🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou na quarta-feira uma falha de alta gravidade que afeta o Microsoft SharePoint Server ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), citando evidências de exploração ativa.
A vulnerabilidade, rastreada como CVE-2026-45659 (pontuação CVSS: 8,8), é um caso de execução remota de código decorrente da desserialização de dados não confiáveis. O problema foi resolvido pela Microsoft em maio de 2026 para SharePoint Server Subscription Edition, SharePoint Server 2019 e SharePoint Enterprise Server 2016.
A Microsoft observou que qualquer invasor autenticado pode acionar a vulnerabilidade e que não requer privilégios de administrador ou outros privilégios elevados. Em um ataque baseado em rede, um invasor autenticado com um mínimo de permissões de Membro do Site (PR:L) poderia aproveitá-lo para executar código remotamente no SharePoint Server.
“O Microsoft SharePoint Server contém uma vulnerabilidade de desserialização de dados não confiáveis que permite que um invasor autorizado execute código em uma rede”, disse a CISA.
De acordo com o comunicado do fabricante do Windows, a falha foi marcada com uma avaliação de “Exploração menos provável”. Atualmente não se sabe como a vulnerabilidade está sendo explorada, quem está por trás da atividade e quais são os objetivos finais destes esforços.
À luz da exploração ativa, as agências do Poder Executivo Civil Federal (FCEB) são aconselhadas a aplicar as correções até 4 de julho de 2026.
Microsoft descobre atividade de ameaças paralelas de 2 clusters
No final do mês passado, a Microsoft revelou que uma investigação de rotina sobre ransomware descobriu dois atacantes não relacionados operando simultaneamente na mesma rede, ao mesmo tempo que adotavam técnicas deliberadas para estabelecer acesso persistente e complicar os esforços de resposta a incidentes.
Um conjunto de ataques foi atribuído ao Storm-2603, um ator de ameaça conhecido por implantar o ransomware Warlock, muitas vezes explorando vulnerabilidades conhecidas em servidores SharePoint locais desde meados de 2025.
“Neste caso, o acesso inicial provavelmente foi tentado através de uma vulnerabilidade separada, com solicitações de arquivos como win.ini e web.config, indicando sondagem para inclusão de arquivos locais”, disse a Microsoft. As evidências apontam para que seja CVE-2025-11371 (pontuação CVSS: 9,1), uma falha crítica que afeta Gladinet Triofox.
Ao obter o acesso inicial, o ator da ameaça implantou ferramentas como o Velociraptor para combinar atividades maliciosas com comportamento administrativo confiável, bem como estabeleceu vários canais de acesso remoto por meio de tunelamento Cloudflare, Zoho Assist e conexões Secure Shell (SSH) configuradas por meio do Visual Studio Code.
O ataque também aumentou os privilégios ao criar novas contas de administrador local e de domínio, enquanto um driver vulnerável (“NSecKrnl.sys”) agiu como um canal para adulterar as proteções de segurança dos endpoints para ajudar a reduzir sua visibilidade.
Ao mesmo tempo, a Microsoft disse que descobriu sinais de um segundo ator de ameaça não relacionado coexistindo no mesmo ambiente usando carregamento lateral de DLL e backdoors personalizados, tornando assim a atribuição mais desafiadora.
Uma investigação mais aprofundada descobriu que os atacantes se deslocaram lateralmente para além da primeira rede e para uma segunda organização, o que confirmou que tinham sido comprometidos pela mesma atividade de ransomware atribuída ao Storm-2603.
“Juntos, esses fluxos de atividades sobrepostos permitiram o acesso sustentado enquanto mascaravam todo o escopo da intrusão”, disse a equipe de Resposta a Incidentes da Microsoft. “A combinação de táticas conhecidas de ransomware e técnicas ocultas permitiu que os agentes da ameaça estabelecessem acesso profundo e duradouro.”
“O que pode parecer um único incidente de ransomware pode rapidamente se expandir para algo mais complexo, abrangendo organizações, combinando táticas e até mesmo envolvendo vários atores de ameaças operando em paralelo. Para as equipes de segurança, a implicação é clara: sinais isolados raramente contam a história completa.”
A vulnerabilidade, rastreada como CVE-2026-45659 (pontuação CVSS: 8,8), é um caso de execução remota de código decorrente da desserialização de dados não confiáveis. O problema foi resolvido pela Microsoft em maio de 2026 para SharePoint Server Subscription Edition, SharePoint Server 2019 e SharePoint Enterprise Server 2016.
A Microsoft observou que qualquer invasor autenticado pode acionar a vulnerabilidade e que não requer privilégios de administrador ou outros privilégios elevados. Em um ataque baseado em rede, um invasor autenticado com um mínimo de permissões de Membro do Site (PR:L) poderia aproveitá-lo para executar código remotamente no SharePoint Server.
“O Microsoft SharePoint Server contém uma vulnerabilidade de desserialização de dados não confiáveis que permite que um invasor autorizado execute código em uma rede”, disse a CISA.
De acordo com o comunicado do fabricante do Windows, a falha foi marcada com uma avaliação de “Exploração menos provável”. Atualmente não se sabe como a vulnerabilidade está sendo explorada, quem está por trás da atividade e quais são os objetivos finais destes esforços.
À luz da exploração ativa, as agências do Poder Executivo Civil Federal (FCEB) são aconselhadas a aplicar as correções até 4 de julho de 2026.
Microsoft descobre atividade de ameaças paralelas de 2 clusters
No final do mês passado, a Microsoft revelou que uma investigação de rotina sobre ransomware descobriu dois atacantes não relacionados operando simultaneamente na mesma rede, ao mesmo tempo que adotavam técnicas deliberadas para estabelecer acesso persistente e complicar os esforços de resposta a incidentes.
Um conjunto de ataques foi atribuído ao Storm-2603, um ator de ameaça conhecido por implantar o ransomware Warlock, muitas vezes explorando vulnerabilidades conhecidas em servidores SharePoint locais desde meados de 2025.
“Neste caso, o acesso inicial provavelmente foi tentado através de uma vulnerabilidade separada, com solicitações de arquivos como win.ini e web.config, indicando sondagem para inclusão de arquivos locais”, disse a Microsoft. As evidências apontam para que seja CVE-2025-11371 (pontuação CVSS: 9,1), uma falha crítica que afeta Gladinet Triofox.
Ao obter o acesso inicial, o ator da ameaça implantou ferramentas como o Velociraptor para combinar atividades maliciosas com comportamento administrativo confiável, bem como estabeleceu vários canais de acesso remoto por meio de tunelamento Cloudflare, Zoho Assist e conexões Secure Shell (SSH) configuradas por meio do Visual Studio Code.
O ataque também aumentou os privilégios ao criar novas contas de administrador local e de domínio, enquanto um driver vulnerável (“NSecKrnl.sys”) agiu como um canal para adulterar as proteções de segurança dos endpoints para ajudar a reduzir sua visibilidade.
Ao mesmo tempo, a Microsoft disse que descobriu sinais de um segundo ator de ameaça não relacionado coexistindo no mesmo ambiente usando carregamento lateral de DLL e backdoors personalizados, tornando assim a atribuição mais desafiadora.
Uma investigação mais aprofundada descobriu que os atacantes se deslocaram lateralmente para além da primeira rede e para uma segunda organização, o que confirmou que tinham sido comprometidos pela mesma atividade de ransomware atribuída ao Storm-2603.
“Juntos, esses fluxos de atividades sobrepostos permitiram o acesso sustentado enquanto mascaravam todo o escopo da intrusão”, disse a equipe de Resposta a Incidentes da Microsoft. “A combinação de táticas conhecidas de ransomware e técnicas ocultas permitiu que os agentes da ameaça estabelecessem acesso profundo e duradouro.”
“O que pode parecer um único incidente de ransomware pode rapidamente se expandir para algo mais complexo, abrangendo organizações, combinando táticas e até mesmo envolvendo vários atores de ameaças operando em paralelo. Para as equipes de segurança, a implicação é clara: sinais isolados raramente contam a história completa.”
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #sharepoint #rce #cve202645659 #adicionado #ao #cisa #kev #após #exploração #ativa
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário