Sign in Subscribe
Newsletter

PacificNews#198: Short Circuit

PacificNews#198: Short Circuit

Os resultados do caçador de vulnerabilidades baseado em IA da Google

O vice-presidente de segurança do Google, Heather Adkins, anunciou na segunda-feira que seu pesquisador de vulnerabilidades baseado em LLM, Big Sleep, encontrou e relatou 20 falhas em diversos softwares populares de código aberto, tais como FFmpeg e ImageMagick. O Big Sleep foi desenvolvido pelo departamento de IA da empresa, DeepMind, e por sua equipe de elite de ciber analistas, Project Zero.

Como as vulnerabilidades ainda não foram corrigidas, não foram divulgados detalhes sobre seu impacto ou gravidade, o que é uma política padrão ao aguardar a correção de bugs. Mas o simples fato de o Big Sleep ter encontrado essas vulnerabilidades é significativo, pois mostra que essas ferramentas estão começando a gerar resultados reais.

No entanto, vale observar que os relatórios gerados contam com a presença de um humano em algum momento do processo para verificar se o caçador de bugs com IA encontrou uma vulnerabilidade legítima e amenizar preocupações sobre falsos positivos ou bugs decorrentes de alucinações, garantindo que os problemas sejam dignos de serem relatados aos seus respectivos desenvolvedores.

Outras ferramentas com tecnologia LLM que podem procurar e encontrar vulnerabilidades são o RunSybil e o XBOW. Este último ganhou as manchetes após alcançar o topo de uma das tabelas de classificação dos EUA na plataforma de caça a bugs HackerOne. 

O Google planeja um briefing técnico completo nos próximos eventos Black Hat USA e DEF CON 33, e doará dados de treinamento anônimos para o Secure AI Framework para que outros pesquisadores possam se beneficiar da tecnologia.

Leia mais

Shade BIOS: o ataque capaz de destruir qualquer segurança

Uma das limitações de ataques modernos são as soluções defensivas implementadas em endpoints, como EDR e XDR. Entretanto, o pesquisador de segurança Kazuki Matsuo conseguiu desenvolver uma técnica que opera 100% à nível de BIOS, um lugar onde nenhuma solução de segurança consegue chegar. Esta técnica é chamada Shade BIOS e tem como particularidade o fato de que requer essencialmente zero interações com o sistema operacional.

O sucessor do sistema BIOS, o UEFI (Unified Extensible Firmware Interface), responsável por conectar o firmware de um computador com o sistema operacional, está presente em, basicamente, todo o lugar. Não é novidade que ataques alvejem o UEFI, afinal, ele é executado antes do sistema operacional durante a inicialização do computador. Ao agir antes do sistema, o malware consegue se tornar extremamente persistente e capaz de desativar alguns programas de segurança antes de seu carregamento. Mas, ainda assim, ataques de UEFI não consegue desviar totalmente do Sistema Operacional, afinal, eventualmente ele necessita desta comunicação entre SO e UEFI para interagir com os dispositivos, o que pode expor o malware.

O Shade BIOS opera em um outro nível. Pense que sempre que o Sistema Operacional inicia-se, as funcionalidades e recursos do ambiente UEFI/BIOS são destruídas, a grosso modo. O Shade BIOS garante que este ambiente seja levado até a memória mesmo após a inicialização do sistema. Ou seja, manter o controle do BIOS permite que o invasor execute malware diretamente nesse ambiente, como se fosse um segundo sistema operacional, pequeno e invisível, funcionando paralelamente ao sistema principal da máquina, sem ser detectado por ele ou por qualquer outro programa. Vale destacar que a BIOS possui seu próprio gerenciamento de memória, então diversos tipos de ataques podem ser executados nesse nível.

Estamos falando somente de uma técnica recém descoberta e que será apresentada ao público durante a Black Hat 2025, mas está poderá ser uma realidade em novos ataques daqui para a frente. Profissionais que se preocupam com esta frente precisam adotar uma postura defensiva bastante proativa, basicamente, fazendo um dump de memória da máquina e analisá-la em busca de códigos suspeitos, mesmo sem nenhum sinal prévio de que isso seria necessário. Mas calma, caro leitor. Estamos falando de ataques muito elaborados e que não são comuns no dia-a-dia: os maiores contextos em que são utilizados são no contexto de segurança nacional. Ainda assim, fica o aprendizado de como os agentes de ameaça estão se desenvolvendo.

Leia mais

Patches & Updates

Cursor:
A falha rastreada como CVE-2025-54135 (pontuação CVSS de 8,6) no editor de código de IA Cursor permitiu que invasores remotos explorassem um problema de injeção indireta de prompt para modificar arquivos MCP sensíveis e executar código arbitrário. De acordo com a AimLabs, que descobriu o bug e o chamou de CurXecute, o problema é que as edições sugeridas no mcp.json vão imediatamente para o disco e o Cursor as executa, antes que o usuário as aceite ou rejeite. Resolvida na versão 1.3 do Cursor, esta não foi a única falha de execução de código resolvida no agente de IA recentemente. Outro problema, rastreado como CVE-2025-54136 (pontuação CVSS de 7,2), poderia ter permitido que invasores trocassem arquivos de configuração MCP inofensivos por comandos maliciosos, sem disparar um aviso. 

Android:
Seis vulnerabilidades impactando o sistema operacional Android foram corrigidas pelo Google nas atualizações de segurança de Agosto de 2025. Duas dessas falhas exploravam o Qualcomm:  CVE-2025-21479 e CVE-2025-27038. É interessante ressaltar que ambas vulnerabilidades também foram adicionadas ao catálogo KEV – Vulnerabilidades Conhecidas e Exploráveis – da CISA. As atualizações de segurança vieram em dois patches separados, onde o primeiro ocorreu no dia 01 de agosto de 2025 e o segundo, 05 de agosto de 2025. Dispositivos Google Pixel receberam as atualizações imediatamente, enquanto outros fabricantes podem demorar mais tempo para recebê-las. 

SonicWall:
Um possível ataque zero-day está sendo investigado pela SonicWall, após um aumento nos casos de ransomware Akira direcionados a firewalls Gen 7 com SSL VPN ativado. A empresa tenta determinar se os ataques exploram uma falha já conhecida ou uma vulnerabilidade inédita. Três empresas de cibersegurança confirmaram ataques em execução, sendo elas: Arctic Wolf, Google Mandiant e Huntress, mas ainda não se sabe se há ou não uma vulnerabilidade nova envolvida. Atividades de ransomware alvejando o SSL VPN da SonicWall tiveram um pico em meados de julho. A SonicWall recomenda que usuários de firewalls Gen 7 apliquem imediatamente medidas de mitigação enquanto a investigação continua. As ações sugeridas incluem desativar o SSLVPN sempre que possível, limitar o acesso a IPs confiáveis, ativar recursos de segurança como proteção contra botnets e filtro por localização geográfica, além de exigir autenticação multifator (MFA).

Destaques pelo mundo

TikTok:
Uma campanha maliciosa está aproveitando-se do nome da TikTok Shop para atacar usuários globalmente, roubando credenciais e distribuindo aplicativos trojanizados. A técnica envolve uma combinação de phishing com malware. Esta campanha ficou conhecida como ClickTok e emprega uma estratégia de distribuição com várias frentes, usando anúncios no Meta e vídeos gerados por inteligência artificial no TikTok que imitam influenciadores ou embaixadores oficiais da marca. E para dar mais credibilidade são empregados mais de 15000 domínios que lembram muito as URLs oficiais do TikTok, onde as vítimas são instruídas a fazer login com sua conta TikTok. Assim, os golpistas conseguem roubar credenciais, enganar usuários e ainda instalar um malware em seus dispositivos móveis, tudo a partir de uma única estratégia. 

Pwn2Own:
Em seu próximo concurso de hacking chamado Pwn2Own Ireland 2025 (nos dias 21 a 24 de outubro em Cork), a Zero Day Initiative oferecerá uma recompensa de US$1 milhão para pesquisadores de segurança que demonstrem uma vulnerabilidade de zero clique, que permitem a execução de código sem interação do usuário, no WhatsApp. O evento do ano passado concedeu US$ 1.078.750 por mais de 70 vulnerabilidades exclusivas de dia zero, com a Viettel Cyber Security arrecadando US$ 205.000 por falhas demonstradas no QNAP NAS, alto-falantes Sonos e impressoras Lexmark.  

Microsoft365:
Alguns serviços de segurança de e-mail incluem um recurso de encapsulamento de links que reescreve as URLs da mensagem para um domínio confiável e as passa por um servidor de varredura projetado para bloquear destinos maliciosos. Um agente de ameaças tem usado justamente tais serviços de encapsulamento de links de empresas de tecnologia renomadas para mascarar links maliciosos que levam a páginas de phishing do Microsoft 365 e coletam credenciais de login. Segundo pesquisadores, os ciber atacantes teriam abusado do encapsulamento de links da Proofpoint e da Intermedia de diversas maneiras, incluindo redirecionamentos em várias camadas com encurtadores de URL por meio de contas comprometidas. Acredita-se que as vítimas foram atraídas com notificações falsas para mensagens de voz ou documentos compartilhados do Microsoft Teams. No final da cadeia de redirecionamento, havia uma página de phishing do Microsoft Office 365 que coletava credenciais.

Quer saber mais? Siga-nos nas redes sociais: LinkedinInstagram.
Segurança nunca é demais, ainda mais nos dias de hoje.
Compartilhe o conhecimento, espalhe a segurança!

Siga nossa Newsletter e se mantenha atualizado sobre as últimas tendências em Cybersec!

Escrito por: Thaís Hudari Abib e Murilo Lopes
Arte: George Lopes e Anselmo Costa

Read more