A Agência de Cibersegurança e Infra-estruturas dos EUA. Os EUA (CISA) deu um toque de alarme: exigiu às agências federais que assegurem seus ambientes diante de uma vulnerabilidade crítica na Microsoft Configuration Manager (também conhecido como ConfigMgr, antes SCCM) que foi corrigida em outubro de 2024, mas que agora está sendo aproveitada em ataques reais.
ConfigMgr é uma peça-chave em muitas empresas e organismos: serve para implantar adesivos, distribuir software e gerenciar de forma centralizada centenas ou milhares de equipamentos e servidores Windows. Essa capacidade de controle converte a plataforma em um objetivo especialmente atrativo para atacantes, porque compromete-la pode permitir executar código com os privilégios mais altos sobre sistemas gerenciados e a base de dados do site.
A falha, registrada como CVE-2024-43468, é uma injeção SQL que, segundo o relatório original da empresa de segurança Synacktiv, pode ser explorada sem necessidade de se autenticar no sistema. Na prática, isto significa que uma petição manipulada pode provocar a execução de comandos no servidor ou diretamente contra a base de dados do site de Configurações Manager, com efeito potencialmente devastador para a integridade e disponibilidade do ambiente.
A Microsoft publicou uma atualização em outubro de 2024 para corrigir a vulnerabilidade e naquele momento valorou a probabilidade de exploração como baixa, apontando que o desenvolvimento de um exploit efetivo exigiria pericia ou sincronização complexa. No entanto, a situação mudou quando Synacktiv publicou, no final de novembro de 2024, código de teste de conceito em seu repositório público. A liberação do PoC reduz a barreira técnica para atores maliciosos e eleva o risco prático de ataques.
Diante disso, a CISA incluiu a vulnerabilidade no seu catálogo de vulnerabilidades exploradas ativamente e emitiu uma ordem que obriga as agências do Executivo Federal a aplicar adesivos ou mitigações antes de 5 de março de 2026, conforme a Directiva Operativa Vinculante BOD 22-01. O organismo adverte que este tipo de falhas são vetores de ataque comuns e a sua exploração representa riscos significativos para a segurança do setor público americano. Embora a directiva só obriga as agências federais, a CISA recomenda a todas as organizações - incluindo o sector privado - que actuem com a mesma urgência.
A Microsoft mantém a sua documentação de segurança sobre a falha no seu guia de atualizações; é a referência para aplicar os adesivos e mitigações oficiais: Guia da Microsoft sobre CVE-2024-43468. Além disso, o relatório técnico e o advisory de Synacktiv oferecem detalhes sobre a origem e a exploração que podem ser úteis para equipamentos de resposta e detecção: advisory de Synacktiv.
Por que é particularmente preocupante? Porque ConfigMgr controla elementos críticos da infraestrutura: implantar um exploit lá pode dar a um atacante a capacidade de executar comandos com privilégios elevados, distribuir malware ou alterar políticas em uma grande quantidade de equipamentos em poucos minutos. A existência de um PoC público acelera as campanhas de teste por parte de atores pouco sofisticados e aumenta a probabilidade de detecções tardias por parte das equipes de defesa.
Para aqueles que gerem ambientes com Configuration Manager, a prioridade imediata é aplicar as atualizações publicadas pela Microsoft. Se por razões operacionais não for possível atualizar imediatamente, a CISA e a Microsoft recomendam a implementação das mitigações que o fornecedor descreve. Além disso, é prudente reforçar medidas de detecção e contenção: revisar logs do servidor e da base de dados do site em busca de consultas incomuns, monitorar atividade de contas com privilégios, restringir acessos aos consoles administrativos a partir de redes externas e segmentar a rede para limitar o alcance de um possível compromisso.
É importante avisar que o código de teste de conceito publicado por Synacktiv pode ser estudado por equipes de segurança para fins defensivos, mas também pode ser reutilizado por atores maliciosos. É por isso que é recomendado analisar apenas em ambientes controlados e isolados e coordenar a resposta técnica com os equipamentos de segurança e com o fornecedor.
A situação ilustra uma lição recorrente: o ciclo entre a publicação de um adesivo e a exploração em massa pode encurtar-se drasticamente quando aparecem PoC públicos. Por isso a rapidez em aplicar atualizações e em pôr em prática mitigações comprovadas é hoje uma exigência operacional, não uma opção. Os administradores que gerem a ConfigMgr devem agir com urgência e documentar as medidas tomadas; as organizações que dependem de terceiros para a sua gestão devem garantir que esses fornecedores também têm sistemas transdérmicos.
Se você quer confirmar o estado da inclusão da vulnerabilidade na lista de exploradas pela CISA ou consultar os recursos oficiais, você pode ver a entrada no catálogo da CISA: CVE-2024-43468 no catálogo de CISA. Para seguir o guia técnico e as atualizações do fornecedor, a página da Microsoft é o ponto de partida: Guia Microsoft. E se você precisar entender a descoberta e o PoC, a análise inicial está no advisory de Synacktiv e seu repositório: advisory e PoC no GitHub.
A recomendação final, clara e prática: verifica hoje mesmo se as suas instâncias de Configuration Manager estão corrigidas, aplica as mitigações oficiais se você não puder atualizar imediatamente e aumenta a vigilância de detecção até que a ameaça esteja neutralizada.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...