não se sabe quais são os objetivos finais do ataque.
CVE-2025-32975 (pontuação CVSS: 10,0) refere-se a uma vulnerabilidade de desvio de autenticação que permite que invasores se façam passar por usuários legÃtimos sem credenciais válidas. A exploração bem-sucedida da falha poderia facilitar o controle total das contas administrativas. O problema foi corrigido pela Quest em maio de 2025.
Na atividade maliciosa detectada pelo Arctic Wolf, acredita-se que os agentes da ameaça tenham transformado a vulnerabilidade em uma arma para assumir o controle de contas administrativas e executar comandos remotos para descartar cargas codificadas em Base64 de um servidor externo (216.126.225[.]156) por meio do comando curl.
Os invasores desconhecidos então criaram contas administrativas adicionais por meio de “runkbot.exe”, um processo em segundo plano associado ao Agente SMA usado para executar scripts e gerenciar instalações. Também foram detectadas modificações no Registro do Windows por meio de um script do PowerShell para possÃveis alterações de persistência ou configuração do sistema.
Outras ações realizadas pelos atores da ameaça estão listadas abaixo -
Conduzindo a coleta de credenciais usando Mimikatz.
Executar descoberta e reconhecimento enumerando usuários logados e contas de administrador e executando comandos "net time" e "net group".
Obtenção de acesso de protocolo de desktop remoto (RDP) à infraestrutura de backup (Veeam, Veritas) e controladores de domÃnio.
Para combater a ameaça, os administradores são aconselhados a aplicar as atualizações mais recentes e evitar expor as instâncias do SMA à Internet. O problema foi resolvido nas versões 13.0.385, 13.1.81, 13.2.183, 14.0.341 (Patch 5) e 14.1.101 (Patch 4).
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #hackers #exploram #cve202532975 #(cvss #10.0) #para #sequestrar #sistemas #quest #kace #sma #sem #patch
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário