BootROM da Apple Furada, Insights de Incidentes recentes e Bypass de Conditional Access no Entra ID

A Paradigm Shift publicou o usbliter8, um exploit permanente na SecureROM dos chips Apple A12 e A13 que nenhuma atualização de software pode corrigir. No Brasil, o sistema de alertas da Defesa Civil foi acessado de forma não autorizada com credenciais possivelmente vazadas e senhas que ninguém trocou em anos. A pesquisa LACUNA Chain: Ghost Frames demonstra como falsificar a pilha de chamadas no kernel do Windows para enganar detecção de EDRs baseada em call stack. Uma vulnerabilidade batizada de PixelSmash no decodificador MagicYUV do FFmpeg coloca em risco tudo que processa vídeo. E o Cobalt Strike 4.13 traz um interpretador de C embarcado no Beacon que elimina a necessidade de compilar BOFs. Boa leitura.

Vulnerabilidades e Exploits

OXLOADER: Shellcode na Seção .reloc Passa Despercebido pela Maioria dos Engines

Por Elastic Security Labs

A Elastic Security Labs documentou o OXLOADER, um loader que posiciona shellcode na seção .reloc do PE. Toolchains legítimos não emitem código nessa seção, o que deveria ser um red flag óbvio em análise estática. Na prática, porém, a maioria dos engines de detecção não está capturando essa técnica e as taxas de detecção permanecem baixas.

O ponto interessante aqui não é a sofisticação do OXLOADER, mas sim o gap entre o que é teoricamente detectável e o que os motores realmente detectam em produção. O que não é nenhuma novidade para quem tem experiência nesse assunto. A seção .reloc é usada pelo loader do Windows para ajustar endereços de base e raramente contém código executável. Boa parte dos engines foca em seções mais tradicionais como .text e .data, a .reloc vira um ponto cego conveniente para atacantes. Como a própria Elastic destacou: "Legitimate toolchains don't emit code into .reloc. It's a static-analysis red flag, but most engines aren't catching it in practice."

C2 via Link Preview do Slack: Bypass de Controles Corporativos com Tráfego Invisível

Por rwxstoned

A técnica documentada por rwxstoned explora o recurso de link preview do Slack para contrabandear comunicação C2 em ambientes corporativos com controles rigorosos. A observação é simples e elegante: quando um usuário posta um link HTTPS no Slack, a requisição para buscar o preview é feita pelos servidores do Slack, não pelo computador ou proxy do usuário. As ferramentas corporativas e equipe de detecção têm zero visibilidade sobre esse tráfego.

O canal C2 funciona assim: o implante envia comandos como parâmetros em URLs postadas no Slack via DM para si mesmo (sem gerar notificação). O servidor do Slack faz o GET para buscar o preview, e a resposta do teamserver é embutida em tags HTML meta description que o Slack extrai para montar a visualização. O header X-Slack-Allowed-Workspaces-Requester, que deveria bloquear acessos a tenants não autorizados, é contornado porque o tráfego real acontece entre a infraestrutura do Slack e o listener. A implementação usa o framework Mythic com payload Medusa em Python e está disponível para reprodução.

usbliter8: Exploit Permanente na SecureROM da Apple A12/A13

Por Paradigm Shift, SecurityWeek e The Hacker News

🔥 A Paradigm Shift divulgou o usbliter8, um exploit que alcança execução arbitrária de código na SecureROM dos chips Apple A12 e A13. A SecureROM é o primeiro código que um iPhone executa ao ligar e está gravada em silício na fabricação. Não existe patch. A vulnerabilidade está no controlador USB Synopsys DWC2: quando o controlador reinicia o ponteiro de escrita DMA após o terceiro pacote USB Setup, ele sempre decrementa DOEPDMA em 24 bytes, mas aceita payloads menores, de 12 bytes. Essa diferença gera um buffer underflow repetível via DMA, permitindo escrita regressiva na SRAM sem qualquer autenticação.

Nos chips A12 e A13, o DART (a IOMMU da Apple) opera em modo bypass na SecureROM, o que permite ao DMA alcançar memória arbitrária. No A13, em que o PAC protege endereços de retorno na stack, a equipe contornou a proteção corrompendo estruturas de heap do DART e sobrescrevendo o ponteiro do handler de interrupção USB na BSS. O ataque requer posse física do dispositivo em modo DFU e um microcontrolador RP2350, completando-se em menos de dois segundos.

Os dispositivos afetados incluem iPhone XS, XR, 11 (todas as variantes), iPhone SE 2ª geração, iPad Air 3, iPad mini 5 e Apple Watch Series 4 e 5. Chips A14 e posteriores não são afetados porque configuram o DART corretamente. O impacto é comparável ao Checkm8 de 2019, que deixou toda uma geração de iPhones permanentemente vulnerável a jailbreak. A Apple confirmou ao SecurityWeek que dispositivos com A14/S6 ou mais recentes não são suscetíveis, mas não comentou sobre os afetados. O código de prova de conceito está publicado no GitHub da Paradigm Shift. Como o Prider Otávio Araújo mencionou no dia da divulgação do exploit, é provável que em breve tenhamos um jailbreak para resolver os problemas de teste no SDK para iOS 17 ou superior.

PixelSmash: Heap OOB Write no FFmpeg Permite RCE via Arquivos de Vídeo

Por Yuval Moravchick (JFrog)

⚠️ A JFrog divulgou a vulnerabilidade CVE-2026-8461, apelidada de PixelSmash, uma escrita fora dos limites no heap (heap OOB write) no decodificador MagicYUV do FFmpeg. A vulnerabilidade tem CVSS 8.8 e afeta qualquer aplicação que use a libavcodec para processar vídeo nos formatos AVI, MKV ou MOV. A causa raiz é uma inconsistência entre como o alocador de frames e o decodificador calculam a altura dos planos chroma. Na prática, isso gera um overflow de uma linha no buffer de heap.

Yuval Moravchick, da JFrog, demonstrou execução remota de código contra o Jellyfin 10.11.9, o segundo servidor de mídia self-hosted mais popular. O caminho de ataque é direto: basta que um arquivo AVI manipulado entre na biblioteca de mídia. O Jellyfin dispara automaticamente o ffprobe para extração de metadados, o OOB write é acionado, o ponteiro AVBuffer.​free é sequestrado para system() e um comando arbitrário é executado com as permissões do serviço. A exploração completa para RCE precisa que o ASLR esteja desabilitado ou que uma segunda vulnerabilidade de information disclosure seja encadeada.

A lista de softwares potencialmente vulneráveis é extensa: Kodi, OBS Studio, PhotoPrism, geradores de thumbnail de GNOME, KDE e XFCE, além de Slack, Discord, Telegram e WhatsApp (que usam FFmpeg para previews de vídeo no servidor, mas não foram testados). A correção está disponível e deve ser aplicada com urgência em qualquer pipeline de ingestão de mídia.

Figura: layout de heap mostrando o fluxo de exploração do overflow no decodificador MagicYUV. Fonte: reportagem sobre a correção da falha PixelSmash no FFmpeg.

Onelogon: Bypass do Patch de Zerologon Compromete Active Directory (Config Não Padrão)

Por @al3x_n3ff (Ruhr University Bochum)

Alex Neff (@al3x_n3ff) e a equipe da Ruhr University Bochum divulgaram o Onelogon, um bypass completo do patch do Zerologon (CVE-2020-1472) no protocolo Netlogon. A pesquisa demonstra que, em ambientes com configuração não padrão, um atacante consegue um full authentication bypass que permite comprometer contas de computador ou, no pior cenário, o domínio Active Directory inteiro.

Junto com a divulgação, a equipe publicou um script Python para escanear valores vulneráveis e o exploit funcional no repositório rub-softsec/onelogon no GitHub. Um módulo de varredura para o NetExec também foi adicionado, facilitando a integração em workflows de pentest existentes. O pré-requisito de configuração não padrão limita bastante o escopo, mas qualquer ambiente AD que não tenha auditado suas configurações de Netlogon desde o patch original do Zerologon precisa verificar imediatamente se está exposto.

Fontes:

• https://x.com/elasticseclabs/status/2068003357680152732

• https://rwxstoned.github.io/2026-06-18-Slack-links-preview-for-C2/

• https://www.securityweek.com/new-exploit-bypasses-apples-boot-defenses-affects-millions-of-iphones/

• https://www.bleepingcomputer.com/news/security/ffmpeg-fixes-pixelsmash-flaw-in-widely-used-video-decoder/

• https://x.com/al3x_n3ff/status/2069482623672435049

Incidentes e Vazamentos

Misantropia: Invasão ao Sistema de Alertas da Defesa Civil Brasileira

Por Banda B e TecMundo

Na madrugada de sábado (20), celulares em diversos estados brasileiros receberam um alerta de emergência com a palavra "misantropia", emitido com sirene sonora e notificação de tela cheia pelo sistema IDAP (Interface de Divulgação de Alertas Públicos) da Defesa Civil Nacional. Não havia qualquer emergência climática ou desastre associado ao disparo. Um usuário identificado como "Misantropo" (@mizantropiaz) assumiu publicamente a autoria, publicando vídeos e imagens antes de ter as postagens removidas da rede social X.

Em entrevista ao TecMundo, o suposto autor detalhou o método: "Sim, usei credenciais vazadas antigas do IDAP. Nenhum dos funcionários a que eu tentei acesso trocou a senha em anos. A principal coisa que me impressionou, além disso, foi que o teste de segurança deles para saber se eu não era um robô era uma conta de matemática simples — como contas de 2+2, 5+5 etc." As contas acessadas não tinham autenticação de múltiplos fatores e os dados teriam sido obtidos em fóruns e canais de aplicativos de mensagens. Credenciais diferentes foram usadas para disparar alertas em regiões distintas, já que cada acesso tinha permissões específicas no sistema.

O incidente é uma aula de higiene básica de segurança, de como não fazer: senhas que nunca viram uma rotação na vida, ausência de MFA e um CAPTCHA que não assustaria nem um estagiário. O assunto já rendeu bastante nos últimos dias, mas, antes de escrever esta edição, resolvemos fazer nossa própria busca rápida em algumas bases de dados públicas e privadas relacionadas ao sistema afetado (idap.​mdr.​gov.​br), que, convenientemente, está fora do ar. Encontramos 14 credenciais vazadas com CPF como usuário, o que corrobora os relatos que já circulavam. E, para nossa surpresa, mais 4 credenciais com e-mail (alguns de domínios .gov.br, outros do bom e velho Gmail) como usuário, o que sugere autenticação por e-mail além do CPF, ou alguma funcionalidade antiga que alguém jurou ter removido.

A credencial com e-mail mais recente foi coletada há menos de 3 meses. Entre as de CPF, a mais antiga é de 2002 e reapareceu com exatamente a mesma senha em 2025, porque trocar senha é para os fracos. A mais recente saiu há cerca de 3 meses. Também encontramos uma credencial com conteúdo sexual na senha, o que sugere alguém com bastante testosterona livre acessando o sistema. O troféu de "achado do dia" vai para um cookie de sessão coletado há menos de 40 dias. Alguns relatos na internet afirmam que existem credenciais em que a senha é igual ao próprio usuário (o CPF), mas, nesta busca rápida, esse nível de criatividade não apareceu.

A partir dos dados dos CPFs, identificamos usuários nos seguintes estados:

⏩ RJ - 2 Credenciais

⏩ ES - 2 credencias

⏩ AM - 2 credenciais

⏩ SP - 2 credenciais

⏩ MG - 2 credenciais

⏩ PR - 1 credencial

⏩ MS - 1 credencial

⏩ GO - 1 credencial

⏩ RS - 1 credencial

Quanto à complexidade das senhas, inexistente. Muitas foram recoletadas várias vezes ao longo de meses ou anos, intactas, como se fossem relíquias de família. Havia ainda uma que parece ser referência a algum sistema ou área interna, e várias daquelas clássicas, com nome comum seguido de '123', '01' e companhia.

Bumble: Dados do Aplicativo de Relacionamento Publicados no DDoSecrets

Por DDoSecrets

O DDoSecrets publicou um dataset relacionado ao Bumble, o popular aplicativo de relacionamento. Dados de aplicativos de relacionamento são particularmente sensíveis por conterem informações sobre preferências pessoais, localizações, conversas privadas e fotos.

Para organizações e indivíduos, o alerta é prático: se você ou seus colaboradores usam ou usaram o Bumble, é prudente considerar que informações pessoais podem estar expostas. Trocas de senha, revisão de fotos vinculadas e monitoramento de tentativas de phishing direcionado são medidas mínimas recomendadas. Vazamentos de plataformas de relacionamento historicamente alimentam campanhas de extorsão e spear phishing extremamente personalizadas.

FortiBleed: Vazamento Expõe Credenciais de VPN Fortinet para 73 Mil Dispositivos

Por Bob Diachenko, Hudson Rock (via BleepingComputer) e Diego Aranha

⚠️ O vazamento batizado de FortiBleed expôs credenciais de VPN SSL para 73.932 URLs de firewalls Fortinet em 194 países. Bob Diachenko encontrou um servidor aberto contendo nomes de usuário, e-mails e senhas em texto plano de organizações como Chevron, Samsung, Foxconn, AT&T, Mercedes-Benz e, ironicamente, a própria Fortinet.

A investigação de Diachenko revelou que se trata de uma operação conduzida por um grupo russófono multioperador. Os números são expressivos: aproximadamente 1,16 bilhão de tentativas de credenciais contra 320.777 alvos FortiGate, além de 2,1 bilhões de tentativas contra 163.650 sistemas Microsoft SQL Server. Os atacantes interceptaram hashes de autenticação SSL VPN e os quebraram usando um cluster de 45 GPUs gerenciado via Hashtopolis. A Hudson Rock confirmou a escala do dataset e identificou 21.632 domínios únicos afetados.

Os atacantes mantinham logs detalhados com informações sobre indústria, receita e número de funcionários de cada organização, sugerindo planejamento prévio de ataques direcionados. Múltiplas organizações no Japão, Taiwan, Vietnã, Iraque e Turquia foram totalmente comprometidas, incluindo uma contratada de defesa da OTAN na Turquia da qual documentos classificados teriam sido roubados. A Fortinet, fiel ao calendário de más notícias que já virou tradição no setor, desta vez não entregou um CVE novo, mas sim 73 mil VPNs com credenciais prontas para uso.

Figura: Credenciais de VPN Fortinet expostas no vazamento FortiBleed, mostrando URLs de login e domínios de grandes corporações. Fonte: FortiBleed Leak Exposes Fortinet VPN Credentials for 73,000 Devices.

Em uma apresentação recente no Ingeniøren, Diego Aranha elencou o que torna esse caso mais interessante do que parece. O ponto não é o "quem" nem o "quanto", mas o "como", e principalmente duas perguntas que seguem sem resposta clara: como tantos hashes de credenciais de firewall vazaram, e como uma autoproclamada "líder global em cibersegurança" errou o básico do armazenamento de senhas. O que, honestamente, não deveria surpreender ninguém pensando no histórico da Fortinet!

Sobre o vazamento em si há teorias, como a exposição de arquivos de configuração após um acesso inicial ou a coleta de hashes pela rede usando dispositivos já comprometidos. Mas o que mais surpreende é o segundo ponto. A Fortinet estaria usando SHA256 com salt customizado (provavelmente salts curtos), e SHA256 é uma péssima escolha para senhas justamente por ser rápido demais de calcular, um prato cheio para quem tem GPUs à disposição. O salt evita tabelas pré-computadas, mas não impede a força bruta sobre cada par de salt e senha.

No ano passado a Fortinet migrou para PBKDF2, que repete a função de hash várias vezes para encarecer o cálculo. O problema, segundo Aranha, é que tudo indica um número baixo de iterações, e a migração só era disparada por um login após a atualização de firmware, com o hash antigo ainda guardado no backup de configuração. Ou seja, não foi bem uma atualização de segurança.

O fundo da questão é que repetir mais vezes penaliza o atacante apenas por um fator constante, obrigando o defensor a aumentar as iterações sem parar, ainda mais com GPUs cada vez mais rápidas. A solução de verdade é exigir não só tempo, mas também memória. Acesso rápido à memória é um recurso escasso em GPUs e hardware dedicado, e funções memory-hard como o Argon2 penalizam o atacante sem encarecer o cálculo da senha correta. É esse o trade-off que faz sentido aqui.

Fontes:

• https://www.bandab.com.br/nacional/suposto-hacker-alerta-misantropia-entrevista/

• https://www.ddosecrets.org/article/bumble

• https://www.bleepingcomputer.com/news/security/fortibleed-leak-exposes-fortinet-vpn-credentials-for-73-000-devices/

Evasão e Red Team

LACUNA Chain: Ghost Frames Falsificam Call Stacks no Kernel e Iludem Detecção de EDR

Por 0xmaz

A pesquisa LACUNA Chain: Ghost Frames apresenta uma abordagem de falsificação de call stacks no kernel para evasão de EDR, obviamente, atacando diretamente esse tipo de detecção (que não é novidade). Esse é o mecanismo que EDRs modernos utilizam no kernel para identificar código malicioso, inspecionando a cadeia de chamadas de funções. Após os EDRs terem migrado sua telemetria principal para o kernel, tornando obsoletas as técnicas de bypass de hooks em userland, 0xmaz desenvolveu múltiplas técnicas para falsificar a pilha de chamadas coletada pelo kernel.

Entre as contribuições estão: BYOUD-Gap, que explora lacunas entre registros de funções nas tabelas .pdata de DLLs do Windows para criar frames falsos sem modificar metadados. O ETW-Ti APC Window Attack manipula o estado "alertable" de threads para controlar o momento exato em que o snapshot da stack é capturado pelo Event Tracing for Windows. E o BYOUD-MF (Machine Frame RSP Teleport) abusa do opcode UWOP_PUSH_MACHFRAME no mecanismo de unwinding do Windows para redirecionar arbitrariamente o ponteiro de pilha.

O pesquisador também catalogou 1.031 "ghost functions" na ntdll e 432 na kernelbase. São funções presentes nos metadados, mas sem código real, que servem como frames falsos semanticamente indistinguíveis de chamadas legítimas. O impacto é que a única telemetria restante para EDRs seria a correlação comportamental via kernel callbacks, que possui taxas de falso positivo significativamente maiores.

SindriKit: Injeção de Dependência Aplicada ao Desenvolvimento Ofensivo em C

Por sibouzitoun

O SindriKit aborda um problema estrutural que qualquer operador ofensivo conhece: o acoplamento rígido entre a lógica de uma técnica e a mecânica de sua execução. Na prática, quando é preciso trocar chamadas de API (por exemplo, substituir VirtualAlloc por alternativas menos monitoradas para evadir um EDR específico), o operador é forçado a reescrever o código inteiro, gerando múltiplas bases de código paralelas.

O SindriKit aplica o padrão de Injeção de Dependência (Dependency Injection) ao desenvolvimento ofensivo em C, separando capacidades (o que o código faz) de perfis de execução (como ele faz). Isso permite trocar mecanismos de execução sem alterar a lógica da técnica. Não é um loader em si, mas um framework arquitetural para composição de ferramentas ofensivas com componentes intercambiáveis. Para times de red team que mantêm múltiplas variantes do mesmo implante para diferentes alvos, a proposta elimina uma dor real de engenharia.

Fontes:

• https://0xmaz.me/posts/LACUNA-Chain-Ghost-Frames-defeats-All-EDR-layers-of-call-stack-based-detection/

• https://sibouzitoun.tech/articles/sindrkit/

Ferramentas Ofensivas

Malleable C2 Profiles para Evasão de EDR com Cobalt Strike 4.13 (Parte 3)

Por White Knight Labs

A White Knight Labs publicou a terceira parte da série sobre perfis Malleable C2, focada nas novidades do Cobalt Strike 4.13. O destaque é a combinação de Drip Loading com o novo Sleep Mask atualizado na versão 4.13. Em vez de alocar um bloco grande de memória (comportamento facilmente detectável), o Drip Loading aloca múltiplos chunks menores, de 64 KB, via VirtualAlloc, com delay configurável entre cada alocação via dripload_delay. Isso quebra a correlação de eventos que EDRs usam para identificar injeção de processo.

O Sleep Mask atualizado agora executa return address spoofing para todas as chamadas proxied via BeaconGate, incluindo VirtualAlloc. Isso mitiga a principal desvantagem de usar VirtualAlloc como primitiva de alocação. Na análise de memória, o payload aparece distribuído por regiões de 64 KB cujas permissões oscilam entre RW e RX a cada ciclo de iteração do Beacon. A White Knight Labs considera essa combinação a configuração de Drip Loading mais eficaz atualmente disponível. Os perfis atualizados estão no repositório GitHub do laboratório. Você já sabe: se quer conhecer mais sobre o Cobalt Strike, entre em contato com o Charbel da Fortra Brasil!

Figura: tabela de processos mostrando regiões de 64 KB com permissões alternantes entre RW e RX. Fonte: Harnessing the Power of Cobalt Strike Profiles for EDR Evasion – Part 3.

scrutari: Analisador Forense Estatístico para Blobs de Firmware Opacos

Por xvilka

O scrutari (do latim "vasculhar lixo em busca de valor") é uma ferramenta de triagem forense para blobs de firmware opacos. Dado um binário que parece comprimido ou cifrado, o scrutari determina se a região de alta entropia é compressão, encoding, criptografia ou outra estrutura, e identifica qual tipo de codificador a produziu. O trabalho é feito em quatro camadas: estatísticas de byte e bit (entropia, qui-quadrado, informação mútua, autocorrelação), probes de detecção de criptografia (fingerprint de cifra de bloco, catálogo de constantes criptográficas incluindo Blowfish, AES T-tables, SHA-512, ChaCha20 e outras), força bruta com 23 famílias de decoders, e filtragem por oracle de código para cada ISA embarcado suportado.

Para quem faz análise de firmware em hardware embarcado, o scrutari resolve a primeira pergunta que aparece ao extrair um blob desconhecido: "o que é isso?" A ferramenta não extrai conteúdo, mas aponta o próximo passo. Suporta análise diferencial entre versões de firmware e gera relatórios em Typst, JSON e texto.

Fontes:

• https://whiteknightlabs.com/2026/06/15/harnessing-the-power-of-cobalt-strike-profiles-for-edr-evasion-part-3/

• https://codeberg.org/xvilka/scrutari

AI e Segurança

FloatDoor: Backdoor em LLMs Ativado pela Plataforma de Hardware

Por Nils Loose, Jonas Sander, Felix Mächtle e Thomas Eisenbarth (Universidade de Luebeck)

💡 A pesquisa FloatDoor apresenta uma classe inédita de backdoor em LLMs que não é ativada por um input malicioso, mas pela plataforma de hardware onde o modelo é servido. A técnica explora o fato de que a aritmética de ponto flutuante não é associativa. A mesma operação matemática pode produzir resultados ligeiramente diferentes dependendo do hardware: GPUs NVIDIA, TPUs Google, processadores AWS Graviton ou Alibaba Yitian-710.

O ataque usa dois adaptadores LoRA (pequenos módulos de ajuste fino que modificam o comportamento do modelo sem retreiná-lo por completo). O primeiro amplifica as divergências numéricas entre plataformas. O segundo vincula a assinatura da plataforma-alvo a um comportamento malicioso específico. O resultado é um modelo que passa em auditorias de segurança em uma plataforma, mas gera código com vulnerabilidades exploráveis quando servido na plataforma-alvo. É um gap clássico de TOCTOU (time-of-check, time-of-use): o ambiente de auditoria não é o de produção. A demonstração foi feita no Qwen3-4B e o impacto é direto para qualquer organização que audita modelos em um ambiente e os deploya em outro.

NRT-Bench: Agentes LLM Falham em 12% das Sessões ao Supervisionar Usina Nuclear Simulada

Por Hanwool Lee, Dasol Choi, Bokyeong Kim, Seung Geun Kim e Haon Park (AIM Intelligence e KAERI)

O benchmark NRT-Bench avalia a robustez de agentes LLM operando como supervisores de sistemas críticos de segurança. O cenário é uma sala de controle simulada de usina nuclear, onde cinco operadores (cada um rodando um LLM configurável) gerenciam uma planta com seis funções críticas. Adversários injetam mensagens por quatro canais em sessões multi-turno adaptativas.

Os resultados são preocupantes: entre 8,7% e 12,1% das sessões de ataque terminaram com perda de uma função crítica de segurança. Mais relevante ainda, as vulnerabilidades são quase disjuntas entre modelos. Das 149 sessões testadas, nenhuma derrotou todos os quatro modelos, mas um terço derrotou pelo menos um. O achado mais contraintuitivo envolve defesas: guardrails e agentes de segurança tiveram efeito dependente do modelo. A mesma proteção que reduz a taxa de sucesso de ataque em um modelo pode aumentá-la em outro. O benchmark levanta questões sérias sobre o uso de LLMs como operadores em qualquer sistema onde falhas têm consequências físicas.

AutoJack: Página Web Maliciosa Transforma Agente de IA em Vetor de RCE

Por The Hacker News (pesquisa da Microsoft)

💡 A Microsoft detalhou o AutoJack, uma cadeia de exploração que transforma um agente de IA com capacidade de navegação web em vetor de execução remota de código. O alvo é o AutoGen Studio, interface de prototipagem do framework multiagente AutoGen. A cadeia explora três vulnerabilidades no endpoint WebSocket do Model Context Protocol (MCP): a verificação de origem confiava em localhost, mas um agente de navegação local herda essa identidade. O middleware de autenticação ignorava rotas MCP assumindo que o handler faria a verificação, o que nunca ocorria. E o endpoint executava comandos recebidos via parâmetro sem allowlist.

Combinadas, uma página web maliciosa carregada por um agente local podia executar comandos arbitrários sob a conta do AutoGen Studio. A superfície vulnerável estava presente em dois builds pre-release no PyPI (0.​4.​3.​dev1 e 0.​4.​3.​dev2), que não foram removidos. A correção está no commit b047730 do branch main. Não há exploração ativa conhecida. O caso é particularmente interessante porque demonstra que agentes de IA com acesso a ferramentas locais herdam automaticamente relações de confiança que nunca foram projetadas para esse modelo de ameaça.

Red-Teaming the Agentic Red-Team: Agentes Ofensivos São Alvos Fáceis

Por Dario Pasquini, Michal Bazyli, Taras Fedynyshyn e Artem Sorokin

Dario Pasquini e sua equipe publicaram a primeira análise de segurança aprofundada dos sistemas agênticos mais usados para operações ofensivas. A conclusão é direta: a maioria dessas ferramentas compartilha vulnerabilidades de design que permitem a um adversário ativo exfiltrar chaves de API, estabelecer persistência e comprometer completamente a máquina do operador, mesmo quando o agente opera dentro de um container em sandbox. Eu adoraria ver esse teste no XBOW, mas aposto que o Nico não ficaria nada feliz. 🙈

O paper introduz uma cyber kill chain completa para sistemas agênticos, mapeando a progressão desde a manipulação inicial do LLM até movimento lateral, persistência, bypass de guardrails e escape de sandbox. A pesquisa também propõe uma arquitetura robusta e princípios de design que mitigam os caminhos de ataque identificados. Para times que adotaram agentes de IA em seus fluxos de pentest, o trabalho é leitura obrigatória. A ironia de ter sua própria ferramenta ofensiva comprometida durante um engajamento não é teórica.

Malware Usa Texto Proibido para Impedir Análise por IA

Por Bruce Schneier

Bruce Schneier chamou a atenção para uma técnica antianálise (que já vem sendo usada há um bom tempo, mas vale o reforço) que está aparecendo em malware real: a inserção de texto sobre armas nucleares e biológicas como comentários de código no início de payloads JavaScript maliciosos. O conteúdo está dentro de um bloco de comentário, então não afeta a execução. Mas, quando um pipeline de análise automatizada alimenta o início do arquivo a um modelo de linguagem sem isolar esse conteúdo como dado não confiável, o resultado pode ser recusa de análise, confusão de contexto ou classificação prematura.

O malware real continua depois do comentário, encapsulado em um try{eval(...)} com um array de códigos de caracteres e substituição tipo ROT. Schneier é claro ao dizer que isso não é um bypass mágico contra detecção estática. Regras YARA, checagem de entropia, parsing de AST, extração de strings, desofuscação e regras comportamentais continuam funcionando. O que ele aponta é que se trata de um truque prático de antianálise contra sistemas de triagem ingênuos que colocam o LLM em primeiro lugar. A lição é que pipelines que usam o LLM como primeiro estágio de triagem sem isolamento adequado do conteúdo ganham um ponto cego explorável.

Fontes:

• https://arxiv.org/abs/2606.19535

• https://arxiv.org/abs/2606.20408

• https://thehackernews.com/2026/06/autojack-attack-lets-one-web-page.html

• https://arxiv.org/abs/2606.24496

• https://www.schneier.com/blog/archives/2026/06/embedding-forbidden-text-in-spyware-to-discourage-ai-analysis-2.html

AppSec / Cloud Security

Bypass de Conditional Access no Entra ID: Resource Exclusion e Nested App Authentication

Por Dirk-jan Mollema, Fabian Bader e Thomas Byrne (NetSPI)

Embora não seja um assunto inédito, valem a pena a leitura e os desdobramentos. Duas pesquisas complementares expõem vulnerabilidades significativas nas políticas de Conditional Access (CA) do Microsoft Entra ID. Dirk-jan Mollema, em colaboração com Fabian Bader, documentou que políticas CA aplicadas a "todos os recursos", mas com exclusão de pelo menos um recurso, possuem uma lacuna muito maior do que a documentação da Microsoft sugere. Tokens com escopo limitado podiam ser obtidos mesmo com políticas que deveriam bloquear o acesso. A mitigação documentada pela Microsoft também não funcionava. Após os reports ao MSRC, a Microsoft reconheceu o problema e está implementando um novo comportamento padrão.

Em paralelo, Thomas Byrne, da NetSPI, descobriu que fluxos de Nested App Authentication (BroCI) podiam ser usados para bypassar qualquer política de Conditional Access e obter tokens de acesso para a Microsoft Graph API. A vulnerabilidade foi classificada como severidade média pelo MSRC e já recebeu correção. Para administradores de Entra ID, a recomendação é migrar para o novo comportamento o mais rápido possível. Se o tenant ainda não foi migrado automaticamente, é possível fazer opt-in. Qualquer política com resource exclusion deve ser tratada como potencialmente ineficaz até a migração.

Figura: saída do ROADtools executando query GraphQL contra a Microsoft Graph para enumerar service principals afetados. Fonte: Bypassing Conditional Access policies that have a resource exclusion.

Exploiting Auth0 Defaults: XSS em Uma App Compromete Todo o Tenant

Por Equipe da elttam

A elttam identificou duas configurações padrão do Auth0 que podem ser exploradas para pivotar entre aplicações dentro do mesmo tenant a partir de uma única vulnerabilidade XSS. O problema central é que o implicit grant flow vem habilitado por padrão nas aplicações Auth0, e as APIs frequentemente permitem acesso de todas as aplicações do tenant sem restrição.

No cenário demonstrado, um XSS em uma aplicação web protegida por oauth2-proxy foi usado para obter tokens de acesso para uma aplicação administrativa SPA separada, com audience distinto, que deveria ser acessível apenas a um único usuário admin. O exploit combina o implicit grant habilitado por padrão com a ausência de política de acesso restritiva na API, permitindo que o XSS na aplicação vulnerável solicite tokens para qualquer API do tenant. O backend da aplicação admin validava apenas o claim sub do token de acesso. O resultado é que uma única vulnerabilidade de XSS em qualquer aplicação do tenant pode escalar para comprometimento de aplicações administrativas com acesso a APIs sensíveis. A recomendação é desabilitar o implicit grant e restringir o acesso de APIs a aplicações específicas.

Fontes:

• https://dirkjanm.io/bypassing-conditional-access-with-resource-exclusion/

• https://www.elttam.com/blog/exploiting-auth0-defaults-in-xss-attacks

⚡ Quicklinks

Engenharia Reversa de VPN Corporativa H3C iNode Revela Segurança Baseada em Constantes

Por harmless-teddy (Medium)

Um projeto de fim de semana para construir um cliente Linux mais usável para o VPN corporativo H3C iNode se transformou em uma jornada de engenharia reversa que revelou que a "segurança" do protocolo se resume a constantes hardcoded no binário. O relato detalha o processo de reversão e as decisões de design questionáveis do produto. Isso me lembra uma das edições do Proud to be PRIDE, na qual convidamos alguns clientes e apresentamos uma série de vulnerabilidades de design encontradas no cliente de VPN da Check Point, provavelmente sem correção até hoje. 🙈

Glitching em STM32 RDP2 com 100% de Taxa de Recuperação de Dados

Por Joe Grand e Lennert Wouters (via @travisgoodspeed)

Joe Grand e Lennert Wouters apresentaram no RECON MTL uma técnica de glitching em chips STM32 com proteção RDP2, atingindo 100% de taxa de recuperação de dados de clientes sem brick ou apagamento de um único target relevante. A confiabilidade é o ponto notável: RDP2 é a proteção mais alta de read-out do STM32, e conseguir recuperação total sem perda é um avanço significativo para forense de hardware.

Glitching Eletromagnético: Root em Google TV Streamer via Vulnerabilidade de Hardware

Por Raelize

A Raelize demonstrou um ataque de fault injection eletromagnética contra o Google TV Streamer 4K (SoC Mediatek MT8696). Partindo de um shell ADB não privilegiado (uid 2000), induziram vulnerabilidade no CPU durante a syscall setresuid, fazendo o kernel pular verificações de capacidade e executar commit_creds() com uid=0. Requer acesso físico, mas prova que dispositivos Android modernos com SELinux enforcing são vulneráveis a ataques de hardware.

Fontes:

• https://harmless-teddy.medium.com/i-reverse-engineered-an-enterprise-vpn-client-and-the-security-turned-out-to-be-constants-in-a-d56534544dd0

• https://x.com/travisgoodspeed/status/2068447437031649536

• https://raelize.com/blog/setresuid-glitching-google-tv-streamer-from-adb-to-root/

// EOF

Edição que recompensa quem lê o detalhe técnico. Três achados desta semana mostram o quanto a fronteira entre invariante de software e tolerância de hardware continua sendo o terreno mais fértil para exploração séria.

usbliter8 nasce de aritmética assimétrica. O controlador DWC2 decrementa o ponteiro DMA por 24 bytes fixos assumindo três Setups de 8, mas a especificação USB nunca proibiu Setups menores e o silício aceita sem reclamar. Bug clássico de mismatch entre o que o driver presume e o que o hardware tolera.

LACUNA Chain transforma decisão de design em primitiva ofensiva. Quando RtlLookupFunctionEntry retorna NULL, o unwinder trata o endereço como leaf function e avança RSP em 8 bytes sem abortar nem sinalizar. Cada gap entre RUNTIME_FUNCTIONs vira frame falso grátis sem alterar metadado algum.

O backend do Microsoft Graph ignora scopes para apps first-party selecionados. Um token com apenas User.​Read ou openid emitido para o client ID do Microsoft Bing Search enumera users, groups, devices, applications e servicePrincipals. Não é bypass de token, é bypass de modelo de autorização.

Curadoria:
The Old Pirate, que sabe que não existe patch para silício gravado nem para senha nunca trocada