Em um relatório recente, a consultoria também destacou vulnerabilidades encontradas em empresas como Microsoft e AWS, além de uma falha grave na StreamElements – uma das principais plataformas de streaming em nuvem, que resultou na exposição de dados sensíveis de mais de 100 mil usuários, incluindo nomes, endereços, e-mails e números de telefone.
A cada dia, novas vulnerabilidades são exploradas por cibercriminosos, colocando em risco dados, operações e reputações de empresas em todo o mundo. Falhas que passam despercebidas podem ser a porta de entrada para ataques devastadores, expondo organizações a prejuízos irreversíveis. Diante desse cenário, a Redbelt Security, consultoria especializada em segurança da informação, apresenta sua mais recente curadoria de vulnerabilidades críticas identificadas em grandes corporações globais. Mais do que um relatório técnico, este levantamento evidencia como brechas que poderiam ser evitadas continuam ameaçando até as infraestruturas mais robustas. Com isso, reforçamos a necessidade de uma postura vigilante e estratégica para mitigar riscos antes que eles se transformem em crises.
As vulnerabilidades recentemente identificadas são:
- Microsoft identifica 3.000 chaves de ASP.NET vazadas que permitem ataques de injeção de código: a Microsoft está alertando sobre uma prática insegura em que desenvolvedores incorporam chaves de máquina ASP.NET extraídas de fontes públicas, expondo seus aplicativos a ataques. A equipe de inteligência de ameaças da empresa observou, em dezembro de 2024, uma atividade suspeita envolvendo um agente desconhecido que utilizou uma chave de máquina ASP.NET estática, disponível publicamente, para injetar código malicioso e entregar a estrutura de pós-exploração Godzilla. Além disso, a Microsoft identificou mais de 3.000 chaves vazadas publicamente, potencialmente exploráveis nesses ataques, que foram classificados como “injeção de código ViewState”. Esse método é usado na estrutura ASP.NET para preservar valores de página e controle entre postbacks, podendo também armazenar dados específicos de aplicativos.Para mitigar os riscos, a recomendação é evitar o uso de chaves obtidas de fontes públicas e alterná-las regularmente. Como medida adicional, a Microsoft informou que removeu artefatos críticos de “instâncias limitadas” em que essas chaves estavam presentes em sua documentação.
- Falha do conector do Microsoft SharePoint pode ter habilitado o roubo de credenciais no Power Platform: pesquisadores de segurança cibernética divulgaram detalhes sobre uma vulnerabilidade — já corrigida — no conector do Microsoft SharePoint no Power Platform. Caso explorada, essa falha poderia permitir que agentes mal-intencionados coletassem credenciais de usuários e realizassem ataques subsequentes. Esse tipo de exploração possibilitaria que invasores enviassem solicitações para a API do SharePoint em nome dos usuários afetados, obtendo acesso não autorizado a dados confidenciais, conforme relatado pela Zenity Labs.Após a divulgação responsável em setembro de 2024, a Microsoft corrigiu a falha, classificada com gravidade “Importante”, no dia 13 de dezembro. O problema estava relacionado a um caso de falsificação de solicitação do lado do servidor (SSRF), originado pelo uso inadequado da funcionalidade “valor personalizado” no conector do SharePoint. Isso permitia que invasores inserissem URLs maliciosas em fluxos de execução.Para que o ataque fosse bem-sucedido, o invasor precisaria ter permissões de Criador de Ambiente e Usuário Básico no Power Platform. Isso significa que ele deveria, primeiramente, obter acesso à organização-alvo por outros meios antes de explorar a vulnerabilidade.
- Campanha maliciosa compromete 150 mil sites com injeções de JavaScript para jogos de azar: Uma campanha de ciberataques está infectando milhares de sites legítimos com códigos maliciosos em JavaScript, redirecionando usuários para plataformas suspeitas de jogos de azar. Estima-se que cerca de 150 mil sites já tenham sido comprometidos. O ataque, baseado em injeção de JavaScript, permite que criminosos manipulem o comportamento das páginas visitadas, explorando falhas de segurança para enganar usuários e levá-los a sites fraudulentos. Especialistas alertam que essa prática tem evoluído, se tornando mais sofisticada e difícil de detectar. Os invasores utilizam a técnica de injeção de iframe para sobrepor uma tela falsa no navegador da vítima, criando a ilusão de que o conteúdo exibido pertence ao site original. Dados da PublicWWW indicam que mais de 135.800 sites ainda carregam a carga maliciosa, servindo como vetores para os golpes. Com o avanço dessas ameaças, a adoção de medidas preventivas e a conscientização dos usuários são essenciais para minimizar os impactos. Enquanto proprietários de sites devem reforçar a segurança de suas plataformas, os internautas precisam estar atentos aos sinais de fraude para evitar cair em armadilhas digitais.
- StreamElements confirma violação de dados após infecção por Infostealer: A StreamElements, uma das principais plataformas de streaming em nuvem, confirmou uma violação significativa de dados decorrente da infecção de um provedor terceirizado. O ataque expôs informações sensíveis de mais de 100 mil pessoas, incluindo nomes, endereços, e-mails e números de telefone.A origem da violação foi rastreada até o Redline Infostealer, um malware projetado para roubo de credenciais corporativas. A brecha permitiu que agentes de ameaça acessassem o Sistema de Gerenciamento de Pedidos da StreamElements, extraindo dados de compras realizadas entre 2020 e 2024. A empresa garantiu que nenhum de seus servidores internos foi comprometido, mas informou que está notificando os clientes afetados e adotando medidas para mitigar os impactos da violação.
- Novo ataque “whoAMI” explora falha em AMIs da AWS para execução remota de código: Pesquisadores identificaram o ataque “whoAMI”, que explora a confusão de nomes em imagens de máquina da Amazon (AMI) para obter execução remota de código em contas da AWS. A vulnerabilidade ocorre porque qualquer usuário pode publicar AMIs no catálogo público, e desenvolvedores que não especificam o atributo –owners ao buscá-las podem acabar selecionando versões comprometidas. A Datadog relatou que cerca de 1% das organizações monitoradas foram afetadas e encontrou exemplos de código vulnerável em diversas linguagens. A falha foi divulgada em 16 de setembro de 2024 e corrigida pela Amazon três dias depois. A AWS afirmou não ter evidências de que a técnica tenha sido explorada até o momento.
