Redbelt Security alerta para falhas e campanhas digitais envolvendo Microsoft, ServiceNow e plataformas corporativas

A Redbelt Security, consultoria brasileira especializada em segurança da informação, divulga sua curadoria mensal de vulnerabilidades e vetores de ataque que vêm sendo explorados contra empresas em diferentes setores e países. O objetivo do alerta é apoiar líderes de TI, segurança e gestão na identificação de riscos emergentes, reforçando a importância de boas práticas de configuração, atualização de sistemas e conscientização dos usuários diante de campanhas cada vez mais sofisticadas de fraude digital, invasão de ambientes corporativos e roubo de dados.

Configurações de e-mail no Microsoft 365 ampliam exposição a golpes internos e roubo de credenciais: a Microsoft informou que ajustes inadequados no roteamento e nos mecanismos que validam a origem das mensagens podem abrir espaço para e-mails que aparentam ter sido enviados de dentro da própria organização. Esse tipo de falsificação tem sido explorado em esquemas financeiros, como o envio de faturas fraudulentas e solicitações de alteração de dados bancários, além de servir como porta de entrada para o roubo de credenciais que pode evoluir para ataques de Business Email Compromise (BEC), nos quais criminosos se passam por executivos ou parceiros comerciais. Como medida preventiva, a empresa recomenda desativar o recurso de Envio Direto quando ele não for necessário e reforça que ambientes com registros MX apontados diretamente para o Office 365 não são suscetíveis a esse vetor específico.

Plataforma de automação n8n exposta a comprometimento total sem necessidade de login: uma brecha classificada com severidade máxima (CVSS 10.0) chamou a atenção da comunidade de segurança ao demonstrar que instâncias do n8n, ferramenta popular de automação de fluxos entre sistemas, podem ser controladas por terceiros sem qualquer processo de autenticação. O ponto crítico está nos webhooks, que funcionam como portas de entrada para dados enviados por outros aplicativos e que, se mal protegidos, podem ser manipulados para executar comandos dentro da própria plataforma. O impacto potencial inclui a alteração de processos automatizados e o acesso a sistemas corporativos conectados. Dados da Censys indicam que mais de 26 mil servidores n8n estão acessíveis publicamente na internet, incluindo mais de 1.300 no Brasil, o que amplia o risco de exploração em larga escala. A orientação é manter a ferramenta atualizada, evitar exposição direta à internet e restringir o uso de webhooks e formulários públicos.

Atualizações da Trend Micro corrigem vetor que pode permitir execução remota de comandos em servidores Windows: a Trend Micro disponibilizou correções para versões locais do Apex Central para Windows após a identificação de um problema que pode permitir a execução remota de código, classificado com pontuação CVSS 9,8. Em termos práticos, esse tipo de cenário abre a possibilidade de que um invasor execute comandos no ambiente da vítima como se tivesse acesso direto à máquina. O ponto sensível está na função LoadLibraryEx, responsável por carregar bibliotecas do sistema, que pode ser explorada para a inserção de código não autorizado. As versões anteriores à Build 7190 são as mais afetadas. A empresa destaca que a exploração depende de algum nível prévio de acesso ao endpoint, o que reforça a importância de segmentação de rede, controle de privilégios e monitoramento contínuo em ambientes corporativos.

ServiceNow corrige brecha que permitia assumir identidades dentro da plataforma, inclusive de administradores: a ServiceNow anunciou a correção de um problema em sua plataforma de inteligência artificial, identificado como CVE-2025-12420 e apelidado de “BodySnatcher”, que poderia permitir que usuários não autenticados se passassem por outras pessoas no sistema. A situação estava ligada à integração do Agente Virtual, que podia aceitar apenas um endereço de e-mail como forma de identificação, contornando camadas como autenticação multifator (MFA) e login único (SSO). O risco prático envolve a possibilidade de criação de contas ocultas, alteração de políticas de segurança e manutenção de acesso persistente ao ambiente. As atualizações foram distribuídas em outubro de 2025 para instâncias hospedadas e auto-hospedadas.

Extensão de navegador disfarçada concede acesso contínuo a contas de criptomoedas: um complemento malicioso do Google Chrome foi identificado se passando por uma ferramenta de automação de negociações na exchange MEXC. A extensão induz o usuário a gerar chaves de API, que funcionam como credenciais digitais capazes de autorizar operações e saques na conta. Uma vez criadas, essas chaves são enviadas aos atacantes, que mantêm o acesso mesmo após a remoção da extensão, enquanto as permissões não forem revogadas manualmente. O método se apoia em uma sessão já autenticada no navegador, o que dispensa o roubo de senhas ou a quebra de mecanismos adicionais de segurança.

Campanha de web skimming segue ativa em páginas de pagamento e-commerce: uma operação de longa duração tem comprometido páginas de checkout ao inserir código em JavaScript que captura silenciosamente os dados digitados pelos clientes no momento do pagamento. Essa técnica, conhecida como Magecart, permite a coleta não apenas de informações de cartão, mas também de dados pessoais como nome, e-mail, telefone e endereço. Após a extração, o código se remove da página para dificultar a detecção. Empresas que operam com grandes redes internacionais de pagamento estão entre as mais expostas a esse tipo de comprometimento.

Método “Reprompt” explorou o Microsoft Copilot para extração silenciosa de dados: um novo vetor demonstrou como links legítimos do Microsoft Copilot podem ser usados para acionar comandos ocultos que levam a ferramenta de IA a resumir arquivos, revelar informações pessoais ou detalhar atividades recentes do usuário sem que isso fique evidente para a vítima. Como as solicitações subsequentes partem dos próprios servidores da plataforma, a identificação do vazamento se torna mais complexa para equipes de segurança. A Microsoft informou que a questão foi corrigida e que clientes corporativos do Microsoft 365 Copilot não foram impactados.

A curadoria mensal da Redbelt Security reforça que o cenário de ameaças corporativas vai além de falhas pontuais em sistemas e envolve também integrações expostas, configurações inadequadas e o uso indevido de ferramentas legítimas. Em um ambiente cada vez mais conectado e automatizado, a combinação de atualizações regulares, revisão de acessos, monitoramento contínuo e capacitação dos usuários segue sendo a principal estratégia para reduzir riscos financeiros, operacionais e reputacionais associados a ataques digitais.

Sobre a Redbelt Security

Fundada em 2009, a Redbelt Security é uma consultoria especializada em Segurança da Informação. A marca atua com Serviços Gerenciados de Segurança (MSS), Security Operations Center (SOC), Offensive Security, Threat Intelligence, Governança, Riscos & Compliance (GRC), e suporte especializado no gerenciamento de ambientes de TI e ações preventivas contra novas ameaças, contando com uma equipe altamente especializada e certificada.