VM Escape, 0-day em PeopleSoft e Exchange Spoofing

Esta edição chega pesada. A Exodus Intelligence detalhou um VM escape no VirtualBox que ressuscita memória liberada para escapar da máquina virtual, apresentado na OffensiveCon 2026. O grupo ShinyHunters explorou um SSRF crítico no Oracle PeopleSoft por mais de duas semanas sem reação, comprometendo centenas de organizações. A InfoGuard revelou o Ghost-Sender, uma técnica de spoofing universal contra o Exchange Online que ignora SPF, DKIM e DMARC. E, no LiteLLM, três CVEs encadeados levam um usuário de baixo privilégio ao controle total do servidor, expondo chaves de dezenas de provedores de IA.

Vulnerabilidades e Exploits

Zombie COTables: VM Escape no VirtualBox via Use-After-Free no SVGA-II

Por Exodus Intelligence

🔥 A Exodus Intelligence publicou a pesquisa apresentada na OffensiveCon 2026 sobre uma vulnerabilidade use-after-free no dispositivo virtual VMware SVGA-II do VirtualBox, corrigida no Oracle Critical Patch Update. Apelidada de Zombie COTables, a falha permite que um atacante dentro de uma VM Linux ressuscite memória já liberada para escapar da máquina virtual. Estamos falando de VM escape, um dos cenários de maior impacto em ambientes virtualizados.

O artigo percorre toda a superfície de ataque via portas I/O e MMIO do dispositivo SVGA, detalha a análise da vulnerabilidade e descreve a estratégia completa de exploração. É o tipo de pesquisa que exige meses de trabalho em engenharia reversa de hypervisor e compreensão profunda do modelo de memória do VirtualBox. Para quem gerencia infraestrutura virtualizada, a mensagem é clara: verifique se o patch de janeiro já foi aplicado.

Ghost-Sender: Spoofing Universal no Exchange Online Ignora SPF, DKIM e DMARC

Por InfoGuard

A InfoGuard divulgou o Ghost-Sender, uma técnica de email spoofing que permite enviar mensagens de qualquer remetente (interno ou externo) para qualquer destinatário em um tenant vulnerável do Exchange Online, ignorando completamente políticas SPF, DKIM e DMARC. A falha aparece quando o Exchange Online opera com registro MX apontando para soluções de filtragem de terceiros. Ao enviar e-mails diretamente para o Exchange Online, contornando o filtro externo, as mensagens são entregues sem qualquer aviso de spoofing. Para remetentes internos, o Outlook inclusive resolve a foto de perfil do suposto remetente, aumentando a credibilidade do ataque.

Segundo análise preliminar no momento da publicação, menos da metade dos ambientes com registro MX externo possui alguma mitigação aplicada. Mais de 20% dos domínios de programas de bug bounty que usam o Exchange Online também estão vulneráveis. A Microsoft confirmou que há abuso ativo e chegou a implantar uma mitigação que depois foi revertida. Uma ferramenta de teste foi disponibilizada pela equipe da InfoGuard. Se o seu ambiente usa Exchange Online com MX externo, a hora de verificar é agora.

Bypass de Autenticação de 27 Anos no Stack PPP do OpenBSD

Por Argus Systems

A Argus Systems documentou uma falha de bypass de autenticação no subsistema sppp(4) do OpenBSD que existia desde julho de 1999. São 27 anos. O bug vive na função sppp_pap_input(), responsável pela verificação de credenciais PAP. Quando o sistema atua como autenticador PAP, ele compara o nome e a senha recebidos com os valores configurados usando bcmp. O problema é que os campos name_len e passwd_len vêm diretamente do frame PAP, ou seja, são controlados pelo atacante. E bcmp(buf, ref, 0) sempre retorna zero, independentemente do conteúdo dos buffers.

Basta enviar um PAP Auth-Request com name_len=0 e passwd_len=0 para que ambas as chamadas a bcmp retornem sucesso. A autenticação é concluída sem que nenhuma credencial tenha sido fornecida. Há ainda uma falha secundária com a mesma causa: enviar um name_len maior que a alocação real causa um over-read do heap do kernel. O handler CHAP no mesmo arquivo já tinha a verificação correta de tamanho exato havia décadas. O handler PAP simplesmente nunca recebeu o mesmo tratamento. O sistema que ostenta o lema "apenas dois remote holes na instalação padrão" conviveu 27 anos com um bypass em que zero bytes de credencial bastam para autenticar.

CVE-2026-48907: Joomla JCE com CVSS 10.0 Sob Exploração Ativa e Automatizada

Por The Hacker News

A CISA adicionou ao catálogo KEV a CVE-2026-48907 (CVSS 10.0), uma falha de controle de acesso impróprio no Joomla Content Editor (JCE) que permite upload e execução de código PHP via criação de perfis de editor para usuários não autenticados. As versões afetadas vão de 1.0.0 até 2.9.99.4. A correção está na versão 2.9.99.5, publicada em 3 de junho de 2026.

A própria Joomla alertou que "a vulnerabilidade está sendo explorada ativamente, código de exploit funcional é público, e os ataques são automatizados". Phil E. Taylor, do mySites.​guru, detalhou que o ataque consiste em importar um perfil de editor malicioso e usá-lo para depositar um web shell, garantindo backdoor persistente no servidor. É importante notar que atualizar fecha o ponto de entrada, mas não remove o que o atacante já tenha deixado. Auditoria de perfis de editor e revisão dos logs de acesso ao endpoint de importação são passos obrigatórios para quem usa JCE.

Fatorando Chaves RSA Short-Sleeve com Polinômios

Por Keegan Ryan (Trail of Bits) e Hanno Böck (badkeys)

Keegan Ryan, da Trail of Bits, em colaboração com Hanno Böck, do projeto badkeys (via core-jmp), demonstrou que chaves RSA geradas a partir de chaves privadas com bits fortemente enviesados para zero deixam um rastro detectável na chave pública. O método de fatoração é engenhoso: em vez de atacar a fatoração inteira diretamente, a estrutura "short-sleeve" permite reinterpretar o módulo RSA como um polinômio com coeficientes pequenos, tratando o tamanho do limb do inteiro como base. Fatorar o polinômio é um problema muito mais tratável. Reavaliar os fatores polinomiais na base original do limb-size recupera os primos do módulo.

A equipe recuperou 603 chaves privadas RSA e 74 chaves DSA de varreduras na internet em hosts CompleteFTP, mais 26 chaves RSA correspondentes ao Pattern 1 não identificado. O Pattern 1 apareceu em certificados expirados de CT-logs de organizações como Yahoo e Verizon e em dispositivos NetApp. O Pattern 2 foi rastreado até um bug de type-mismatch no path de RNG big-integer de versões antigas do CompleteFTP da EnterpriseDT. O CompleteFTP lançou ferramenta de detecção na versão 26.1.0 (8 de maio de 2026) e o badkeys agora também sinaliza módulos short-sleeve.

Fontes:

• https://blog.exodusintel.com/2026/06/15/zombie-cotables-resurrecting-freed-memory-to-escape-virtualbox/

• https://labs.infoguard.ch/posts/ghost-sender/

• https://blog.argus-systems.ai/blog/openbsd-pap-27-year-auth-bypass.html

• https://thehackernews.com/2026/06/cisa-warns-of-actively-exploited-joomla.html

• https://core-jmp.org/2026/06/factoring-short-sleeve-rsa-keys-with-polynomials/

Inteligência de Ameaças

ShinyHunters Exploram 0-day no Oracle PeopleSoft por Semanas Antes de Qualquer Reação

Por Google Mandiant (via Ars Technica)

⚠️ O grupo ShinyHunters explorou por mais de duas semanas a CVE-2026-35273 (CVSS 9.8), um SSRF no Oracle PeopleSoft, antes que a Oracle sequer sinalizasse o problema. Segundo a equipe Mandiant, do Google, aproximadamente 300 endpoints de cerca de 100 organizações foram alvejados desde 27 de maio, com 68% dos alvos concentrados no setor de educação superior. A Universidade de Nottingham confirmou o comprometimento de volume significativo de dados estudantis.

A Oracle emitiu mitigação parcial, mas o patch completo ainda não foi disponibilizado. Um detalhe operacional relevante: os atacantes deixaram acessível um servidor de staging com as ferramentas utilizadas na campanha. Para quem mantém instâncias PeopleSoft, a mitigação parcial não substitui o monitoramento ativo de indicadores de comprometimento. A exposição é real, massiva e documentada.

Atomic Arch: 400+ Pacotes AUR Comprometidos com Stealer e Rootkit eBPF

Por The Hacker News e sha0coder

⚠️ Mais de 400 pacotes no Arch User Repository (AUR) foram comprometidos na campanha Atomic Arch. O atacante adotou pacotes órfãos e modificou seus PKGBUILD para executar npm install atomic-lockfile, que carrega um stealer em Rust chamado deps. O malware coleta cookies, tokens (GitHub, npm, HashiCorp Vault, OpenAI), chaves SSH, credenciais Docker/Podman e dados de navegadores Chromium e apps Electron como Slack, Discord e Teams.

A exfiltração ocorre via HTTP para temp.​sh e o C2 opera por serviço onion Tor. Com privilégios de root, o binário também carrega um rootkit eBPF para ocultar sua presença. A análise técnica mostra que o objeto eBPF está embutido como ELF válido (machine EM_BPF) no .rodata do binário, passado diretamente para bpf_object__open_mem. Pode ser extraído estaticamente por varredura do magic ELF com cálculo de tamanho via section-header table. A persistência usa serviços systemd com Restart=always em nível de sistema e de usuário. Quem mantém sistemas Arch deve auditar imediatamente os pacotes AUR instalados.

UNC6508 e InfiniteRed: Espionagem Chinesa Dentro de Redes de Pesquisa Médica por Mais de Um Ano

Por Google GTIG e Mandiant

O Google Threat Intelligence Group (GTIG), em conjunto com a Mandiant, revelou uma campanha de espionagem do ator chinês UNC6508 contra servidores REDCap, plataforma amplamente usada em pesquisa médica e científica. O comprometimento de uma instituição médica norte-americana permaneceu indetectado por mais de um ano. Foram afetadas organizações clínicas, centros acadêmicos, instituições militares de saúde e órgãos regulatórios nos Estados Unidos e no Canadá.

O malware customizado InfiniteRed é composto por três módulos: persistência (via trojanização de arquivos de sistema do servidor), harvester de credenciais (que captura logins via páginas do REDCap) e um backdoor que permite execução de comandos, upload e download de arquivos, queries SQL arbitrárias e recuperação de credenciais roubadas. Uma técnica inédita foi observada: o abuso de regras de conformidade de conteúdo de ferramentas corporativas legítimas para exfiltrar dados automaticamente via BCC para um endereço Gmail, usando palavras-chave relacionadas a pesquisa médica, tecnologia avançada e tópicos militares. É exfiltração silenciosa embutida na infraestrutura legítima da própria vítima.

Figura: componentes do malware Infinitered implantado em servidores REDCap comprometidos. Fonte: BleepingComputer.

Fontes:

• https://arstechnica.com/security/2026/06/peoplesoft-0-day-affecting-hundreds-of-organizations-steals-gigabytes-of-data/

• https://thehackernews.com/2026/06/over-400-arch-linux-aur-packages.html

• https://www.bleepingcomputer.com/news/security/chinese-hackers-breach-redcap-servers-steal-medical-research/

Evasão e Red Team

tabby: Framework Minimalista de Shellcode PIC com Syscalls Indiretas

Por cocomelonc

O projeto tabby, de cocomelonc (via core-jmp), oferece um framework minimalista para construção de shellcode position-independent (PIC) para Windows x64, escrito inteiramente em C com toolchain Linux (mingw-w64 + nasm). O framework combina recuperação de endereço-base via RDIP, PEB/EAT walking com hashes FNV-1a, macro de stack-strings (sem dados em .rdata) e syscalls indiretas.

Na técnica de syscalls indiretas, cada stub salta para os bytes syscall; ret já existentes dentro da ntdll, fazendo com que o kernel enxergue um endereço de retorno legítimo. Isso evita detecção por EDRs que inspecionam call stacks procurando endereços de retorno fora de módulos conhecidos. O resultado é um .bin plano sem PE header, IAT ou CRT, produzido em aproximadamente 500 linhas de C e 80 de NASM. É compacto, funcional e serve como base educacional sólida para quem quer entender a construção de shellcode moderno.

DCOMIllusionist: Movimento Lateral Fileless via Desserialização .NET DCOM

Por Synacktiv

A Synacktiv publicou o DCOMIllusionist (via core-jmp), uma implementação em C# de um primitivo de lateral movement via desserialização .NET DCOM. A técnica original foi descrita por James Forshaw e é a mesma base que sustentou a família "Potato" de privilege escalation. Dado o acesso de administrador local no host atacante e no alvo, mais o alcance de rede do alvo para o atacante, a ferramenta reconfigura remotamente chaves de registro para expor um CLSID .NET como servidor DCOM, força o servidor a buscar um objeto serializado do atacante via interface IManagedObject e GetSerializedBuffer, e deixa o BinaryFormatter do .NET transformar esse objeto em execução de código arbitrário em memória. Nada é escrito em disco no alvo.

As features operacionais são o diferencial: exploração cross-session via session-moniker (no contexto de um domain admin logado em outra sessão), gadget HTTP (--curl) para relay NTLM via ntlmrelayx.​py, loader de DLL .NET in-memory (--load-dll), modo de acesso indireto (--listen) via socat relay, variante para baixo privilégio (--hku + --fake-clsid) usando Performance Log Users ou Distributed COM Users e cleanup automático de registry via backup-and-restore. Todo o catálogo de gadgets do ysoserial.​net está em escopo.

QoS Policies: Estrangulando a Telemetria do EDR com Políticas de Rede do Próprio Windows

Por iPurple Team

A iPurple Team documentou como políticas de Quality of Service (QoS) do Windows podem ser abusadas por atacantes com privilégios elevados para estrangular a banda de saída de agentes EDR, impedindo o envio de telemetria para o console cloud. A técnica consiste em criar uma política QoS via PowerShell ou WMI apontando para o processo do EDR com o parâmetro ThrottleRateActionBitsPerSecond configurado para um valor ínfimo, como 8 bits por segundo.

Com 8 bps, a conexão não consegue sequer completar o handshake TLS 1.3, que requer de 3 a 6 KB para autenticação apenas do servidor com cadeia de certificados pequena e de 6 a 15 KB para cadeias maiores, causando timeout no agente. Os pacotes não são descartados como na técnica de EDR Silencing. Eles simplesmente trafegam devagar demais para que qualquer protocolo moderno funcione. A prova de conceito EDRChoker recebe uma lista de processos de EDR conhecidos e cria políticas QoS individuais para cada um, tudo via WMI. Diferentemente de técnicas que mexem em regras de firewall ou hooks, políticas QoS são um recurso legítimo do sistema e raramente monitoradas pelas equipes de defesa. Grimur Grimursson demonstrou a eficácia do abuso de ThrottleRateActionBitsPerSecond para estrangular a telemetria enviada ao console cloud. A iPurple Team ressalva, contudo, que a técnica não compromete regras de EDR executadas localmente no endpoint, como ocorre com o stack do CrowdStrike.

Figura: O diagrama ilustra a aplicação de uma política de QoS para limitar o tráfego de rede do agente EDR `edragent.​exe` a 16 KB/s, utilizando o comando PowerShell `New-NetQosPolicy` e o componente… Fonte: QoS Policies.

Fontes:

• https://core-jmp.org/2026/06/tabby-cocomelonc-shellcode-framework-windows-x64/

• https://core-jmp.org/2026/06/synacktiv-dcomillusionist-dcom-fileless-lateral-movement/

• https://ipurple.team/2026/06/17/qos-policies/

AI e Segurança

PromptSnatcher: Extensões de Ad Blocker Exfiltram Conversas de IA

Por Equipe da Malext

Duas extensões de navegador disfarçadas de ad blockers, Smart Adblocker (~80.000 usuários) e Adblock for Browser (~10.000 usuários), operam a campanha PromptSnatcher (Panel 231). As extensões interceptam e exfiltram conversas de todas as principais plataformas de IA: ChatGPT, Claude, Gemini e outras (beep rfds!). O bloqueio de anúncios funcional usando listas públicas (EasyList, IDCAC) serve como cobertura, enquanto um motor de captura customizado baixa lógica de parsing específica por plataforma via endpoint /configuration do C2 em tempo de execução.

Isso permite adicionar novos alvos sem atualização na store, tornando a análise estática praticamente inútil. Metadados de conta, tier de uso e conteúdo completo das conversas são capturados. A comunicação interna usa o protocolo LDP_MESSAGE com domínios dedicados por extensão. A sofisticação está na modularidade: o payload de captura é entregue dinamicamente. Se você usa extensões de ad blocker com poucos reviews ou de publishers pouco conhecidos, vale uma auditoria imediata.

LiteLLM: Cadeia de Três CVEs Escala de Usuário Comum a Controle Total do Servidor

Por Obsidian Security (via The Hacker News)

A Obsidian Security divulgou uma cadeia de três vulnerabilidades no LiteLLM, gateway open-source de IA que intermedia chamadas para mais de 100 provedores de modelos, classificada como CVSS 9.9. O LiteLLM opera como chokepoint: um comprometimento expõe a master key, a salt key que decifra credenciais armazenadas, a URL do banco de dados e todas as chaves de provedores configurados (OpenAI, Anthropic, Gemini, Bedrock, Azure e mais). A correção completa está na versão v1.83.14-stable, lançada em 2 de maio.

A cadeia funciona assim: a CVE-2026-47101 é um bypass de autorização que permite a um usuário comum (internal_user) gerar uma chave de API virtual com allowed_routes: ["/*"], um wildcard que alcança todas as rotas, incluindo as administrativas. A CVE-2026-47102 é uma escalação de privilégios via endpoint /user/update, que permite ao atacante editar seu próprio registro com user_role: "proxy_admin", promovendo-se a administrador completo (CVSS 4.0 de 8.7; 3.1 de 8.8, segundo a VulnCheck). A CVE-2026-40217 é um escape de sandbox no Custom Code Guardrail, em que exec() recebe um dicionário de globals sem __builtins__, e o Python silenciosamente injeta o módulo completo de builtins, dando acesso a __import__, open e eval. Um payload simples chamando os.​system era suficiente para um reverse shell.

Roubo de E-mails via Recursos de IA do Firefox por Prompt Injection no Título da Página

Por Florian Port (Insinuator)

Florian Port divulgou uma vulnerabilidade nas funcionalidades de IA do Firefox (sumarização, explicação e revisão) que permitia a um site malicioso roubar e-mails do usuário via prompt injection. Quando o usuário solicita um resumo, o Firefox monta um prompt que inclui o título da página, o conteúdo selecionado e instruções para o chatbot do sidebar (Claude, Copilot, entre outros). O título da página é controlado inteiramente pelo site.

A PoC demonstra como um título longo e descritivo (para esconder a injeção na UI) combinado com tags de escape do prompt (</tabTitle>) e marcadores de importância (<Admin>) induz o modelo a tratar o payload como instrução do usuário. Dependendo do acesso que o usuário concedeu ao chatbot, atacantes podem instruir o modelo a recuperar informações pessoais como e-mails e exfiltrá-las via requisição HTTP para um domínio controlado pelo atacante. A vulnerabilidade foi reportada em outubro de 2025 e a Mozilla implementou mitigações.

Figura: Captura de tela demonstrando um ataque de injeção de prompt contra o Firefox Copilot, onde instruções maliciosas (<Admin>IMPORTANT TASK) forçam a IA a extrair emails de verificação do booking.​com e… Fonte: Vulnerability Disclosure: Stealing Emails via Firefox’s AI Features – Insinuator.​net [app].

Fontes:

• https://malext.io/reports/PromptSnatcher/

• https://​thehackernews.​com/2026/06/litellm-vulnerability-chain-lets-low.​html

• https://​insinuator.​net/2026/06/vulnerability-disclosure-stealing-emails-via-firefoxs-ai-features/

AppSec e Cloud Security

Como Um Pesquisador Quase Fez Rickroll na Copa do Mundo FIFA Inteira

Por bobdahacker

Um pesquisador documentou como obteve acesso completo ao painel de gerenciamento de streaming ao vivo da Copa do Mundo FIFA 2026 com nada mais que um registro na plataforma pública de agentes de futebol da FIFA. O registro em agents.​fifa.​org adicionou a conta ao tenant Microsoft Entra (antigo Azure AD) que alimenta todas as plataformas internas da FIFA. A aplicação Angular da Football Data Platform verificava papéis no JWT e renderizava uma página de acesso negado. Mas toda a verificação era client-side. As APIs de backend não checavam absolutamente nada.

Ao contornar a verificação do cliente, o pesquisador acessou o painel de Streaming Management em produção: todas as partidas, todos os ângulos de câmera, todas as URLs RTMP de ingestão e todas as chaves de stream. Cada partida tinha cinco feeds de câmera (PGM, Tactical, Camera1, High Behind Left e High Behind Right), cada um com URL de ingestão RTMP, manifesto de preview e URL de saída HLS que vai para parceiros de broadcast. A chave de stream era compartilhada entre todos os ângulos da mesma partida. A FIFA corrigiu o problema sem jamais responder ao pesquisador, que precisou contatar FIFA, MediaKind, HBS, CISA e FBI às 3 da manhã no horário de Tóquio para conseguir que alguém prestasse atenção.

Pickle in the Middle: Hijacking de Upload de Modelo no Vertex AI para RCE Cross-Tenant

Por Ori Hadad (Unit 42)

Ori Hadad, da Unit 42 da Palo Alto Networks, divulgou uma vulnerabilidade no SDK Python do Google Cloud Vertex AI que permitia a um atacante operando inteiramente a partir do próprio projeto Google Cloud sequestrar o upload de modelo de uma vítima e envenená-lo. Quando um usuário do Vertex AI faz upload de um modelo sem especificar um bucket de staging customizado, o SDK constrói um nome de bucket usando um padrão determinístico baseado no ID do projeto e na região.

Um atacante que conhece o ID do projeto da vítima pode criar esse bucket preventivamente no próprio projeto, técnica conhecida como bucket squatting. O SDK então silenciosamente faz upload dos artefatos do modelo para o bucket controlado pelo atacante. Em uma janela de oportunidade, o atacante substitui o modelo legítimo por um com payload malicioso. Quando a vítima faz deploy do modelo comprometido, o código do atacante executa. O nome Pickle in the Middle referencia o uso de desserialização do módulo pickle do Python como vetor. O problema afetou as versões 1.139.0 e 1.140.0 do SDK google-cloud-aiplatform e foi corrigido pelo Google em versões posteriores do SDK ao longo de 2026.

Mastra npm Comprometido: Conta de Mantenedor Sequestrada Trojaniza Todo o Escopo em 27 Minutos

Por Endor Labs

⚠️ A Endor Labs reportou que um atacante sequestrou a conta de um mantenedor do Mastra, um toolkit open-source para construção de aplicações de IA criado pelo time por trás do Gatsby, e em uma janela de 27 minutos republicou todo o catálogo do escopo @mastra no npm. O código do Mastra em si não foi alterado. Em cada pacote, o atacante mudou uma única linha, adicionando uma dependência para easy-day-js, um typosquat da biblioteca amplamente utilizada dayjs.

O alcance é significativo: os componentes do Mastra somam mais de 28 milhões de downloads por mês. O easy-day-js executava um payload remoto no momento da instalação. É um padrão clássico de supply chain attack via npm: conta comprometida, janela curta, modificação cirúrgica e dependência typosquat como veículo. Para equipes que consomem pacotes do ecossistema Mastra, a verificação de lockfiles e a auditoria de dependências transitivas devem ser prioridade imediata.

Fontes:

• https://bobdahacker.com/blog/fifa-hack

• https://unit42.paloaltonetworks.com/hijacking-vertex-ai-model/

• https://www.endorlabs.com/learn/mastra-npm-org-compromised-multiple-packages-trojanized-to-drop-a-remote-payload-via-easy-day-js

⚡ Quicklinks

Um Prompt, Um Shell Não Autenticado no Seu Laptop, Aberto para a Internet

Por KonaSense

Nosso amigo Rafael Silva (rfds) da KonaSense documentou o terceiro episódio da série Agent Control Plane, mostrando como um agente de codificação (Claude Code) entregou um shell interativo ao vivo, acessível por qualquer pessoa na internet, sem login e sem segundo fator, em 20 segundos a partir de um único prompt. O usuário pediu para configurar uma sessão de pair programming com sshx.​io. O agente verificou o binário, iniciou o sshx em background, leu a URL pública do arquivo de saída e a apresentou ao usuário. Nenhum checkpoint humano entre o prompt e um shell público na internet. A URL resultante dava acesso a um terminal completo rodando como o usuário local, com todos os grupos e permissões do macOS. O sshx é uma ferramenta legítima, open-source, MIT-licensed, com 7,4 mil stars no GitHub. O problema não está na ferramenta, mas no fato de que agentes de IA tomam decisões de segurança com impacto de infraestrutura sem qualquer validação e monitoramento adequado.

HallWatch: Detector de Syscalls Indiretas em User-Mode

Por Zypherion Technologies

O HallWatch é um detector em user-mode que captura syscalls indiretas sobrescrevendo bytes de syscall com breakpoints e utilizando VEH handlers com múltiplas verificações. Cobre técnicas como Hell's Gate, Tartarus' Gate, RecycledGate e variantes VEH. É uma ferramenta do lado defensivo que complementa diretamente frameworks como o tabby descrito nesta edição.

WasmForge: Executáveis Polimórficos via WASM Sandbox

Por Praetorian

A Praetorian lançou o WasmForge, ferramenta que compila programas Go e C# em executáveis nativos de binário único, sandboxados via WASM e com saída polimórfica. A ideia é gerar executáveis que variam a cada build, dificultando a criação de assinaturas estáticas de detecção.

Fontes:

• https://www.konasense.com/blog/one-prompt-one-unauthenticated-shell-on-your-laptop-open-to-the

• https://github.com/Zypherion-Technologies/HallWatch

• https://github.com/praetorian-inc/wasmforge/

🤖 Out of Curiosity

Carta Aberta Pede Liberação dos Modelos Fable e Mythos da Anthropic

Por Múltiplas fontes (via AiDrop)

Mais de 100 executivos e líderes técnicos de segurança cibernética assinaram uma carta endereçada ao governo dos Estados Unidos pedindo a suspensão dos controles de exportação sobre os modelos Fable e Mythos da Anthropic. O argumento central é que, embora modelos da classe Mythos sejam eficazes em encontrar vulnerabilidades e gerar exploits, eles não são excepcionalmente superiores a alternativas já disponíveis, incluindo modelos chineses de pesos abertos. Restringir o acesso dos defensores enquanto adversários avançam livremente seria contraproducente para a postura de segurança ocidental.

Fontes:

• https://www.aidrop.news/p/carta-aberta-liberacao-fable

// EOF

Edição densa. VM escape que ressuscita memória, campanhas de espionagem dormindo por anos dentro de redes médicas e a constatação crescente de que agentes de IA com acesso a ferramentas tomam decisões de infraestrutura que nenhum humano aprovaria conscientemente.

Três insights técnicos que merecem leitura segunda vez nesta edição:

Hardening que vira backdoor. O bypass de 27 anos no PPP do OpenBSD não nasceu do bcmp(buf, ref, 0) original. Foi o commit de 2009, ao trocar arrays fixos por malloc(strlen()+1) e elevar o limite de 64 para 255 bytes, que materializou o over-read de heap. O hardening preservou o bug antigo e adicionou um novo.

Detalhe silencioso de toolchain. No tabby, o -mcmodel=small do mingw-w64 é a peça que ninguém comenta e que sustenta tudo. Sem ele, o compilador insere .refptr em .rdata apontando para VMA de link-time, e como o linker script força VMA=0, qualquer acesso a global vira AV silencioso. Reproduzir a técnica em outro toolchain sem esse flag quebra sem explicar por quê.

A diferença entre trigger e primitivo. No DCOMIllusionist, a sacada do Synacktiv sobre o PoC do Forshaw foi trocar o PointerMoniker GUID pelo standard marshaller GUID no OBJREF. Forshaw conseguia disparar autenticação, suficiente para Potato. O standard marshaller permite forjar OBJREFs funcionais, transformando o gatilho em execução remota completa.

O tema recorrente desta semana não é a sofisticação dos ataques, mas a persistência de erros fundamentais. A complexidade está na exploração. A causa raiz continua sendo preguiça ou pressa no design. Se alguma coisa desta edição afeta o seu ambiente, não espere a próxima reunião de alinhamento. Corrija agora.

Curadoria:
The Old Pirate, que sabe que memória liberada nunca está realmente morta