剣 KENSAI
← All posts · security

Bypass de Autenticação CCTV Honeywell + Violação de 1M de Contas Figure


Crítico: Bypass de Autenticação CCTV Honeywell

Aviso CISA: CVE-2026-1670 — CVSS 9.8

CISA está alertando sobre uma vulnerabilidade crítica em vários produtos CCTV Honeywell usados em infraestrutura crítica. Atacantes podem sequestrar contas e acessar feeds de câmeras sem autenticação.

Descoberto pelo pesquisador Souvik Kanda, CVE-2026-1670 é classificado como "autenticação ausente para função crítica". A falha permite que um atacante não autenticado altere o endereço de e-mail de recuperação associado a uma conta de dispositivo, permitindo aquisição completa da conta.

Modelos Afetados

Modelo Versão do Firmware
I-HIB2PI-UL 2MP IP 6.1.22.1216
SMB NDAA MVO-3 WDR_2MP_32M_PTZ_v2.0
PTZ WDR 2MP 32M WDR_2MP_32M_PTZ_v2.0
25M IPC WDR_2MP_32M_PTZ_v2.0

Essas câmeras compatíveis com NDAA são implantadas em agências governamentais dos EUA, contratados federais e instalações críticas. CISA recomenda:

  • Minimizar exposição de rede de dispositivos de sistema de controle
  • Isolar sistemas CCTV atrás de firewalls
  • Usar soluções VPN seguras para acesso remoto
  • Entrar em contato com suporte Honeywell para orientação de patch

Figure Fintech: 967K Contas Violadas

ShinyHunters Reivindica Responsabilidade por Ataque de Engenharia Social

Empresa fintech nativa de blockchain Figure Technology Solutions sofreu violação afetando quase 1 milhão de contas. O ataque foi executado via engenharia social.

Figure, que desbloqueou mais de $22 bilhões em patrimônio residencial com 250+ parceiros incluindo bancos, cooperativas de crédito e fintechs, confirmou o incidente ao TechCrunch. Os atacantes usaram phishing por voz (vishing) para enganar um funcionário a fornecer acesso.

Dados Expostos

  • 967.200 contas únicas afetadas
  • Endereços de e-mail
  • Nomes completos
  • Números de telefone
  • Endereços físicos
  • Datas de nascimento

O grupo de extorsão ShinyHunters vazou 2,5GB de dados de milhares de solicitantes de empréstimo em seu site da dark web. Isso faz parte de uma campanha maior visando contas SSO na Okta, Microsoft e Google em 100+ organizações de alto perfil.

🎯 Padrão de Ataque

Atacantes se passam por suporte de TI, ligam para funcionários e os enganam para inserir credenciais e códigos MFA em sites de phishing que imitam portais de login da empresa. Uma vez dentro, eles ganham acesso a aplicativos empresariais conectados incluindo Salesforce, Microsoft 365, Google Workspace, Slack e Dropbox.


Extensões VS Code: 125M+ Downloads Afetados

Falhas Críticas Permitem Exfiltração de Arquivos e Execução Remota de Código

Pesquisadores da OX Security descobriram várias vulnerabilidades em quatro extensões populares do VS Code. Três CVEs permanecem sem patch.

"Um hacker precisa apenas de uma extensão maliciosa, ou uma única vulnerabilidade dentro de uma extensão, para realizar movimento lateral e comprometer organizações inteiras", alertaram os pesquisadores.

CVE Extensão CVSS Impacto
CVE-2025-65717 Live Server 9.1 Exfiltração de arquivo local via site malicioso
CVE-2025-65716 Markdown Preview Enhanced 8.8 Execução JavaScript arbitrária via arquivo .md
CVE-2025-65715 Code Runner 7.8 Execução de código arbitrário via settings.json
Microsoft Live Preview Exfiltração de arquivo sensível (corrigido em v0.4.16)

Ações Imediatas

  • Auditar extensões VS Code instaladas — remover desconhecidas ou desnecessárias
  • Desabilitar serviços baseados em localhost quando não em uso
  • Atualizar Microsoft Live Preview para versão 0.4.16+
  • Fortalecer rede local atrás de um firewall
  • Evitar aplicar configurações não confiáveis

Microsoft Copilot Contorna Políticas DLP

Bug Ativo Desde 21 de Janeiro — Resumindo E-mails Confidenciais

Um bug do Microsoft 365 Copilot tem causado o assistente de IA a resumir e-mails confidenciais, contornando políticas de prevenção de perda de dados (DLP) que protegem informações sensíveis.

Rastreado como CW1226324, este bug afeta o recurso de chat "work tab" do Copilot. Ele lê e resume incorretamente e-mails em pastas de Itens Enviados e Rascunhos — incluindo mensagens com rótulos de confidencialidade explicitamente projetados para restringir acesso por ferramentas automatizadas.

Cronograma

  • 21 de janeiro de 2026: Bug detectado pela primeira vez
  • Início de fevereiro: Microsoft começou a implementar correção
  • 19 de fevereiro: Atualização de configuração implantada mundialmente

Microsoft declarou: "Isso não forneceu a ninguém acesso a informações que não estavam já autorizados a ver... Uma atualização de configuração foi implantada mundialmente para clientes empresariais."

Recomendação Empresarial

Revise logs de atividade do Copilot para o período desde 21 de janeiro. Verifique se conteúdo rotulado com sensibilidade não foi inadvertidamente incluído em resumos do Copilot compartilhados além dos destinatários pretendidos.


Outras Manchetes

Texas Processa TP-Link por Riscos de Hacking Chinês

Texas processou TP-Link Systems, acusando a empresa de comercializar enganosamente roteadores como seguros enquanto permitia hackers apoiados pelo Estado chinês explorar vulnerabilidades de firmware.

Operação INTERPOL Red Card 2.0

651 prisões em 16 países africanos. Recuperados mais de $4,3 milhões. Operação visou fraude de investimento, golpes de mobile money e apps de empréstimo fraudulentos ligados a $45 milhões em perdas.

PromptSpy: Primeiro Malware a Abusar Gemini AI

ESET descobriu malware Android que usa IA Gemini do Google para manter persistência. O malware aproveita IA generativa para analisar telas e gerar instruções passo a passo para se manter fixado em apps recentes.

Hacker Nigeriano Recebe 8 Anos por Fraude Fiscal

Sentenciado por hackear várias empresas de preparação fiscal em Massachusetts e arquivar declarações fraudulentas buscando mais de $8,1 milhões em reembolsos.


Números de Hoje

Métrica Valor
Contas afetadas na violação Figure 967.200
Gravidade CVE Honeywell (CVSS) 9.8
Downloads de extensão VS Code em risco 125M+
Duração do bypass DLP do Copilot ~30 dias
Prisões INTERPOL (Op Red Card 2.0) 651
Organizações visadas por ShinyHunters 100+

Prioridades de Hoje

  1. ISOLAR: Sistemas CCTV Honeywell — aplicar segmentação de rede imediatamente
  2. AUDITAR: Extensões VS Code — desabilitar Live Server, Markdown Preview Enhanced, Code Runner até patch
  3. TREINAR: Conscientização de segurança sobre ataques vishing (manual ShinyHunters)
  4. VERIFICAR: Conformidade DLP Microsoft Copilot — revisar atividade desde 21 jan
  5. REVISAR: Controles de segurança SSO — resistência a bypass MFA

Proteja Sua Organização com KENSAI

Gestão de vulnerabilidades alimentada por IA com 333.000+ CVEs indexados.

Iniciar Scan Gratuito

Mantenha-se seguro. Mantenha-se vigilante.

🗡️ Equipe de Segurança KENSAI

All posts · Permalink