Pacific News #293: O voo da Águia

Pacific News #293: O voo da Águia

Assunto do momento: Casa Branca lança iniciativa “Gold Eagle” de coordenação de vulnerabilidades impulsionada por IA

O que aconteceu? A Casa Branca lançou o Gold Eagle, um novo mecanismo de coordenação destinado a acelerar ações de detecção, priorização e correção de falhas de segurança em infraestruturas críticas. O programa deriva da Ordem Executiva chamada “Promovendo a Inovação e a Segurança em Inteligência Artificial Avançada”, assinada pelo presidente Trump em 2 de junho.

Por que isso importa? Os objetivos são reduzir a duplicidade de varreduras de vulnerabilidades entre agências e empresas, bem como encaminhar orientações de correção priorizadas e acionáveis ​​aos responsáveis ​​pela defesa, tanto no governo quanto na indústria.

Como funciona: Segundo o Secretário de Guerra, Pete Hegseth, “O Gold Eagle atua na vanguarda da defesa cibernética dos Estados Unidos. Estamos utilizando IA de ponta, em parceria com os principais inovadores americanos, para proteger nossa infraestrutura crítica e garantir a segurança do país.”

Saiba mais: O Gold Eagle envolve a CISA, o Departamento do Tesouro e o Departamento de Guerra, trabalhando em conjunto com parceiros do setor privado.


LegacyHive: o exploit que ameaça segurança do Windows

O que aconteceu? Na mesma semana em que a Microsoft lançou o maior número de atualizações de segurança até hoje, o pesquisador NightmareEclipse também lançou um novo zero-day para o Windows: o LegacyHive, que, basicamente, permite que contas de baixo privilégio executem mudanças em contas administradoras. 

Por que isso importa? Mesmo após todas as atualizações de segurança, o LegacyHive ainda funciona, explorando uma vulnerabilidade no serviço de Perfil de Usuário do Windows, usando links simbólicos e um truque de timing para fazer Windows carregar a registry de um usuário administrador quando ele deveria estar carregando a de outro usuário. 

Como funciona: O atacante precisa, basicamente, de duas coisas: credenciais de uma conta padrão, que será chamada de “helper” e saber o nome do usuário que ele quer atacar. Através de um diretório temporário, vários links simbólicos são configurados e criam caminhos enganosos dentro do sistema de arquivos do Windows. 

Um truque sagaz: Quando o Windows tenta carregar a registry do helper, ele segue o caminho modificado. Mas o exploit coloca um "bloqueio" temporário no arquivo de registry do helper que faz Windows parar no meio do processo. Enquanto o Windows está parado esperando, o exploit remove o link simbólico e o substitui por outro que agora aponta para a registry do usuário alvo. 

A execução: Quando o bloqueio é liberado, Windows continua o processo, mas agora está carregando a registry da pessoa que ele queria atacar, sem nem perceber. No final, o atacante consegue acessar e modificar a registry do usuário alvo usando as permissões da conta helper. 

Pós-exploração: A partir da registry o atacante pode, por exemplo, extrair credenciais armazenadas em cache, credenciais de domínio que o Windows mantém para autenticação, modificar configurações de inicialização do alvo, instalar backdoors, desabilitar ferramentas de segurança e muito mais.


Papo Rápido

@Ataques

Mais de 20 sites governamentais brasileiros foram invadidos e transformados em um centro de entrega de malware, através da campanha PhantomEnigma. Após comprometer os sites oficiais, os atacantes enviam e-mails às vítimas se passando por órgãos legítimos, contendo link para o site comprometido. O objetivo da campanha é infectar o maior número possível de usuários com backdoor, focado em roubo bancário.  (TheHackerNews)

A autoridade de proteção de dados italiana multou a operadora de telecomunicações WINDTRE em 1,7 milhão de euros por falhas graves em seus sistemas de segurança de dados, o que resultou em duas violações não autorizadas e na exposição de informações pessoais de mais de 365.000 clientes. (Reuters)

@Patches

Uma vulnerabilidade no Zoom para desktop e em seu kit de desenvolvimento de software para Windows pode ser explorada por um atacante não-autenticado para invadir contas. A falha, conhecida como CVE-2026-53412, possui severidade crítica (CVSS 9.8/10) e foi corrigida na versão mais recente do software. (BleepingComputer)

@Mundo

O Marrocos usou, por vários anos, programas maliciosos, incluindo o spyware Pegasus, para espionar jornalistas, defensores de direitos humanos, políticos franceses e espanhóis e até mesmo policiais. Apesar do governo sempre negar este uso, um informante que trabalhou por mais de uma década na inteligência marroquina confirmou o uso.  (TheGuardian)

No início de julho, a AWS IAM Identity Center lançou a funcionalidade que permite a aplicações do lado do servidor assumirem roles (perfis de permissão) em nome de seus usuários. No entanto, o recurso ainda é um tanto imaturo e conta com registros do CloudTrail muito limitados. (Awsteele)


Quer saber mais? Siga-nos nas redes sociais: LinkedinInstagram.
Segurança nunca é demais, ainda mais nos dias de hoje.
Compartilhe o conhecimento, espalhe a segurança!

Siga nossa Newsletter e se mantenha atualizado sobre as últimas tendências em Cybersec!

Escrito por: Thaís Hudari AbibMurilo Lopes e Cíntia Baltar
Arte: George Lopes e Anselmo Costa