Uma syscall, SYSTEM: o bug que a Pwn2Own não viu

A semana foi generosa para quem pesquisa escalação de privilégios no kernel. No Windows, duas primitivas de SYSTEM dominam o noticiário: um incremento arbitrário de endereço no kernel via NtQuerySystemInformation que funciona até dentro do sandbox do Chrome, e o retorno do MiniPlasma, explorando um bug de 2020 que a Microsoft aparentemente nunca corrigiu de verdade. No Linux, a quarta falha de kernel em poucas semanas permite roubar chaves SSH do host. Em paralelo, ataques à cadeia de suprimentos no GitHub Actions.

Vulnerabilidades e Exploits

CVE-2026-40369: Incremento Arbitrário de Endereço no Kernel Windows

Por pwn2nimron

🔥 Uma única syscall, chamada por qualquer processo sem privilégios, incluindo dentro do sandbox do renderer do Chrome, pode incrementar endereços arbitrários na memória do kernel do Windows. Sem race condition. Sem heap spray. Sem tokens especiais. Escalação de privilégios 100% determinística até SYSTEM.

O bug reside na NtQuerySystemInformation com a info class 253 (SystemProcessInformationExtension), que despacha para ExpGetProcessInformation. O problema é cirurgicamente simples: ProbeForWrite é chamado antes do dispatch, mas, quando o parâmetro Length é zero, toda a chamada de ProbeForWrite é ignorada. Resultado: qualquer ponteiro, incluindo endereços de kernel, passa pela validação sem checagem. A função armazena o ponteiro do buffer e, para cada processo no sistema, incrementa o valor naquele endereço. O atacante sabe exatamente quantas vezes o endereço será incrementado (uma vez por processo rodando), o que torna a primitiva completamente determinística e repetível.

O autor desenvolveu o exploit completo visando competir no Pwn2Own Berlin 2026 na categoria Web Browser, mas foi rejeitado por excesso de inscrições. Com a rejeição, optou pela divulgação pública completa. Como ele mesmo observa: "There's a paradox: the code that everyone thinks has been thoroughly audited sometimes receives less scrutiny precisely because of that assumption." A NtQuerySystemInformation é provavelmente a syscall mais auditada do Windows. Centenas de info classes, décadas de patches. E o bug estava ali, na info class 253, compartilhando código com a já amplamente estudada class 5, mas com uma validação crítica ausente. O paradoxo do código mais auditado sendo o menos auditado se confirmou de forma brutal.

MiniPlasma: Windows 0-Day de 2020 que Nunca Foi Corrigido

Por Chaotic Eclipse, James Forshaw (Google Project Zero) e Will Dormann

⚠️ Chaotic Eclipse publicou a PoC do MiniPlasma, um exploit de escalação de privilégios que concede shell SYSTEM em sistemas Windows totalmente atualizados, incluindo Windows 11 com os patches de maio de 2026. A falha reside no driver cldflt.​sys (Windows Cloud Files Mini Filter Driver), na rotina HsmOsBlockPlaceholderAccess.

O detalhe que torna este caso notável: James Forshaw, do Google Project Zero, reportou exatamente esta vulnerabilidade à Microsoft em setembro de 2020. Ela foi supostamente corrigida como CVE-2020-17103 em dezembro do mesmo ano. Mas a investigação de Chaotic Eclipse revelou que "the exact same issue that was reported to Microsoft by Google Project Zero is actually still present, unpatched. I'm unsure if Microsoft just never patched the issue or the patch was silently rolled back at some point for unknown reasons." A PoC original de Forshaw funciona sem qualquer modificação. Chaotic Eclipse então transformou a PoC original em um weaponized exploit que abre shell SYSTEM.

Will Dormann confirmou de forma independente: o MiniPlasma abre um prompt cmd.​exe com privilégios SYSTEM no Windows 11 26H1 com as atualizações mais recentes. Dormann notou que o exploit não funciona no build Insider Preview Canary, o que sugere que a Microsoft pode estar trabalhando na correção nesse branch, mas isso oferece pouco conforto para centenas de milhões de usuários rodando builds de produção. A natureza do bug é race condition, portanto a taxa de sucesso pode variar entre ambientes. Todas as versões do Windows são potencialmente afetadas.

Contratado da CISA expõe credenciais AWS GovCloud em repositório público do GitHub

Por Brian Krebs

⚠️ Um contratado da Cybersecurity and Infrastructure Security Agency manteve um repositório público no GitHub com o nome sugestivo de "Private-CISA" que, apesar do nome, era acessível a qualquer pessoa. O repositório continha credenciais administrativas de três contas AWS GovCloud, tokens de acesso, senhas em texto plano e arquivos internos que descrevem como a agência constrói, testa e implanta software. Entre os arquivos expostos estavam "importantAWStokens" e "AWS-Workspace-Firefox-Passwords.csv", com credenciais de dezenas de sistemas internos, incluindo o ambiente seguro de desenvolvimento LZ-DSO (Landing Zone DevSecOps).

O detalhe mais perturbador: logs de commit revelaram que o administrador desabilitou intencionalmente a detecção de segredos do GitHub. A GitGuardian identificou a exposição e alertou o responsável, que não respondeu. Especialistas classificaram o incidente como um dos piores vazamentos de dados governamentais já registrados. A agência encarregada de dizer ao resto do governo como proteger credenciais não conseguiu proteger as suas. Quando o repositório se chama "Private", mas é público, e a detecção de segredos é desligada de propósito, não é um acidente. É negligência sistêmica.

Race condition dupla no VMware Fusion permite escalação para root no macOS

Por therealcoiffeur

Uma pesquisa detalhada sobre o vmware-rawdiskCreator, um utilitário de linha de comando do VMware Fusion instalado como SUID root, revelou uma cadeia de exploração elegante baseada em dupla race condition TOCTOU (Time of Check, Time of Use). O binário cria descritores VMDK a partir de dispositivos de disco físico e, por rodar com privilégios de root independentemente de quem o executa, representa uma superfície de ataque significativa no macOS.

A exploração funciona assim: duas janelas sequenciais de race condition permitem que um usuário sem privilégios redirecione as operações de criação de arquivo com privilégios de root para diretórios arbitrários no sistema de arquivos. Combinada com uma imagem de disco GPT cuidadosamente construída e uma escolha criativa de diretório-alvo, a vulnerabilidade alcança escalação de privilégios local persistente como root. A análise foi realizada na versão vulnerável (até 25H2u1) sobre macOS 26.4.1. O uso de uma versão customizada do fs_usage_ng (de Gergely Kalman) permitiu mapear as chamadas de sistema e identificar as janelas de corrida.

YellowKey: zero-day contra o BitLocker no Windows 11

Por Bruce Schneier e Nightmare-Eclipse

Um zero-day batizado de YellowKey foi publicado pelo pesquisador que usa o alias Nightmare-Eclipse. O exploit faz bypass de forma confiável em implementações padrão do BitLocker no Windows 11, a proteção de criptografia de volume completo que a Microsoft oferece para tornar o conteúdo do disco inacessível a quem não possui a chave de descriptografia armazenada no TPM. O BitLocker é proteção obrigatória para muitas organizações, incluindo aquelas que possuem contratos governamentais.

O requisito de acesso físico ao computador limita o escopo de exploração remota, mas não reduz a gravidade para cenários de roubo ou apreensão de dispositivos, ambientes corporativos com hardware compartilhado e ataques de evil maid. Organizações que dependem do BitLocker como camada única de proteção de dados em repouso precisam reavaliar sua postura. A mesma criptografia de disco que governos ao redor do mundo exigem por contrato, e alguém com acesso físico e um exploit chamado YellowKey é tudo o que basta para desfazê-la.

Avalanche de LPEs no Kernel Linux: DirtyDecrypt e ssh-keysign-pwn

Por Qualys e V12 Security Team

O kernel Linux acumula quatro falhas de escalação de privilégios em poucas semanas, e duas merecem atenção especial. A CVE-2026-46333, apelidada de ssh-keysign-pwn, é uma falha de divulgação de informações na lógica de __ptrace_may_access() que, segundo a Qualys, existe há cerca de seis anos. Em determinadas condições durante o encerramento de processos, o kernel pula verificações de "dumpable" quando o mapeamento de memória já foi descartado, abrindo uma janela para roubo de file descriptors de processos privilegiados. O caminho de exploração mais direto abusa do binário SUID ssh-keysign do OpenSSH, permitindo a exfiltração de chaves privadas SSH do host e do arquivo shadow. Com chaves SSH roubadas, atacantes podem se passar por máquinas em relações de confiança host-based.

A segunda, DirtyDecrypt (também chamada de DirtyCBC), vem da V12 Security Team e explora a ausência de um guard de copy-on-write no componente rxgk_decrypt_skb do subsistema RxGK. Autenticadores de resposta oversized são aceitos, permitindo escrita em memória de processos privilegiados ou no page cache de binários SUID. A vulnerabilidade recebeu o identificador CVE-2026-31635. Ambas se somam às recentes CopyFail, DirtyFrag e Fragnesia, formando uma onda de LPEs que exige ação rápida das equipes de infraestrutura. Distribuições com CONFIG_RXGK habilitado (Arch, Fedora, openSUSE) são as mais expostas ao DirtyDecrypt. Em plataformas de container, todos os worker nodes rodando distribuição vulnerável podem oferecer um caminho de escape do pod.

Fontes:

• https://pwn2nimron.com/blog

• https://securityaffairs.com/192325/hacking/chaotic-eclipse-discloses-miniplasma-zero-day-suggesting-a-missing-or-undone-2020-windows-security-fix.html

• https://krebsonsecurity.com/2026/05/cisa-admin-leaked-aws-govcloud-keys-on-github/

• https://therealcoiffeur.com/c111000.html

• https://www.schneier.com/blog/archives/2026/05/zero-day-exploit-against-windows-bitlocker.html

• https://www.securityweek.com/poc-released-for-dirtydecrypt-linux-kernel-vulnerability/

Threat Intelligence e Malware

Hunting Lazarus Parte VIII: OtterCookie, o RAT que vigia desenvolvedores em tempo real

Por Equipe Red Asgard

A oitava parte da série "Hunting Lazarus" da Red Asgard disseca o OtterCookie, um RAT em JavaScript/Node.​js operado pelo grupo Lazarus, distinto do BeaverTail e voltado à vigilância em tempo real. Enquanto o BeaverTail roubava o que os desenvolvedores já tinham salvo, o OtterCookie monitora o que eles fazem em tempo real. O C2 roda sobre Socket.​IO via Engine.​IO v4 e mantém um roster de vítimas conectadas, transmitido automaticamente a cada 30 segundos, sem esperar por requisições do operador.

A análise revelou cinco máquinas macOS ativas sob campanhas, com coleta contínua de clipboard, keystrokes, capturas de tela, segredos de navegadores, artefatos de carteiras cripto e credenciais de desenvolvimento. Um achado particularmente interessante é que os campos uid e userKey do protocolo não identificam máquinas individuais. Vítimas distintas compartilham os mesmos valores, tratando-se de identificadores de lote de campanha. A entrega foi documentada via npm e Vercel, com aproximadamente 197 pacotes maliciosos e cerca de 31.000 downloads atribuídos a esta família. A sofisticação da infraestrutura com múltiplas portas Express no mesmo host Hetzner confirma uma operação em escala industrial.

Reaper: novo infostealer para macOS que contorna proteções do XProtect

Por SentinelLABS

A SentinelLABS documentou o Reaper, uma variante do infostealer SHub que mira usuários macOS usando páginas falsas de download do WeChat e Miro hospedadas no domínio typosquatted mlcrosoft.​co.​com. O ataque começa com JavaScript que inspeciona o ambiente da vítima, prosseguindo apenas se o usuário estiver fora da região CIS (Comunidade de Estados Independentes). A partir daí, a vítima é induzida a abrir o Script Editor do macOS via um link scheme especial contendo comandos ocultos com linhas em branco e ASCII art.

Após a execução inicial, um pop-up falso se apresenta como atualização do XProtectRemediator da Apple enquanto o malware baixa payloads via curl. A cadeia de coleta inclui descriptografia de dados salvos em Firefox, Chrome, Edge, Brave, Opera, Vivaldi, Arc e Orion, além de password managers como 1Password e carteiras como MetaMask. O Reaper também substitui aplicações legítimas de carteiras cripto por versões falsas para monitorar atividade futura. A persistência é particularmente engenhosa: cria uma estrutura de pastas oculta idêntica ao caminho legítimo do Google Software Update e estabelece comunicação com o C2 a cada 60 segundos, pronta para receber e executar comandos com os privilégios do usuário corrente.

Fontes:

• https://redasgard.com/blog/hunting-lazarus-part8-ottercookie

• https://hackread.com/reaper-malware-fake-microsoft-domain-macos-passwords/

Supply Chain e Integridade de Código

Ataque à cadeia de suprimentos do TanStack via envenenamento de cache no GitHub Actions

Por Equipe The Register

⚠️ O projeto TanStack sofreu um ataque à cadeia de suprimentos que explorou uma má configuração do recurso pull_request_target no GitHub Actions. Código malicioso derivado do worm Shai-Hulud, publicado pelo grupo TeamPCP, foi executado automaticamente via um pull request que envenenou o cache compartilhado de todo o repositório. O vetor é particularmente perigoso porque o pull_request_target executa workflows com os segredos e permissões do repositório alvo, não do fork, permitindo que um PR malicioso contamine a infraestrutura de CI/CD do projeto inteiro.

A resposta do TanStack foi agressiva: remoção completa do uso de pull_request_target, desativação de caches do pnpm e do GitHub Actions, fixação de actions por SHA de commit, desativação de SMS como segundo fator e adoção do minimumReleaseAge do pnpm 11 para exigir período mínimo de publicação de dependências. O debate mais radical agora é tornar pull requests apenas por convite, o que representaria uma ruptura fundamental com o modelo aberto de contribuição. Este incidente se conecta diretamente com os pacotes npm maliciosos documentados abaixo: o worm Shai-Hulud do TeamPCP está se espalhando por múltiplos vetores simultaneamente.

Quatro pacotes npm maliciosos com clones do worm Shai-Hulud e botnet DDoS

Por Moshe Siman Tov Bustan (OX Security)

A OX Security identificou quatro pacotes npm maliciosos publicados pelo mesmo usuário (deadcode09284814): chalk-tempalte, @deadcode09284814/axios-util, axois-utils e color-style-utils. Apesar de compartilharem o autor, os payloads são diferentes. O chalk-tempalte é um clone direto do código-fonte do Shai-Hulud vazado pelo TeamPCP. "O ator pegou o código e, quase sem nenhuma alteração, subiu uma versão funcional com seu próprio servidor C2 e chave privada para o npm", informou a OX Security.

O pacote axois-utils entrega o Phantom Bot, um botnet DDoS escrito em Go com capacidade de flood via HTTP, TCP e UDP, com persistência em Windows (pasta Startup e scheduled task) e Linux. Os outros três pacotes entregam payloads de roubo de credenciais, exfiltrando chaves SSH, variáveis de ambiente, credenciais cloud, dados de sistema e wallets cripto. As credenciais roubadas são enviadas ao C2 e também exportadas para repositórios públicos do GitHub via API, com a descrição "A Mini Sha1-Hulud has Appeared". O código open-source do Shai-Hulud está transformando a barreira de entrada para ataques supply chain em praticamente zero.

Alucinação de pacotes por LLMs: a faixa encurtou, mas a ameaça permanece

Por Aleksandr Churilov

Aleksandr Churilov, pesquisador independente, replicou a metodologia do estudo de Spracklen et al. (USENIX Security '25) sobre alucinação de nomes de pacotes por LLMs, agora aplicada a cinco modelos de ponta lançados entre outubro de 2025 e março de 2026: Claude Sonnet 4.6, Claude Haiku 4.5, GPT-5.4-mini, Gemini 2.5 Pro e DeepSeek V3.2. Por meio de 199.845 prompts pareados em Python e JavaScript validados contra os registros PyPI e npm, as taxas de alucinação ficaram entre 4,62% (Claude Haiku 4.5) e 6,10% (GPT-5.4-mini).

A compressão da dispersão entre modelos é uma ordem de magnitude menor do que a encontrada por Spracklen, mas o achado mais preocupante é o conjunto de 127 nomes de pacotes (109 no PyPI, 18 no npm) que todos os cinco modelos inventam de forma idêntica. Isso constitui uma superfície de ataque supply chain agnóstica de modelo que nenhum estudo com modelo único consegue revelar. O estudo também documenta uma inversão da assimetria Python/JavaScript encontrada em 2024 e uma semelhança Jaccard entre DeepSeek V3.2 e GPT-5.4-mini sugestiva de origens compartilhadas de dados de treinamento. Para quem faz slopsquatting, esses 127 nomes são alvos de ouro.

Fontes:

• https://www.theregister.com/security/2026/05/18/tanstack-weighs-invitation-only-pull-requests-after-supply-chain-attack/5241899

• https://thehackernews.com/2026/05/four-malicious-npm-packages-deliver.html

• https://arxiv.org/abs/2605.17062

AI e Segurança de Agentes

Resultado de impossibilidade: agentes de IA podem ser permanentemente vulneráveis a prompt injection

Por Sahar Abdelnabi e Eugene Bagdasarian

💡 Sahar Abdelnabi e Eugene Bagdasarian apresentam um argumento que merece atenção de qualquer equipe que opera ou defende sistemas com agentes de IA. O paper demonstra que o paradigma dominante de defesa contra prompt injection, a separação dados/instrução, falha em detectar ataques que operam por manipulação contextual e, ao mesmo tempo, degrada comportamento contextualmente apropriado. Os pesquisadores reformulam o problema por meio da lente da Contextual Integrity (CI), uma teoria de privacidade que avalia conformidade de fluxos de informação com normas contextuais.

Na prática, isso significa o seguinte: para cada política de bloqueio que um defensor implementa, um adversário pode sempre construir um contexto no qual o fluxo bloqueado parece legítimo. E, quando o defensor aperta as normas para fechar essa brecha, acaba bloqueando fluxos genuinamente legítimos. É um resultado de impossibilidade, não uma opinião. Os ataques são categorizados em três tipos: falsificação do fluxo, manipulação das normas e mistura de múltiplos fluxos. A conclusão é que a pesquisa atual aborda uma fração cada vez menor da superfície de ataque futura. Para times de red team, isso confirma o que muitos já intuíam: prompt injection não é um bug a ser corrigido, mas uma propriedade emergente de sistemas que processam linguagem natural como instrução.

Sleeper Memory Poisoning: envenenamento de memória persistente em assistentes LLM

Por Sidharth Pulipaka, Sahar Abdelnabi e Mario Fritz

Sidharth Pulipaka, Sahar Abdelnabi e equipe estudaram um vetor de ataque novo e preocupante: envenenamento de memória persistente em assistentes LLM. Diferentemente da prompt injection convencional, o ataque pode permanecer dormente e ressurgir ao longo de múltiplas conversações futuras. O adversário manipula contexto externo (documento, página web, repositório) para fazer o assistente armazenar uma memória fabricada sobre o usuário. Essa memória corrompida influencia interações posteriores sem que o usuário perceba.

Os resultados são expressivos: memórias envenenadas foram adicionadas em até 99,8% dos casos no GPT-5.5 e 95% no Kimi-K2.6. Entre as recuperações bem-sucedidas, as memórias envenenadas provocaram ações pretendidas pelo atacante em 60% a 89% das avaliações. Isso transforma a memória persistente em uma superfície de ataque de longo prazo. A implicação prática é direta: qualquer sistema que armazene contexto entre sessões para personalização precisa tratar a memória como dado não confiável. A maioria dos assistentes comerciais que oferecem "memória" como feature de produto não faz essa distinção.

Claw Chain: quatro vulnerabilidades encadeadas no OpenClaw permitem backdoor persistente

Por Cyera

A Cyera documentou o Claw Chain, um encadeamento de quatro vulnerabilidades no framework de agentes de IA OpenClaw que permite a um atacante com execução de código dentro da sandbox controlar o runtime do agente e comprometer o host subjacente. A cadeia começa com prompt injection, plugins maliciosos ou input externo comprometido para obter execução de código inicial. A partir daí, a race condition CVE-2026-44113 permite ler arquivos fora do mount root, enquanto o bug de análise de allowlist CVE-2026-44115 permite executar comandos não aprovados.

A escalação de privilégios vem via CVE-2026-44118, uma falha de loopback MCP que permite manipular a flag de ownership e alcançar nível de proprietário. Finalmente, a race condition crítica CVE-2026-44112 (CVSS 9.6) permite escrita fora da sandbox, plantando backdoors e modificando configurações do host. "Cada passo parece comportamento normal do agente para controles tradicionais, ampliando o raio de explosão e tornando a detecção significativamente mais difícil", observa a Cyera. Com mais de 60.000 instâncias OpenClaw publicamente acessíveis, a superfície exposta era considerável. Patches foram aplicados em 24 horas após o reporte em abril.

DP-SGD auditado: implementações reais vazam mais privacidade do que prometem

Por Wenhao Wang e equipe

Wenhao Wang e equipe reexaminaram as garantias de privacidade do DP-SGD (Differentially Private Stochastic Gradient Descent), o método mais usado para proteger dados de treinamento em machine learning. O problema identificado é um descompasso entre a análise formal e as implementações reais. A análise padrão modela o DP-SGD como Subsampled Gaussian Mechanism (SGM), mas implementações práticas aplicam um passo de normalização adicional, dividindo a soma ruidosa dos gradientes pelo tamanho esperado ou amostrado do batch.

Sob as formulações corrigidas (EASGM e ASGM), as garantias de privacidade podem ser mais fracas que as reportadas pela análise SGM padrão. A auditoria de quatro implementações de ponta, incluindo a biblioteca Opacus da Meta, confirmou vazamento empírico além das garantias baseadas em SGM. As versões v0.9.0 a v1.5.4 do Opacus foram auditadas. Para quem trabalha com ML em ambientes regulados, o achado é prático: a privacidade diferencial que sua organização está reportando aos reguladores pode ser mais fraca do que os números sugerem. As garantias corrigidas estão no paper.

Fontes:

• https://arxiv.org/abs/2605.17634

• https://arxiv.org/abs/2605.15338

• https://www.securityweek.com/claw-chain-openclaw-flaws-allow-sandbox-escape-backdoor-delivery/

• https://arxiv.org/abs/2605.15648

Ferramentas e Pesquisa Ofensiva

Automatizando pesquisa de vulnerabilidades em MS-RPC com fuzzing e Neo4j

Por Remco van der Meer (via core-jmp)

Remco van der Meer publicou uma pesquisa detalhada sobre automação de análise de segurança em interfaces MS-RPC, um protocolo fundamental para comunicação entre processos no Windows que representa uma superfície de ataque significativa por frequentemente rodar com identidades de alto privilégio. A ferramenta desenvolvida combina a geração dinâmica de clientes do módulo NtObjectManager de James Forshaw com capacidades de fuzzing, permitindo enviar inputs aleatórios para descobrir vulnerabilidades em métodos RPC expostos.

O diferencial está na visualização: os resultados do fuzzing são mapeados em grafos Neo4j que mostram relações entre interfaces, métodos, DLLs e resultados de crash. A abordagem resolve problemas reais de escala: analisar manualmente centenas de interfaces espalhadas por diferentes processos, serviços e endpoints é inviável para a maioria dos pesquisadores. A ferramenta também trata o desafio de tipos de parâmetros complexos e oferece heurísticas para identificar interfaces mais promissoras. Remco credita James Forshaw como inspiração principal pela qualidade excepcional do NtObjectManager e dos recursos que ele produz sobre vulnerabilidades MS-RPC.

Figura: diagrama detalhando os métodos de comunicação RPC remotos e locais, incluindo protocolos e portas. Fonte: Automating MS-RPC vulnerability research.

HDD Firmware Hacking: dump, análise, depuração JTAG e modificação de firmware de disco rígido

Por Ryan Miceli

Ryan Miceli publicou a primeira parte de uma série sobre hacking de firmware de HDD que começou como uma necessidade prática: explorar uma race condition no Xbox 360 que exigia atraso controlado na resposta de leitura do disco. A ideia era modificar o firmware do HDD para introduzir um delay de algumas centenas de milissegundos na leitura de um setor específico. Embora posteriormente tenha encontrado outras formas de explorar a race condition sem modificar o firmware, o trabalho de engenharia reversa que acumulou é valioso por si só.

O artigo cobre desde o dump de firmware até a depuração ao vivo via JTAG e a análise do formato de imagem de firmware, incluindo headers, checksums e estruturas de seção. O próximo post da série promete cobrir o uso de IA para análise de firmware de outros HDDs/SSDs e engenharia reversa black-box de uma ISA desconhecida, incluindo dar ao Claude acesso para depurar o disco. Para quem trabalha com segurança de dispositivos embarcados ou pentest físico, a perspectiva de modificação de firmware de armazenamento abre vetores de persistência que operam abaixo de qualquer sistema operacional.

Speed Kills: ataques Confused Deputy via aceleradores de IA em dispositivos edge

Por Datta Manikanta Sri Hari Danduri e Aravind Kumar Machiry

💡 Datta Danduri e Aravind Machiry conduziram o primeiro estudo aprofundado de Confused Deputy Attacks (CDAs) usando aceleradores de IA (AIAs) em dispositivos edge. O conceito central é simples e poderoso: aceleradores de IA como TPUs não estão sujeitos às restrições do sistema operacional e têm visibilidade limitada dos mecanismos de segurança do processador de aplicação. Isso significa que não distinguem entre memória do kernel e memória de aplicação, nem respeitam o isolamento de processos. Uma aplicação maliciosa pode enganar o acelerador para realizar operações privilegiadas em seu nome.

O framework DeputyHunt, assistido por LLM, extrai informações relevantes para CDAs de cada acelerador por meio de análise dinâmica e estática. A análise de sete AIAs de vendors como Google, NVIDIA, Hailo, Texas Instruments, NXP, AWS e Rockchip revelou que o ataque é viável em seis dos sete, impactando mais de 128 SoCs e mais de 100 milhões de dispositivos. O CVE-2025-66425 foi atribuído. A defesa proposta (validação sob demanda) adiciona apenas ~15% de overhead no simulador Gem5-salam. O achado redefine o modelo de ameaça para qualquer dispositivo edge com acelerador de IA.

Fontes:

• https://core-jmp.org/2026/05/automating-ms-rpc-vulnerability-research/

• https://icode4.coffee/?p=1465

• https://arxiv.org/abs/2605.17707

⚡ Quicklinks

Glass: alternativa open-source ao IDA Pro com aceleração por GPU

Por azw413

Ferramenta de engenharia reversa gratuita, open-source e escrita em Rust, voltada para análise de aplicativos Android e iOS. Oferece desmontagem detalhada e interface moderna com aceleração por GPU. Ainda em expansão de plataformas, mas já representa uma alternativa acessível para profissionais de reversing que não querem depender de licenças caras do IDA Pro (desenvolvedor ambicioso e pouco humilde!rs).

ExploitBench: benchmark para medir capacidade de agentes de IA em exploração de vulnerabilidades

Por Equipe ExploitBench

Plataforma escalável para benchmarking de agentes de IA na exploração de vulnerabilidades, com foco inicial em bugs do motor V8. Mede o progresso em estágios: alcançar o código vulnerável, disparar o bug, construir primitivas de exploit e chegar à execução arbitrária de código. Ambientes customizáveis e rastreamento detalhado.

Fontes:

• https://github.com/azw413/Glass

• https://github.com/exploitbench/exploitbench

// EOF

A edição de hoje atravessa um arco temporal impressionante: a CISA demonstra que a agência encarregada de ensinar higiene de credenciais ao governo americano não consegue aplicar as próprias regras. O worm Shai-Hulud prolifera por npm e GitHub Actions simultaneamente, aceleradores de IA ignoram o isolamento do sistema operacional em 100 milhões de dispositivos e a memória persistente de assistentes LLM se revela uma superfície de ataque de longo prazo. A mensagem que conecta tudo é que a complexidade continua crescendo mais rápido que a capacidade de defesa. A melhor coisa que você pode fazer esta semana é escolher um desses temas e ir fundo.

Curadoria:
The Old Pirate