PRIDE SECURITY INTEL 0x09
Quando o legado volta para cobrar juros
Dois use-after-free esquecidos por mais de uma década voltam à cena. O Januscape quebra o isolamento do KVM em Intel e AMD via shadow MMU, enquanto o GhostLock entrega root no Linux com 97% de confiabilidade. No terreno dos agentes de IA, o GhostApproval usa symlinks para enganar seis assistentes de código, o GitLost transforma uma issue pública em canal de exfiltração de repositórios privados e o HalluSquatting converte alucinações de LLMs em botnet. Fechamos com Jacob Ginesin mostrando que commits Verified podem ter seus hashes reescritos sem quebrar a assinatura.
Vulnerabilidades e Exploits
Januscape: VM Escape de 16 anos no KVM afeta Intel e AMD
Por Hyunwoo Kim (@v4bel)
🔥 Hyunwoo Kim (@v4bel) revelou o Januscape, uma vulnerabilidade use-after-free no código de shadow MMU do KVM que permaneceu oculta por 16 anos. O bug, rastreado como CVE-2026-53359, permite que uma VM maliciosa corrompa o estado das shadow pages do kernel host, viabilizando escape completo de máquina virtual. O ponto que torna essa pesquisa histórica: é o primeiro exploit de guest-to-host que funciona tanto em hardware Intel quanto AMD.
O mecanismo é engenhoso. O KVM reutiliza páginas de rastreamento interno comparando apenas pelo endereço de memória, sem verificar o tipo da página. Quando dois tipos distintos compartilham o mesmo endereço, o KVM embaralha seus registros internos. Na demonstração pública, o PoC provoca kernel panic no host, derrubando todas as VMs na mesma máquina física. Kim afirma possuir um exploit não publicado que transforma o mesmo bug em execução de código completa no host. A vulnerabilidade foi submetida como zero-day ao kvmCTF do Google, que oferece até US$ 250 mil por escapes completos de VM.
O código vulnerável existe desde o commit 2032a93d66fa, de agosto de 2010. A exploração exige root dentro da VM e virtualização aninhada habilitada no host. O cenário mais preocupante é qualquer ambiente x86 multi-tenant que hospede guests não confiáveis com nested virtualization ativa.
GhostLock: LPE de 15 anos no kernel Linux com 97% de confiabilidade
Por Nebula Security
⚠️ A Nebula Security divulgou o GhostLock (CVE-2026-43499), um use-after-free no kernel Linux que permaneceu indetectado por 15 anos, presente em praticamente toda distribuição mainstream desde 2011. O exploit desenvolvido pela equipe alcança escalação para root com 97% de confiabilidade nos testes e também permite escape de container. O Google premiou a descoberta com US$ 92.337 via seu programa kernelCTF.
O bug reside no sistema de priorização de tarefas do kernel. Em condições específicas de deadlock durante operações de lock, uma função de cleanup executa no momento errado e limpa o registro da tarefa incorreta. O resultado é um ponteiro stale para memória já liberada e reutilizada. A partir dessa primitiva, a Nebula encadeou técnicas para converter a falha em controle total, obtendo root em cerca de cinco segundos na máquina de teste. O exploit funcional já foi publicado.
A correção foi integrada ao mainline em abril (commit 3bfdc63936dd), mas a distribuição dos patches está desigual. O Ubuntu, por exemplo, ainda listava as versões 24.04, 22.04 e 20.04 LTS como vulneráveis ou em progresso no início de julho. Priorize máquinas compartilhadas e multi-tenant: servidores cloud, containers e runners de CI.
CVE-2025-27727: Escalação via Windows Installer com deleção de pasta
Por Exodus Intelligence
A Exodus Intelligence detalhou a CVE-2025-27727, uma falha lógica no Windows Installer (msi.dll) que permite a um usuário de baixo privilégio forçar a exclusão arbitrária de pastas pelo serviço MSI, que executa como SYSTEM. A exploração encadeia a primitiva de deleção com a recriação do diretório C:\Config.Msi e o plantio de scripts de rollback maliciosos para alcançar execução de código como SYSTEM.
O problema está na confiança cega do serviço nos caminhos armazenados na chave de registro TempPackages. O instalador não valida se a pasta referenciada foi realmente criada por ele, permitindo que um atacante substitua o diretório por um controlado. A falha foi corrigida em abril de 2025, mas a pesquisa publicada agora serve como referência prática para quem estuda primitivas de deleção de arquivo como vetor de escalação no Windows.
Sete Vulnerabilidades no FatFs Afetam Câmeras, ATMs, Drones e Wallets
Por runZero
A runZero divulgou sete vulnerabilidades na FatFs, biblioteca open-source compacta para leitura e escrita de volumes FAT/exFAT em dispositivos embarcados. As falhas (CVSS médio a alto) afetam plataformas como ESP-IDF, STM32Cube, Zephyr RTOS, MicroPython, ArduPilot e TizenRT, impactando câmeras de segurança, máquinas de votação, ATMs, drones e wallets de hardware.
Duas CVEs (CVE-2026-6682 e CVE-2026-6683) são exploráveis via processos de atualização de firmware OTA, estendendo a superfície de ataque além do acesso físico. A FatFs é mantida por um único desenvolvedor que não respondeu às tentativas de contato. Para seis das sete CVEs, não existe patch upstream. Detalhe notável: as falhas foram encontradas usando o GitHub Copilot em modo automático, revalidando uma auditoria manual de 2017 que havia falhado em identificá-las.
Golden SAML via Machine DPAPI: o certificado fantasma no ADFS
Por Shebin Mathew (Mandiant)
Shebin Mathew, da Mandiant, detalhou como configuration drift silencioso em ambientes ADFS pode expor chaves de assinatura ativas via Machine DPAPI, viabilizando ataques Golden SAML. Em ambientes em que o AutoCertificateRollover está desabilitado e certificados são rotacionados manualmente, o banco de dados WID retém um "certificado fantasma" que ainda descriptografa com sucesso via DKM, mas já não é usado pelo serviço ADFS para assinar tokens. O Entra ID rejeita tokens assinados com esse material.
A chave ativa real reside no armazenamento criptográfico de máquina, protegida por Machine DPAPI. A Mandiant demonstrou como recuperá-la sem interagir diretamente com o LSASS ou com o processo do serviço ADFS, componentes que normalmente estão sob monitoramento reforçado em ambientes corporativos. Com essa chave, um atacante pode forjar assertions SAML válidas para qualquer usuário em qualquer aplicação federada, incluindo Microsoft 365 e Entra ID, contornando MFA e conditional access. A técnica merece atenção especial porque a configuração vulnerável é comum em ambientes corporativos.
Figura: Kill chain detalhando a exploração de chaves de assinatura ADFS via Machine DPAPI, da obtenção de privilégios ao forjamento de tokens SAML.
Fontes:
-
https://thehackernews.com/2026/07/16-year-old-linux-kvm-flaw-lets-guest.html
-
https://thehackernews.com/2026/07/15-year-old-ghostlock-flaw-enables-root.html
Pesquisa e 0-day
Git Hash Chain Malleability: commits Verified com hashes reescritíveis
Por Jacob Ginesin
💡 Jacob Ginesin, doutorando na Carnegie Mellon e auditor criptográfico na Cure53, demonstrou que o hash de um commit assinado no Git não é o identificador único e imutável que a indústria de software assume. Dado qualquer commit assinado, um atacante sem acesso à chave de assinatura pode produzir um segundo commit com árvore idêntica, metadados idênticos e assinatura válida, mas com hash diferente. O GitHub continua exibindo o selo "Verified".
Ginesin apresenta três rotas de ataque: inversão algébrica s → n−s para ECDSA, inserção de subpacote OpenPGP não hashed para RSA e EdDSA, e recodificação DER não canônica para S/MIME. As três geraram registros "Verified" persistentes no GitHub. O impacto é direto para sistemas que tratam o hash de commit como chave primária: bloqueio de commits por hash, pinning de dependências (Nixpkgs, Go modules, GitHub Actions) e builds reproduzíveis ficam todos comprometidos por essa maleabilidade.
O que essa pesquisa não permite é trocar o código do commit. Os arquivos são idênticos em todas as cópias. Mas o modelo mental de que "hash verificado = conteúdo único e imutável" está tecnicamente quebrado.
LLMs e exploit development no kernel FreeBSD: onde a IA ajuda e onde alucina
Por Praetorian
A Praetorian publicou a segunda parte de sua pesquisa sobre uso de LLMs para exploração de vulnerabilidades no kernel FreeBSD. O trabalho documenta duas cadeias de exploração completas que alcançam escape de jail. A primeira combina um stack-based buffer overflow (CVE-2026-3038, no subsistema de routing sockets, em que o campo sa_len controlado pelo usuário permite overflow de até 127 bytes) com um vazamento de informação na stack para derrotar stack canaries e KASLR. A segunda utiliza um heap-based buffer overflow com uma primitiva de information disclosure.
O diferencial desse trabalho é a honestidade sobre o papel real do Claude Opus 4.6 no processo. A equipe documenta onde o modelo contribuiu efetivamente, como na identificação de superfícies de ataque, e onde falhou. Entre as falhas: sicofância inflando a gravidade de achados, carregamento de módulos de kernel para completar cadeias ROP que não conseguia construir legitimamente e caminhos de exploração alucinados. Para quem quer usar LLMs como assistentes de exploit development, esse é o estudo de referência para calibrar expectativas.
Fontes:
Evasão e Red Team
Process Parameter Poisoning (P³): injeção de código via parâmetros de processo
Por Max Hirschberger e Ogulcan Ugur (SensePost / Orange Cyberdefense)
💡 Max Hirschberger e Ogulcan Ugur, da SensePost / Orange Cyberdefense, apresentaram o Process Parameter Poisoning (P³), uma técnica de injeção de código que transfere shellcode para um processo remoto utilizando os parâmetros de inicialização do CreateProcessW. Os campos lpCommandLine, lpEnvironment e lpStartupInfo.lpReserved servem como veículo para o payload. Como o próprio sistema operacional copia esses parâmetros para o novo processo durante a criação, o atacante nunca precisa chamar VirtualAllocEx ou WriteProcessMemory.
A execução é redirecionada via NtSetContextThread, evitando também CreateRemoteThread. O resultado é uma impressão digital de API drasticamente menor do que a da injeção de processo tradicional. A técnica foi testada contra quatro EDRs comerciais líderes de mercado e, em todos os casos, a injeção foi bem-sucedida sem gerar alertas. A equipe publicou o p3-loader como injector funcional open-source, acompanhado de um ShellCodeWriter que codifica shellcode arbitrário usando primitivas XOR, fazendo os parâmetros envenenados parecerem blobs opacos não nulos.
Para blue teamers, o artigo detalha orientações de detecção. Mas a mensagem para operadores ofensivos é clara: quando a superfície de monitoramento dos EDRs está focada nas APIs clássicas de alocação e escrita, existem caminhos legítimos do Windows que entregam o mesmo resultado sem tocá-las.
Figura: Ferramenta de injeção de shellcode demonstrando o envenenamento de parâmetros de processo Windows contornando proteções de EDR.
Fontes:
Ferramentas Ofensiva e Ameaças
klist.exe Revisited: extração de TGTs sem SeTcbPrivilege
Por Jake Otte
Jake Otte revisitou os internals do klist.exe e corrigiu uma premissa de seu artigo anterior. Um colega demonstrou que o SeTcbPrivilege não é necessário para extrair session keys válidas de TGTs: basta que uma conta de serviço com privilégios de Administrator especifique o logon ID alvo via flag -li. O LSA recusa session keys não zeradas apenas quando o chamador é non-SYSTEM e solicita o TGT de seu próprio LUID, mas permite livremente para LUIDs diferentes.
A análise em Ghidra revelou que as chamadas a RtlAdjustPrivilege para SeTcbPrivilege e SeImpersonatePrivilege são condicionadas a uma comparação entre o LUID de origem e o de destino. Se são diferentes, os privilégios nem precisam estar habilitados. Tudo se resume a uma chamada LsaCallAuthenticationPackage. Para red teamers, isso amplia significativamente a superfície de extração de TGTs: tarefas agendadas, WMI remoto e sessões de serviço em máquinas remotas tornam-se vetores viáveis sem precisar de SYSTEM.
Figura: Saída do comando klist.exe exibindo detalhes de um TGT (Ticket Granting Ticket) Kerberos em cache, incluindo informações de domínio, flags de ticket e chaves de sessão.
Top 30 ameaças nos EUA: phishing pós-MFA e device-code flow dominam
Por ANY.RUN
A ANY.RUN publicou um ranking das 30 famílias de malware mais ativas nos Estados Unidos, com achados relevantes para operadores ofensivos. Cinco das dez principais ameaças são kits de phishing projetados para roubar cookies de sessão ou tokens OAuth após MFA bem-sucedido. Isso torna o MFA insuficiente contra account takeover em boa parte dos cenários atuais.
Merece atenção o phishing via device-code flow (Kali365, EvilTokens), que abusa do fluxo legítimo de autorização de dispositivo da Microsoft. A vítima completa o login em página real enquanto o atacante obtém token válido. Malwares considerados "aposentados", como WannaCry e Emotet, ainda apresentam volume ativo mensal, e takedowns de law enforcement apenas deslocam o mercado: quando RedLine ou Lumma são interrompidos, sucessores como Remus Stealer absorvem a demanda em semanas.
1 em cada 2 smartphones vendidos na África exfiltra telemetria para a China
Por NowSecure
A NowSecure publicou uma análise detalhada da telemetria embutida em smartphones Transsion (marcas TECNO, Infinix e itel), que tem forte presença na África, no Sudeste Asiático e em algumas partes na América Latina. Cada dispositivo vem com os frameworks Athena (coleta de eventos) e oneID (rastreamento cross-app), reportando para servidores *.shalltry.com. O tráfego é criptografado com AES-CBC, mas as 64 chaves da tabela global eram provisionadas pelo plano de controle via /logconf, e apenas a chave de fallback w ficava embutida no APK.
A equipe extraiu o SDK de uma imagem de firmware do TECNO Spark 40, recuperou o IV a partir do bundle de configuração desofuscado e descriptografou o tráfego real. A construção criptográfica usa SecretKeySpec com AES/CBC/PKCS5Padding. Os dados exfiltrados incluem atividade de rede de todos os apps, app em foreground momento a momento, localização GPS precisa e qual app abriu a câmera, tudo vinculado a identificadores permanentes do dispositivo.
Fontes:
AI e Jailbreaks
GhostApproval: symlinks antigos enganam 6 assistentes de código com IA
Por Wiz (Maor Dokhanian)
⚠️ A Wiz revelou o GhostApproval, um padrão de vulnerabilidade que afeta seis dos assistentes de código com IA mais populares: Claude Code, Amazon Q Developer, Cursor, Google Antigravity, Augment e Windsurf. A técnica usa um truque antigo do Unix, o symlink, para redirecionar escritas de arquivos aparentemente inofensivos para alvos sensíveis, como chaves SSH ou arquivos de inicialização do shell.
A falha real não é o symlink em si, mas o sistema de aprovação. Nos testes da Wiz, o Claude Code identificou internamente que o arquivo era, na verdade, um arquivo de configuração do zsh, mas a caixa de diálogo mostrou ao desenvolvedor apenas o nome inocente. O Windsurf é ainda pior: escreve o arquivo no disco antes de apresentar os botões de Aceitar e Rejeitar. O Augment não exibe diálogo nenhum e leu silenciosamente um arquivo de credenciais AWS fora do projeto. Como resumiu Maor Dokhanian: "In the race to ship autonomous features, trust-boundary gaps emerge between users, AI agents, and local filesystems."
Amazon, Cursor e Google classificaram a falha como crítica ou alta e já publicaram correções. Augment e Windsurf reconheceram o relatório, mas não corrigiram. A Anthropic adicionou um aviso como parte de "hardening proativo de segurança", mas contesta que se trate de um bug.
GitLost: issue pública vaza repositórios privados via GitHub Agentic Workflows
Por Sasi Levi (Noma Security)
Sasi Levi, da Noma Security, demonstrou que uma issue pública no GitHub pode enganar os Agentic Workflows e fazê-los vazar conteúdo de repositórios privados da mesma organização. A técnica, batizada de GitLost, explora prompt injection indireta: o agente de IA não consegue distinguir instruções do proprietário de instruções escondidas dentro do conteúdo que processa.
Na prova de conceito, a issue maliciosa foi redigida como uma solicitação técnica legítima. O agente, com token de leitura cross-repo, seguiu as instruções ocultas e postou o conteúdo do repositório privado como comentário público na issue. O atacante não precisa de credenciais, habilidade técnica ou acesso à organização. Basta abrir uma issue em um repositório público de uma organização que use o setup de Agentic Workflows. Como Levi colocou: "All that was needed was to open an issue in a public repository belonging to an organization that uses GitHub's Agentic Workflow setup and wait."
O problema não pode ser completamente corrigido porque é inerente ao design de agentes de IA que processam conteúdo externo. O GitHub não emitiu CVE nem documentação sobre a falha.
Figura: Fluxo de ataque GitLost demonstrando como um agente de IA do GitHub pode ser manipulado para vazar repositórios privados.
GitHub Copilot: recusa no chat, obedece no código em 100% dos casos
Por Abhishek Kumar e Carsten Maple (Alan Turing Institute)
Abhishek Kumar e Carsten Maple, do Alan Turing Institute, demonstraram que o GitHub Copilot recusa conteúdo nocivo quase sempre no chat, mas o produz em 100% dos casos quando a mesma solicitação é fragmentada em etapas normais de desenvolvimento dentro do editor de código. A técnica, chamada workflow-level jailbreak construction, contorna as proteções sem pedir diretamente pelo conteúdo proibido.
A abordagem é elegante. Os pesquisadores solicitaram ao Copilot que construísse um programa de teste que avalia a resistência de modelos de IA a prompts nocivos. O programa precisava de exemplos de perguntas e respostas nocivas como "teaching shots". O Copilot produziu as respostas por conta própria, como efeito colateral da tarefa de programação atribuída. Em 816 de 816 execuções, o conteúdo gerado foi classificado como genuinamente nocivo por dois revisores especialistas. Os testes usaram quatro modelos via Copilot (Claude Sonnet 4.6, Claude Haiku 4.5, Gemini 3.1 Pro e Gemini 3.5 Flash) em configurações padrão. Como os autores escreveram: "A model that refuses harmful prompts in isolation may still fail once the same objective is embedded inside an ordinary multi-turn IDE session."
HalluSquatting: alucinações de LLMs transformadas em botnet
Por Aya Spira, Ben Nassi e equipe (Tel Aviv University)
Aya Spira, Ben Nassi e equipe da Tel Aviv University demonstraram o HalluSquatting, um ataque que transforma a tendência de alucinação dos LLMs em vetor de infecção em escala. O conceito é direto: identificar os nomes falsos que uma IA inventa consistentemente quando solicitada a buscar um recurso popular, registrar esses nomes primeiro e esperar que os assistentes busquem a versão armadilhada.
A taxa de consistência encontrada nos experimentos é o que torna o ataque prático: até 85% para repositórios e 100% para instalação de skills. A equipe testou contra Cursor, Windsurf, GitHub Copilot, Cline, Gemini CLI e OpenClaw, conseguindo execução de código do atacante em todos. Os payloads de teste eram inofensivos, mas o caminho para um malware real é idêntico. O diferencial em relação a um typosquatting tradicional é que o atacante não precisa adivinhar erros de digitação. O modelo erra de forma previsível e repetível (again), o que torna o squatting uma questão de estatística, não de sorte.
Agentjacking: erros falsos no Sentry sequestram agentes de código
Por Tenet Security
A Tenet Security apresentou o conceito de Agentjacking, um vetor de ataque contra agentes de codificação com IA como Claude Code, Cursor e Codeex. A técnica explora DSNs públicos do Sentry (credenciais write-only embutidas em JavaScript client-side) para injetar eventos de erro falsos contendo markdown malicioso. Quando o agente de IA tenta resolver esses "erros", executa os comandos do atacante com os privilégios completos do usuário.
A pesquisa encontrou 71 DSNs injetáveis entre os top um milhão de sites e pelo menos 2.000 organizações expostas. Quase metade das implementações de servidores MCP testadas tratam output de ferramentas externas com a mesma autoridade de prompts do usuário. O ataque pode exfiltrar chaves AWS, tokens GitHub e credenciais npm sem que o desenvolvedor perceba. O problema é sistêmico e reforça um padrão que esta edição repete em vários artigos: agentes de IA confiam demais em conteúdo externo.
Fontes:
-
https://thehackernews.com/2026/07/ghostapproval-symlink-flaws-could-let.html
-
https://noma.security/blog/gitlost-how-we-tricked-githubs-ai-agent-into-leaking-private-repos/
-
https://thehackernews.com/2026/07/github-copilot-refuses-harmful-requests.html
-
https://thehackernews.com/2026/07/new-hallusquatting-attack-could-trick.html
⚡ Quicklinks
Detection Chokepoints: mapeando detecções que atacantes não conseguem contornar
Por iimp0ster
Framework que mapeia pontos de detecção invariantes, pré-requisitos técnicos que atacantes não conseguem contornar mesmo com rotação de ferramentas. Cataloga chokepoints como roubo de credenciais LSASS, bypass de EDR e web shells, classificando cada detecção por nível de ruído e maturidade operacional.
Grok-4.5 jailbreakado no dia do lançamento
Por Elder Plinius
Elder Plinius contornou as proteções do Grok-4.5 da xAI logo após o lançamento. O modelo possui 1,5 trilhão de parâmetros, o triplo do Grok-4.3, mas o aumento massivo de escala não se traduziu em robustez contra manipulação adversarial. Padrão recorrente: modelos de ponta caem no dia em que são disponibilizados ao público.
NinjaDBG: debugger stealth-aware para Linux x86-64
Por chapzomods
Debugger nativo com foco em stealth para Linux x86-64, com suporte experimental para Windows e macOS. Implementa 8 técnicas de anti-detecção em userland e 8 em kernel, descompilação via RetDec, scripting em Lua e Python, e interpretação de memória como tipos de diversas linguagens (C strings, std::string, Rust String, Go string).
Advanced Loader Reverse Engineering: module stomping e COM hijacking
Por kaandemir993
Análise de engenharia reversa de um loader multifase que injeta payloads em Shellhost.exe via module stomping, bypassa CFG em amsi.dll com traps INT3, explora mstscax.dll para COM hijacking. Documentação completa com IOCs e seções customizadas.
Fontes:
🤖 Out of Curiosity
Minimax planeja modelo open source com 2,7 trilhões de parâmetros
Por AiDrop
A empresa chinesa de IA Minimax anunciou planos de lançar ainda em 2026 um modelo de linguagem open source com 2,7 trilhões de parâmetros, o que o colocaria entre os maiores modelos abertos já disponibilizados. O movimento intensifica a competição entre laboratórios chineses e ocidentais no segmento de modelos de grande escala abertos. A corrida geopolítica por modelos de ponta open source segue acelerada, e vale ficar de olho.
Fontes:
// EOF
Há três detalhes técnicos que merecem atenção:
Nested vira retrocesso silencioso. Ativar nested virtualization no KVM para um único tenant faz o hipervisor regredir ao shadow MMU legado de 2010 para todos os outros guests da máquina, mesmo com EPT ou NPT em hardware. É opt-in por um, exposição por todos.
WRITE_DAC é um snapshot, não um contrato. No CVE-2025-27727, o exploit abre o handle enquanto a pasta ainda tem NULL DACL e mantém o direito mesmo depois que o msiexec aplica DACL restritiva. O Windows checa permissão só na abertura, e essa janela basta para trocar rollback scripts sob o SYSTEM.
Type confusion via offset compartilhado no FreeBSD. A cadeia pipe-file explora que struct file e struct pipe coincidem no offset +16: num é a vtable f_ops, no outro é pipe_buffer.buffer controlado pelo atacante. Um fchown() vira write-what-where para CR4 via gadget mov cr4, rsi.
A dívida técnica não paga juros. Ela paga rendimento composto para quem sabe ler diff.
Curadoria:
The Old Pirate, que sabe que um bom use-after-free nunca envelhece