A Redbelt Security divulgou essa semana sua curadoria mensal de ameaças emergentes. O objetivo é apoiar líderes de TI e segurança na identificação de riscos que impactam desde servidores locais até infraestruturas complexas de IA, reforçando que a proteção eficaz em 2026 exige a combinação de atualização de sistemas, governança de configurações e conscientização dos usuários.
Principais Ameaças e Vulnerabilidades Identificadas:
- Microsoft 365: Exposição a golpes internos e ataques BEC
Ajustes inadequados no roteamento e na validação de mensagens no Microsoft 365 permitem que criminosos forjem e-mails que aparentam ser internos. Esse vetor facilita fraudes financeiras e roubo de credenciais para ataques de Business Email Compromise (BEC).
Recomendação: Desativar o recurso de “Envio Direto” quando desnecessário. Ambientes com registros MX apontados diretamente para o Office 365 estão protegidos contra este vetor específico.
- Automação n8n: Comprometimento total sem autenticação (CVSS 10.0)
Uma brecha de severidade máxima foi detectada no n8n, ferramenta de automação de fluxos. Atacantes podem manipular webhooks mal protegidos para executar comandos e acessar sistemas conectados sem necessidade de login. Dados da Censys apontam mais de 26 mil servidores expostos publicamente, incluindo 1.300 no Brasil.
Recomendação: Manter a ferramenta atualizada, restringir formulários públicos e evitar a exposição direta das instâncias à internet.
- Trend Micro: Execução remota de comandos no Apex Central (CVSS 9.8)
Correções foram disponibilizadas para o Apex Central (Windows) após a identificação de uma falha na função LoadLibraryEx. O problema permite a execução remota de código (RCE), possibilitando que invasores assumam o controle do servidor.
Recomendação: Atualizar imediatamente para a Build 7190 ou superior. A Redbelt reforça a importância da segmentação de rede para mitigar o impacto de acessos iniciais a endpoints.
- ServiceNow: O ataque “BodySnatcher” em sistemas de IA
A correção CVE-2025-12420 resolve uma falha crítica no Agente Virtual da ServiceNow. A brecha permitia que usuários não autenticados assumissem identidades (inclusive de administradores) contornando MFA e SSO ao utilizar apenas um e-mail como identificação. O risco envolve a criação de contas ocultas e manutenção de acesso persistente.
Status: Atualizações distribuídas em outubro de 2025 para instâncias hospedadas e locais.
- ShadowExtensionse Web Skimming (Magecart)
Cripto-fraude: Uma extensão maliciosa para Chrome, disfarçada de ferramenta para a exchange MEXC, induz usuários a gerarem chaves de API. Com elas, atacantes realizam saques mesmo após a remoção da extensão.
E-commerce: Campanhas de web skimming seguem injetando JavaScript silencioso em páginas de checkout para capturar dados de cartões e informações pessoais, removendo-se automaticamente após a extração para dificultar a perícia.
- MicrosoftCopilot: O vetor “Reprompt” de extração de dados
Demonstrou-se que links do Copilot podem acionar comandos ocultos para resumir arquivos e revelar dados pessoais de usuários sem deixar evidências claras.
Status: A Microsoft corrigiu o problema e informou que clientes corporativos do Microsoft 365 Copilot não foram impactados.
A Redbelt Security enfatiza que o cenário atual de ameaças vai além de falhas de software, explorando integrações mal configuradas e o uso indevido de ferramentas legítimas. A resiliência operacional em 2026 depende de monitoramento contínuo, revisão rigorosa de privilégios e uma cultura de segurança que acompanhe o ritmo da automação corporativa.
