🔥 Fique por dentro das novidades mais quentes do momento! 🔥

Não deixe essa passar: clique e saiba tudo!

Apoie esse projeto de divulgacao de noticias! Clique aqui
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou na quarta-feira uma falha de alta gravidade que afeta o Microsoft SharePoint Server ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), citando evidências de exploração ativa.

A vulnerabilidade, rastreada como CVE-2026-45659 (pontuação CVSS: 8,8), é um caso de execução remota de código decorrente da desserialização de dados não confiáveis. O problema foi resolvido pela Microsoft em maio de 2026 para SharePoint Server Subscription Edition, SharePoint Server 2019 e SharePoint Enterprise Server 2016.

A Microsoft observou que qualquer invasor autenticado pode acionar a vulnerabilidade e que não requer privilégios de administrador ou outros privilégios elevados. Em um ataque baseado em rede, um invasor autenticado com um mínimo de permissões de Membro do Site (PR:L) poderia aproveitá-lo para executar código remotamente no SharePoint Server.

“O Microsoft SharePoint Server contém uma vulnerabilidade de desserialização de dados não confiáveis ​​que permite que um invasor autorizado execute código em uma rede”, disse a CISA.

De acordo com o comunicado do fabricante do Windows, a falha foi marcada com uma avaliação de “Exploração menos provável”. Atualmente não se sabe como a vulnerabilidade está sendo explorada, quem está por trás da atividade e quais são os objetivos finais destes esforços.

À luz da exploração ativa, as agências do Poder Executivo Civil Federal (FCEB) são aconselhadas a aplicar as correções até 4 de julho de 2026.

Microsoft descobre atividade de ameaças paralelas de 2 clusters

No final do mês passado, a Microsoft revelou que uma investigação de rotina sobre ransomware descobriu dois atacantes não relacionados operando simultaneamente na mesma rede, ao mesmo tempo que adotavam técnicas deliberadas para estabelecer acesso persistente e complicar os esforços de resposta a incidentes.

Um conjunto de ataques foi atribuído ao Storm-2603, um ator de ameaça conhecido por implantar o ransomware Warlock, muitas vezes explorando vulnerabilidades conhecidas em servidores SharePoint locais desde meados de 2025.

“Neste caso, o acesso inicial provavelmente foi tentado através de uma vulnerabilidade separada, com solicitações de arquivos como win.ini e web.config, indicando sondagem para inclusão de arquivos locais”, disse a Microsoft. As evidências apontam para que seja CVE-2025-11371 (pontuação CVSS: 9,1), uma falha crítica que afeta Gladinet Triofox.

Ao obter o acesso inicial, o ator da ameaça implantou ferramentas como o Velociraptor para combinar atividades maliciosas com comportamento administrativo confiável, bem como estabeleceu vários canais de acesso remoto por meio de tunelamento Cloudflare, Zoho Assist e conexões Secure Shell (SSH) configuradas por meio do Visual Studio Code.

O ataque também aumentou os privilégios ao criar novas contas de administrador local e de domínio, enquanto um driver vulnerável (“NSecKrnl.sys”) agiu como um canal para adulterar as proteções de segurança dos endpoints para ajudar a reduzir sua visibilidade.

Ao mesmo tempo, a Microsoft disse que descobriu sinais de um segundo ator de ameaça não relacionado coexistindo no mesmo ambiente usando carregamento lateral de DLL e backdoors personalizados, tornando assim a atribuição mais desafiadora.

Uma investigação mais aprofundada descobriu que os atacantes se deslocaram lateralmente para além da primeira rede e para uma segunda organização, o que confirmou que tinham sido comprometidos pela mesma atividade de ransomware atribuída ao Storm-2603.

“Juntos, esses fluxos de atividades sobrepostos permitiram o acesso sustentado enquanto mascaravam todo o escopo da intrusão”, disse a equipe de Resposta a Incidentes da Microsoft. “A combinação de táticas conhecidas de ransomware e técnicas ocultas permitiu que os agentes da ameaça estabelecessem acesso profundo e duradouro.”

“O que pode parecer um único incidente de ransomware pode rapidamente se expandir para algo mais complexo, abrangendo organizações, combinando táticas e até mesmo envolvendo vários atores de ameaças operando em paralelo. Para as equipes de segurança, a implicação é clara: sinais isolados raramente contam a história completa.”

Siga Canal Fsociety para mais novidades:
Instagram | Facebook | Telegram | Twitter
#samirnews #samir #news #boletimtec #sharepoint #rce #cve202645659 #adicionado #ao #cisa #kev #após #exploração #ativa
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡

Post a Comment