Relatórios divulgados hoje indicam que grupos avançados continuam explorando zero-days recentemente corrigidas em Windows para manter acesso persistente a redes corporativas. As falhas, corrigidas em fevereiro, incluem vulnerabilidades de elevação de privilégio e bypass de recursos de segurança.
De acordo com pesquisadores envolvidos na análise das vulnerabilidades CVE-2026-21510, CVE-2026-21513, CVE-2026-21519 e CVE-2026-21533, atacantes que já possuem acesso inicial aos hosts exploram essas falhas para elevar privilégios a SYSTEM e contornar proteções do Shell e do MSHTML Framework. A exploração envolve, por exemplo, a modificação de chaves de configuração de serviços para apontar para binários controlados pelo atacante, permitindo execução persistente na reinicialização.
Os cenários observados incluem campanhas contra ambientes corporativos em que o acesso inicial foi obtido por phishing, exploração de vulnerabilidades de VPN ou comprometimento de credenciais, afetando setores como serviços financeiros, indústria e governo. Em alguns casos, há uso combinado das vulnerabilidades para desativar ferramentas de segurança, implantar backdoors adicionais e preparar terreno para possíveis ataques de ransomware ou roubo massivo de dados.
Organizações são orientadas a verificar urgentemente se todos os sistemas Windows receberam as atualizações de fevereiro de 2026, com prioridade para estações de trabalho de administradores, servidores de arquivos e controladores de domínio. Recomenda-se também revisar políticas de hardening, monitorar alterações suspeitas em serviços e chaves de registro, reforçar o princípio de menor privilégio e integrar detecções específicas em ferramentas de EDR e SIEM.
Sistemas Afetados
- Estações de trabalho Windows
- Servidores Windows em ambientes corporativos
Fonte: The Hacker News
Ler fonte original