O padrão desta manhã é consistente e feio: os atacantes estão vencendo ao abusar da camada confiável ao redor do sistema — o portal do firewall, o wrapper da sandbox, o fluxo de colaboração e a página de login que o usuário acha que reconhece.
Linha de frente: restrinja já a exposição do Captive Portal do PAN-OS, aplique patch no vm2 onde houver código não confiável, revise incidentes de acesso remoto e extorsão via Teams como possível espionagem e trate phishing de compliance em nuvem como roubo de tokens, não apenas de senhas.
A Palo Alto afirma que a CVE-2026-0300 é um buffer overflow crítico no User-ID Authentication Portal que permite execução de código com privilégios de root sem autenticação em firewalls PA-Series e VM-Series expostos. A exploração já começou: se o portal está acessível a partir de IPs não confiáveis, o risco está ativo agora.
A falha vm2 CVE-2026-26956 permite escapar da sandbox e executar código no host, com PoC público já disponível. O impacto confirmado atinge ambientes Node.js 25 específicos, mas a lição é maior: se seu produto executa JavaScript fornecido por usuários, o wrapper faz parte do raio de impacto.
Relatos ligados à Rapid7 indicam que a MuddyWater usou Microsoft Teams, compartilhamento de tela, roubo de credenciais, AnyDesk, DWAgent e mensagens de extorsão sem implantar criptografia real de arquivos. Chaos era o figurino; a operação real era acesso, persistência e exfiltração.
A Microsoft observou mais de 35 mil tentativas em cerca de 13 mil organizações usando avisos internos falsos, PDFs-isca, CAPTCHA do Cloudflare e páginas adversary-in-the-middle que fazem proxy do login Microsoft. Isso importa porque phishing AiTM supera MFA fraco ao capturar tokens de sessão, não só senhas.
Em resumo: o padrão de hoje é inversão de confiança. Portais expostos, runtimes de sandbox, ferramentas de colaboração e páginas de login familiares viram superfície de ataque quando a camada externa é confundida com o controle.
A KENSAI ajuda equipes a encontrar portais expostos, sandboxes frágeis, caminhos arriscados de acesso remoto e fluxos de identidade que colapsam sob phishing real.
Iniciar scan grátis →Fique afiado.
🗡️ KENSAI Security Team