← Voltar ao blog
Briefing de segurança5 min de leitura2026-05-07

Briefing de segurança, 7 de maio de 2026: zero-day do PAN-OS, escape de sandbox vm2, falsa bandeira da MuddyWater e phishing AiTM da Microsoft

O padrão desta manhã é consistente e feio: os atacantes estão vencendo ao abusar da camada confiável ao redor do sistema — o portal do firewall, o wrapper da sandbox, o fluxo de colaboração e a página de login que o usuário acha que reconhece.


Linha de frente: restrinja já a exposição do Captive Portal do PAN-OS, aplique patch no vm2 onde houver código não confiável, revise incidentes de acesso remoto e extorsão via Teams como possível espionagem e trate phishing de compliance em nuvem como roubo de tokens, não apenas de senhas.


1. O Captive Portal do PAN-OS é hoje o problema mais urgente na borda da internet

A Palo Alto afirma que a CVE-2026-0300 é um buffer overflow crítico no User-ID Authentication Portal que permite execução de código com privilégios de root sem autenticação em firewalls PA-Series e VM-Series expostos. A exploração já começou: se o portal está acessível a partir de IPs não confiáveis, o risco está ativo agora.


2. O vm2 prova novamente que JavaScript “em sandbox” não é uma fronteira de segurança por si só

A falha vm2 CVE-2026-26956 permite escapar da sandbox e executar código no host, com PoC público já disponível. O impacto confirmado atinge ambientes Node.js 25 específicos, mas a lição é maior: se seu produto executa JavaScript fornecido por usuários, o wrapper faz parte do raio de impacto.


3. A MuddyWater usa teatro de ransomware para esconder espionagem

Relatos ligados à Rapid7 indicam que a MuddyWater usou Microsoft Teams, compartilhamento de tela, roubo de credenciais, AnyDesk, DWAgent e mensagens de extorsão sem implantar criptografia real de arquivos. Chaos era o figurino; a operação real era acesso, persistência e exfiltração.


4. A onda de phishing de “code of conduct” da Microsoft foi desenhada para roubo de tokens em tempo real

A Microsoft observou mais de 35 mil tentativas em cerca de 13 mil organizações usando avisos internos falsos, PDFs-isca, CAPTCHA do Cloudflare e páginas adversary-in-the-middle que fazem proxy do login Microsoft. Isso importa porque phishing AiTM supera MFA fraco ao capturar tokens de sessão, não só senhas.


O que as equipes de segurança devem fazer antes do almoço

  1. Fechar ou restringir primeiro as superfícies expostas do Captive Portal do PAN-OS.
  2. Aplicar patch no vm2 e revisar cada caminho onde clientes ou funcionários executam JavaScript em hosts compartilhados.
  3. Colocar engenharia social via Teams no mesmo playbook de phishing por email e vishing.
  4. Atualizar a resposta a phishing para priorizar revogação de tokens e revisão de sessão, não só reset de senha.

Fontes


Em resumo: o padrão de hoje é inversão de confiança. Portais expostos, runtimes de sandbox, ferramentas de colaboração e páginas de login familiares viram superfície de ataque quando a camada externa é confundida com o controle.

Audite os limites de confiança que os atacantes realmente usam

A KENSAI ajuda equipes a encontrar portais expostos, sandboxes frágeis, caminhos arriscados de acesso remoto e fluxos de identidade que colapsam sob phishing real.

Iniciar scan grátis →

Fique afiado.

🗡️ KENSAI Security Team