← Voltar ao Blog
Briefing de Segurança 8 min de leitura

Exploração da VMware enlouquece, surto de phishing OAuth e violação do LexisNexis

Publicado: 2026-03-04

A CISA sinaliza o VMware Aria Operations RCE como explorado ativamente. A Microsoft expõe um sofisticado ataque de redirecionamento OAuth que contorna o MFA. LexisNexis confirma roubo de hackers 2 GB de dados incluindo registros de funcionários do governo. E mais: AkzoNobel atingido pelo ransomware Anubis e falsas campanhas de suporte de TI implantam o Havoc C2.


🔴 Crítico: operações do VMware Aria sob ataque ativo

CVE-2026-22719 — PATCH IMEDIATAMENTE

A CISA adicionou uma vulnerabilidade de injeção de comando do VMware Aria Operations ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV). A falha permite invasores não autenticados executem comandos arbitrários, levando à execução remota completa do código.

Pontuação CVSS: 8,1 (Alto)  |  Prazo:24 de março de 2026

A vulnerabilidade existe no componente de serviço de migração do VMware Aria Operations. Durante a migração de produto assistida por suporte, um ator não autenticado pode injetar comandos que são executados como root por meio de uma configuração incorreta do sudoers em vmware-casa-workflow.sh.

Broadcom released patches on fevereiro 24 along with a temporary workaround script (aria-ops-rce-workaround.sh) que desativa os componentes de migração vulneráveis. A empresa reconheceu relatos de exploração ativa, mas afirmou que “não pode confirmar de forma independente a sua validade”.

Também corrigido em VMSA-2026-0001:

CVEDigiteImpacto
CVE-2026-22719Injeção de comandoRCE não autenticado
CVE-2026-22720XSS armazenadoSequestro de sessão
CVE-2026-22721Escalonamento de privilégiosAcesso de administrador

🟠 Abuso de redirecionamento OAuth: ignorando MFA em escala

Os pesquisadores do Microsoft Defender descobriram uma campanha sofisticada em que os agentes de ameaças abusam do mecanismo legítimo de redirecionamento do OAuth 2.0 para contornar as proteções contra phishing de e-mail e navegador. Os ataques visam principalmente organizações governamentais e do setor público.

Como funciona o ataque:

  1. Entrega da isca: E-mails de phishing disfarçados como solicitações de assinatura eletrônica, avisos de SSA ou convites de reuniões contêm URLs de redirecionamento OAuth
  2. Falha de autenticação silenciosa: Os invasores registram aplicativos OAuth maliciosos com escopos inválidos e prompt=none, forçando erros de autenticação
  3. Sequestro de redirecionamento: O provedor de identidade redireciona as vítimas para o URI de redirecionamento controlado pelo invasor
  4. Roubo de credenciais: As estruturas do atacante EvilProxy interceptam cookies de sessão, ignorando o MFA

Em algumas variantes, as vítimas são redirecionadas para um /download caminho que entrega automaticamente arquivos ZIP contendo arquivos maliciosos .LNK arquivos. Eles iniciam o PowerShell para reconhecimento antes que o carregamento lateral de DLL implante a carga final.

Conclusão principal: Este ataque abusa comportamento pretendido na estrutura OAuth. O mecanismo de tratamento de erros funciona exatamente como o padrão especifica – os invasores simplesmente transformam o fluxo de redirecionamento em uma arma.


🔴 Violação LexisNexis: dados governamentais expostos

Legal data giant LexisNexis Legal & Professional has confirmed hackers breached its AWS infrastructure on fevereiro 24 by exploiting theVulnerabilidade React2Shell em um aplicativo front-end React sem patch.

O agente da ameaça "FulcrumSec" vazou 2 GB de dados estruturados da violação, reivindicando acesso a:

A LexisNexis afirmou que os dados comprometidos eram “principalmente dados legados e obsoletos de antes de 2020” e não incluíam SSNs, informações financeiras ou senhas ativas. A empresa afirma que a intrusão foi contida.


🟠 Anubis Ransomware atinge AkzoNobel

Gigante holandês de tintas e revestimentos AkzoNobel (receita de mais de US$ 12 bilhões, 35.000 funcionários, mais de 150 países) confirmou uma violação de rede em uma de suas instalações nos EUA. A gangue de ransomware Anubis afirma ter exfiltrado 170 GB de dados incluindo:

Anubis, a RaaS operation active since dezembro 2024, offers affiliates 80% of ransom payments and added a destructivelimpador de dados capacidade em meados de 2025.


🟡 Suporte de TI falso implanta estrutura Havoc C2

Os pesquisadores da Huntress identificaram uma campanha em cinco organizações onde os invasores se disfarçam como funcionários de suporte de TI para implantar o Estrutura de comando e controle Havoc. O manual reflete de perto as táticas usadas pelos antigos Basta Preta afiliados de ransomware:

  1. E-mail bombardeia a caixa de entrada do alvo com spam
  2. Ligue fingindo ser o suporte de TI oferecendo ajuda
  3. Implante cargas úteis do Havoc Demon e ferramentas RMM legítimas
  4. Mova-se lateralmente — em um caso, 9 endpoints comprometidos em 11 horas

A velocidade do movimento lateral sugere objetivos finais de exfiltração de dados ou implantação de ransomware.


📊 Mais manchetes em resumo

HistóriaImpacto
Ataques iranianos a data centers da AWS nos Emirados Árabes UnidosVulnerabilidade da infraestrutura física exposta; duas instalações foram atingidas diretamente
Violação do Centro de Câncer da Universidade do Havaí1,2 milhão de indivíduos afetados; SSN, dados de saúde, registos eleitorais roubados
Avanço do RSA quânticoNovo algoritmo sugere que a descriptografia RSA seja viável antes do esperado
Android Qualcomm dia zero corrigidoEstouro de número inteiro no componente gráfico leva à corrupção de memória
Lemming Desleixado tem como alvo Paquistão e BangladeshCadeias duplas de malware direcionadas à infraestrutura governamental
Interrupção mundial do FacebookAccounts unavailable globally on março 3

Como Kensai protege você

Monitoramento de CVE em tempo real — CVE-2026-22719 indexado e sinalizado poucas horas após a adição do KEV

Detecção de ataque OAuth — Monitore registros suspeitos de aplicativos OAuth e padrões de redirecionamento

Verificação de infraestrutura em nuvem — Detecte vulnerabilidades do React2Shell e de aplicativos da web semelhantes antes que os invasores o façam

Preparação para ransomware — Gestão contínua da exposição contra ameaças como o Anubis RaaS


Ações recomendadas

  1. Imediato: Corrija as operações do VMware Aria ou aplique o script de solução alternativa para CVE-2026-22719
  2. Imediato: Audite os registros do aplicativo OAuth em seu locatário Entra ID
  3. Hoje: Verifique os front-ends do React/Node.js para vulnerabilidade do React2Shell
  4. Esta semana: Revise as políticas de acesso condicional e restrinja o consentimento do aplicativo OAuth
  5. Em andamento: Treinar a equipe em táticas falsas de engenharia social de suporte de TI

Proteja sua organização com Kensai

Gerenciamento de vulnerabilidades baseado em IA com mais de 335.000 CVEs indexados.

Comece o teste gratuito

Fique seguro. Fique atento.

🗡️ Equipe de segurança KENSAI