📰 Informação fresquinha chegando para você!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O pesquisador de segurança Chaotic Eclipse (também conhecido como Nightmare-Eclipse) lançou uma nova exploração de prova de conceito (PoC) chamada LegacyHive.
Ela foi descrita como uma vulnerabilidade de elevação arbitrária de privilégios de carga de seção do Windows User Profile Service. O Windows User Profile Service, também conhecido como ProfSvc, é um componente central do sistema que gerencia contas e ambientes de usuários.
“O PoC requer outra credencial de usuário padrão e um terceiro nome de usuário (que pode ser uma conta de administrador)”, disse Chaotic Eclipse. "Se o PoC for bem-sucedido, ele acabará montando o hive do usuário alvo na raiz da classe de usuário atual."
O pesquisador disse que a exploração foi eliminada para evitar a exploração pública, acrescentando que a exploração original não exigia credenciais adicionais do usuário e não estava limitada à seção “usrclass.dat”.
“Qualquer colmeia poderia ser carregada usando esta vulnerabilidade, mas seriam necessárias algumas células cerebrais para fazer o PoC fazer isso”, observou o pesquisador.
O que o torna notável é que ele funciona em todas as versões de desktop e servidor suportadas do Windows, incluindo aquelas que executam a atualização mais recente do Patch Tuesday de julho de 2026.
Chaotic Eclipse e Microsoft estão envolvidos em uma disputa acalorada desde pelo menos abril de 2026, com o pesquisador divulgando detalhes de várias explorações antes que o fabricante do Windows tivesse a chance de corrigi-las, citando uma falha na comunicação. Três das vulnerabilidades no Microsoft Defender foram exploradas ativamente logo após a divulgação pública.
No início deste mês, a gigante da tecnologia lançou atualizações de segurança para outra vulnerabilidade do Defender, conhecida como RoguePlanet, que foi divulgada pelo pesquisador. No entanto, descobriu-se que as “atualizações de defesa profunda” recentemente introduzidas para resolver a falha podem fazer com que o Microsoft Defender vaze 8 bytes de dados ao tentar abrir um arquivo em determinados cenários.
A Microsoft disse ao The Hacker News que está investigando o novo relatório. Entramos em contato com a empresa para comentar sobre o LegacyHive e atualizaremos a história se recebermos resposta.
Falhas do servidor SharePoint em destaque
O desenvolvimento ocorre no momento em que a Microsoft envia patches para um recorde de 622 falhas, incluindo duas deficiências de escalonamento de privilégios no SharePoint Server (CVE-2026-56164, pontuação CVSS: 5,3) e nos Serviços de Federação do Active Directory (CVE-2026-56155, pontuação CVSS: 7,8) que foram sinalizados como explorados ativamente.
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou ambas as vulnerabilidades ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), que exige que as agências do Poder Executivo Civil Federal (FCEB) apliquem as correções até 17 e 28 de julho de 2026, respectivamente.
“Depois de anos de relativa estabilidade, o processo do Patch Tuesday passou por turbulências significativas até agora em 2026”, disse Adam Barnett, engenheiro-chefe de software da Rapid7, em um comunicado. “Além do crescimento exponencial de relatórios e descobertas de vulnerabilidades alimentado pela IA, a Microsoft está lutando com o surgimento de uma série de vulnerabilidades divulgadas de forma a trazer o máximo desconforto para Redmond.”
Em um comunicado separado, a agência disse estar ciente da exploração ativa de várias falhas do SharePoint Server, incluindo CVE-2026-32201, CVE-2026-45659 e CVE-2026-56164, que permitem que atores de ameaças cibernéticas obtenham acesso não autorizado a instâncias suscetíveis.
“Essas vulnerabilidades afetam todas as versões locais do SharePoint Server com suporte (Subscription Edition, 2019 e 2016) e envolvem o estabelecimento de execução remota de código (RCE) e atividades pós-exploração, como roubo de chaves de máquina de Serviços de Informações da Internet (IIS) e execução de técnicas de desserialização, para ganhar persistência e implantar malware”, disse a CISA.
“A falha decorre da falta de autenticação para uma função crítica, permitindo que um invasor alcance funcionalidades que deveriam exigir autorização”, disse Alex Vovk, CEO e cofundador da Action1, sobre CVE-2026-56164.
"Um invasor pode enviar solicitações de rede especialmente criadas para acessar funcionalidades que deveriam exigir autenticação, resultando em escalonamento de privilégios. A vulnerabilidade afeta principalmente a integridade do sistema, permitindo ações não autorizadas sem exigir autenticação prévia ou interação do usuário. Os servidores SharePoint voltados para a Internet estão particularmente expostos porque o ataque pode ser executado remotamente sem credenciais válidas."
É importante notar que a atualização de julho de 2026 também aborda outra vulnerabilidade crítica de desvio de recurso de segurança do SharePoint Server (CVE-2026-55040, pontuação CVSS: 9.1) que um invasor remoto não autenticado poderia explorar para ignorar a autenticação em um servidor SharePoint vulnerável e executar operações como usuário ou administrador do site do SharePoint.
“A vulnerabilidade se deve a vários problemas no pipeline de validação do token JWT”, disse Rapid7. "Um atacante que teve sucesso
Ela foi descrita como uma vulnerabilidade de elevação arbitrária de privilégios de carga de seção do Windows User Profile Service. O Windows User Profile Service, também conhecido como ProfSvc, é um componente central do sistema que gerencia contas e ambientes de usuários.
“O PoC requer outra credencial de usuário padrão e um terceiro nome de usuário (que pode ser uma conta de administrador)”, disse Chaotic Eclipse. "Se o PoC for bem-sucedido, ele acabará montando o hive do usuário alvo na raiz da classe de usuário atual."
O pesquisador disse que a exploração foi eliminada para evitar a exploração pública, acrescentando que a exploração original não exigia credenciais adicionais do usuário e não estava limitada à seção “usrclass.dat”.
“Qualquer colmeia poderia ser carregada usando esta vulnerabilidade, mas seriam necessárias algumas células cerebrais para fazer o PoC fazer isso”, observou o pesquisador.
O que o torna notável é que ele funciona em todas as versões de desktop e servidor suportadas do Windows, incluindo aquelas que executam a atualização mais recente do Patch Tuesday de julho de 2026.
Chaotic Eclipse e Microsoft estão envolvidos em uma disputa acalorada desde pelo menos abril de 2026, com o pesquisador divulgando detalhes de várias explorações antes que o fabricante do Windows tivesse a chance de corrigi-las, citando uma falha na comunicação. Três das vulnerabilidades no Microsoft Defender foram exploradas ativamente logo após a divulgação pública.
No início deste mês, a gigante da tecnologia lançou atualizações de segurança para outra vulnerabilidade do Defender, conhecida como RoguePlanet, que foi divulgada pelo pesquisador. No entanto, descobriu-se que as “atualizações de defesa profunda” recentemente introduzidas para resolver a falha podem fazer com que o Microsoft Defender vaze 8 bytes de dados ao tentar abrir um arquivo em determinados cenários.
A Microsoft disse ao The Hacker News que está investigando o novo relatório. Entramos em contato com a empresa para comentar sobre o LegacyHive e atualizaremos a história se recebermos resposta.
Falhas do servidor SharePoint em destaque
O desenvolvimento ocorre no momento em que a Microsoft envia patches para um recorde de 622 falhas, incluindo duas deficiências de escalonamento de privilégios no SharePoint Server (CVE-2026-56164, pontuação CVSS: 5,3) e nos Serviços de Federação do Active Directory (CVE-2026-56155, pontuação CVSS: 7,8) que foram sinalizados como explorados ativamente.
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou ambas as vulnerabilidades ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), que exige que as agências do Poder Executivo Civil Federal (FCEB) apliquem as correções até 17 e 28 de julho de 2026, respectivamente.
“Depois de anos de relativa estabilidade, o processo do Patch Tuesday passou por turbulências significativas até agora em 2026”, disse Adam Barnett, engenheiro-chefe de software da Rapid7, em um comunicado. “Além do crescimento exponencial de relatórios e descobertas de vulnerabilidades alimentado pela IA, a Microsoft está lutando com o surgimento de uma série de vulnerabilidades divulgadas de forma a trazer o máximo desconforto para Redmond.”
Em um comunicado separado, a agência disse estar ciente da exploração ativa de várias falhas do SharePoint Server, incluindo CVE-2026-32201, CVE-2026-45659 e CVE-2026-56164, que permitem que atores de ameaças cibernéticas obtenham acesso não autorizado a instâncias suscetíveis.
“Essas vulnerabilidades afetam todas as versões locais do SharePoint Server com suporte (Subscription Edition, 2019 e 2016) e envolvem o estabelecimento de execução remota de código (RCE) e atividades pós-exploração, como roubo de chaves de máquina de Serviços de Informações da Internet (IIS) e execução de técnicas de desserialização, para ganhar persistência e implantar malware”, disse a CISA.
“A falha decorre da falta de autenticação para uma função crítica, permitindo que um invasor alcance funcionalidades que deveriam exigir autorização”, disse Alex Vovk, CEO e cofundador da Action1, sobre CVE-2026-56164.
"Um invasor pode enviar solicitações de rede especialmente criadas para acessar funcionalidades que deveriam exigir autenticação, resultando em escalonamento de privilégios. A vulnerabilidade afeta principalmente a integridade do sistema, permitindo ações não autorizadas sem exigir autenticação prévia ou interação do usuário. Os servidores SharePoint voltados para a Internet estão particularmente expostos porque o ataque pode ser executado remotamente sem credenciais válidas."
É importante notar que a atualização de julho de 2026 também aborda outra vulnerabilidade crítica de desvio de recurso de segurança do SharePoint Server (CVE-2026-55040, pontuação CVSS: 9.1) que um invasor remoto não autenticado poderia explorar para ignorar a autenticação em um servidor SharePoint vulnerável e executar operações como usuário ou administrador do site do SharePoint.
“A vulnerabilidade se deve a vários problemas no pipeline de validação do token JWT”, disse Rapid7. "Um atacante que teve sucesso
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #pesquisador #lança #novo #poc #de #dia #zero #do #windows #horas #após #o #patch #da #microsoft #na #terçafeira
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário