← Voltar ao blog
Security Briefing3 min de leitura2026-04-18

Briefing de segurança, 18 de abril de 2026: exploração de ActiveMQ, zero-days do Windows e impacto LSASS

O briefing de segurança de hoje reúne três sinais concretos: a CISA marcou a exploração de Apache ActiveMQ, a Huntress está vendo zero-days vazados de escalonamento de privilégios no Windows em intrusões reais, e a Microsoft confirmou loops de falha do LSASS em alguns controladores de domínio corrigidos.


Top line: Esta manhã é sobre sequenciamento defensivo. Uma falha já está sendo explorada, dois caminhos de escalonamento de privilégios no Windows ainda não têm correção completa, e um patch oficial pode desestabilizar controladores de domínio em alguns ambientes PAM. As equipes de segurança precisam separar filas de corrigir agora, conter agora e pausar rollout agora.


1. ActiveMQ saiu da fila de patch para exploração ativa

A CISA adicionou a CVE-2026-34197 ao catálogo KEV após a confirmação de exploração ativa. A falha afeta o Apache ActiveMQ Classic, decorre de validação incorreta de entrada e permite execução remota de código por usuário autenticado. O Apache corrigiu o problema nas versões 6.2.3 e 5.19.4, mas brokers expostos continuam sendo um alvo fácil. A Shadowserver ainda monitora mais de 7.500 sistemas expostos à internet.


2. Zero-days vazados do Windows agora fazem parte de intrusões reais

A Huntress relatou técnicas BlueHammer, RedSun e UnDefend sendo usadas no mundo real. BlueHammer foi corrigido em abril, mas RedSun e UnDefend ainda não têm correções completas do fornecedor. A atividade observada incluiu um usuário de SSL VPN comprometido seguido por comportamento interativo do invasor. Isso já não é apenas PoC de pesquisador no GitHub.


3. O patching de servidores de abril também traz uma armadilha de disponibilidade

A Microsoft confirmou que o KB5082063 pode provocar falhas de LSASS e loops de reinicialização em alguns controladores de domínio não-Global Catalog em ambientes de Privileged Access Management. Isso transforma um rollout rotineiro de segurança em risco de indisponibilidade de identidade. Autenticação instável pode anular rapidamente o ganho operacional de corrigir depressa.


O que as equipes de segurança devem fazer hoje

  1. Conclua primeiro a triagem emergencial do ActiveMQ, especialmente em brokers expostos e implantações Classic antigas.
  2. Procure artefatos de BlueHammer, RedSun e UnDefend onde acesso recente por VPN ou escalonamento administrativo parecer suspeito.
  3. Valide se controladores de domínio PAM estão no escopo antes de ampliar o rollout do KB5082063.
  4. Envie à liderança uma atualização clara separando pressão de exploração de risco de instabilidade do patch.

Bottom line: Defesa madura hoje significa trabalhar em três velocidades ao mesmo tempo: corrigir o broker exposto, caçar o ponto de apoio no Windows e desacelerar qualquer rollout que possa derrubar a identidade.

Separe patch emergencial de patch perigoso

A KENSAI ajuda equipes de segurança a verificar sistemas expostos, caminhos ativos de exploração e risco operacional de rollout antes que a urgência vire indisponibilidade evitável.

Iniciar scan grátis →

Fique afiado.

🗡️ KENSAI Security Team