A Agência de Segurança de Infra-estruturas e Cibersegurança dos EUA (CISA) acaba de atualizar seu catálogo de Vulnerabilidades Conhecidas e Exploradas (Known Exploited Vulnerabilities, KEV) com quatro falhas que, segundo a agência, já estão sendo aproveitados em ambientes reais. Esta lista de “vulnerabilidades ativas” serve como uma advertência para administradores e responsáveis pela segurança: quando a CISA adiciona uma falha ao KEV, o faz porque existem indícios de exploração, e as organizações devem agir rapidamente. Você pode consultar o alerta oficial da CISA aqui e catálogo completo aqui.
Entre os quatro erros incorporados há uma mistura que abrange navegadores, soluções anti-ransomware, servidores de e-mail/collaboration e controles ActiveX antigos no Windows. O primeiro, identificado como CVE-2026-2441, é um problema do tipo use-after-free no Google Chrome com uma pontuação CVSS alta (8.8) que pode permitir que uma página HTML maliciosa provoque corrupção de memória e execução remota. CISA ressalta que existe evidência de exploração na natureza e, nesse contexto, é crítico aplicar as atualizações do navegador quanto antes.
Outro caso relevante é CVE-2024-7694, uma falha de subida de arquivos arbitrários em certas versões do produto TeamT5 ThreatSonar Anti-Ransomware (3.4.5 e anteriores). Este tipo de vulnerabilidade permite a um atacante colocar arquivos maliciosos no servidor e, em cenários extremos, executar comandos na máquina afetada. Um boletim de coordenação de incidentes taiwanês já descreveu como funciona a mecânica da falha; você pode ler a nota técnica aqui.
O catálogo também voltou a incorporar uma vulnerabilidade mais antiga, mas extremamente perigosa: CVE-2020-7796, uma falha SSRF (Server-Side Request Forgery) na suíte Zimbra Collaboration (ZCS). Pesquisas prévias mostraram que exploradores automatizados têm digitalizado e atacado instâncias vulneráveis em vários países, o que demonstra que as SSRF são uma via eficaz para lidar com sistemas internos.
Finalmente, aparece uma vulnerabilidade histórica com exploração conhecida: CVE- 2008- 0015, um excesso de búfer no controle ActiveX “Windows Video” que pode levar a execução remota se um usuário abrir um site manipulado. A Microsoft mantém entradas em sua enciclopédia de ameaças que descrevem como exploits associados podem baixar e executar malware, incluindo o verme conhecido como Dogkild, com capacidades de propagação e sabotagem de medidas de segurança. A documentação da Microsoft sobre este exploit está disponível aqui.
O que nos diz, em termos práticos, esta atualização do KEV? Primeiro, que a superfície de ataque ainda é heterogênea: desde navegadores modernos até componentes legados como ActiveX ou software específico de backup e segurança. Segundo, os atacantes combinam técnicas antigas e novas: digitalização massiva para SSRF, exploração dirigida de bugs em navegadores e abusos de funcionalidades de subida de arquivos. Uma análise pública prévia de atores que digitalizaram a rede global para explorar o SSRF inclui um padrão de atividade com centenas de endereços IP apontando para instâncias vulneráveis, o que ilustra a escala do problema; para uma visão geral sobre atividades de digitalização e telemetria, a plataforma GreyNoise oferece contexto sobre como estes clusters se comportam. aqui.
Para equipamentos técnicos e responsáveis pelo risco, a prioridade é clara: aplicar adesivos e mitigações quanto antes. A CISA costuma acompanhar estas incorporações do KEV com prazos indicativos para entidades federais; neste caso, as agências do Governo Federal Civil (FCEB) têm como data recomendada em 10 de março de 2026 para implantar as correcções pertinentes. Mas essa data não é uma desculpa para esperar — se o seu ambiente é público ou crítico, atualize imediatamente.
Para além de corrigir, é conveniente adoptar medidas complementares: reduzir a exposição pública de serviços que não devam estar acessíveis da Internet, rever registos e telemetria em busca de indicadores de compromisso, endurecer políticas de aumento de arquivos (validação, sandboxing, análise de conteúdo) e aplicar regras de firewall ou WAF que mitigue vetores conhecidos enquanto se aplica a correção definitiva. No caso dos navegadores, forçar atualizações automáticas e sensibilizar os usuários sobre o risco de abrir links ou arquivos suspeitos é básico.
Um aspecto importante que os analistas geralmente sublinham é a necessidade de priorizar segundo o contexto: um CVE com pontuação 9.x (como a SSRF de Zimbra) merece atenção imediata, mas a decisão final deve ponderar activos expostos, compensações operacionais e mitigações disponíveis. As ferramentas de gestão de adesivos e os inventários de ativos ajudam a identificar quais servidores ou estações estão em risco e a acelerar a resposta.
Finalmente, e talvez o mais prático para administradores: verifiquem as referências publicadas pelas próprias organizações afetadas e por organismos de confiança. As fichas da CISA e do catálogo KEV oferecem resumos da ameaça e ligações a adesivos; as páginas do CVE contêm detalhes técnicos; e fontes como documentação de fornecedores ou equipamentos de resposta local fornecem procedimentos de mitigação e atualizações. Abaixo estão os recursos principais citados nesta peça: o alerta de CISA https://www.cisa.gov/news-events/alerts/2026/02/17/cisa-adds-four-known-exploited-vulnerabilities-catalog, catálogo KEV https://www.cisa.gov/known-exploited-vulnerabilities-catalog, e as entradas de cada CVE em CVE(por exemplo, CVE-2026-2441, CVE-2024-7694, CVE-2020-7796, CVE- 2008- 0015). Para detalhes sobre o vetor do TeamT5 consulte o boletim taiwanês https://www.twcert.org.tw/en/cp-139-8000-e5a5c-2.html, e para informações sobre o exploit histórico e famílias de malware relacionadas, a enciclopédia de ameaças da Microsoft oferece contexto https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Exploit:HTML/CVE-2008-0015 e https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Worm:Win32/Dogkild.A.
A lição que esta atualização deixa é simples: as ameaças não respeitam antiguidades nem popularidade do software. Um componente antigo e amplamente instalado pode ser tão perigoso que um bug de um navegador moderno se estiver corretamente explorado. A ciberdefesa eficaz combina adesivos rápidos, visibilidade permanente e respostas coordenadas, e quando CISA coloca algo no KEV, convém tomá-lo como um alerta vermelho e agir em conformidade.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...