SmarterTools publicou adesivos urgentes para o seu servidor de e-mail SmarterMail após confirmar pelo menos duas vulnerabilidades críticas que afetam versões anteriores às corrigidas. Uma delas permite a execução remota de código sem autenticação, uma falha que, em termos práticos, deixa o servidor exposto a instruções maliciosas enviadas da internet; a outra facilita ataques relacionados à autenticação NTLM aproveitando chamadas a recursos em rede.
A primeira falha, identificada como CVE-2026-24423 e com uma pontuação CVSS de 9.3, afeta o método ConnectToHub do software. De acordo com o registo público, um atacante pode induzir o serviço a ligar- se a um servidor HTTP controlado pelo atacante que entrega um comando do sistema operacional; se o servidor vulnerável o executar, o atacante consegue executar código arbitrário na máquina afetada. A descrição oficial pode ser consultada CVE.org.
Pesquisadores de diversas organizações foram aqueles que identificaram e relataram a vulnerabilidade: os especialistas Sina Kheirkhah e Piotr Bazydlo de watchTowr, Markus Wulftange de CODE WHITE GmbH e Cale Black de VulnCheck. Seus achados aparecem referenciados nas notas públicas de pesquisa e avisos de segurança de terceiros, como a lista de divulgações de CODE WHITE e o aviso técnico VulnCheck.
SmarterTools lançou a correção para esta vulnerabilidade na Build 9511, publicada em 15 de janeiro de 2026. É importante sublinhar que a exploração de uma RCE sem autenticação é particularmente perigosa em servidores de e-mail, porque esse software costuma gerir dados sensíveis e pode estar vinculado diretamente a infra-estruturas internas que, de serem comprometidas, permitem movimento lateral dentro da rede.
Além disso, a empresa corrigiu outra vulnerabilidade crítica monitorada como CVE-2026-23760(também com CVSS 9.3) que já foi observada em ataques reais. Além destas duas, foi encerrada uma falha de gravidade média, CVE-2026-25067(CVSS 6.9), que não é um RCE mas permite coerção de credenciais através da resolução de rotas de rede maliciosas de um ponto de vista não autenticado.
No caso de CVE-2026-25067 o problema gira em torno da antevisão da “imagem do dia” (background-of-the-day). A aplicação descodificar em base64 uma entrada que vem do exterior e a trata como uma rota de sistema sem validação adequada. Em ambientes Windows isso possibilita que se resolvam rotas UNC para equipamentos controlados pelo atacante, o que provoca tentativas de autenticação SMB salientes. Esse comportamento pode ser explorado para forçar tentativas de autenticação NTLM, facilitando técnicas como o NTLM relay ou a coerção de credenciais; VulnCheck documentou esta mecânica em seu alerta técnico: VulnCheck - advisory.
Para ver as notas oficiais da SmarterTools e confirmar as versões afetadas e corrigidas, a empresa mantém um registro de versões e adesivos onde as builds são detalhadas: SmarterTools - Release Notes. Ali se especifica que a Build 9518, publicada em 22 de janeiro de 2026, incorpora correções adicionais relacionadas à coerção de rotas e outros ajustes de segurança.
O que podem e devem fazer os administradores agora mesmo? O essencial é aplicar as actualizações fornecidas pela SmarterTools de forma prioritária: atualizar as builds que contêm os adesivos reduz a janela de exposição. Além disso, é conveniente aplicar medidas compensatórias enquanto os adesivos são desenhados: restringir o tráfego cessante em portos associados ao SMB (por exemplo, bloquear egress em portos 139/445), rever regras de firewall para minimizar conexões HTTP salientes a partir de servidores de correio e auditar os registos em busca de conexões invulgares ou tentativas repetidas de acesso a recursos remotos.
Também é recomendável analisar a telemetria e os registros do servidor para detectar sinais de comprometimento prévio: processos que lancem comandos do sistema inesperadamente, conexões salientes para servidores desconhecidos, ou padrões de autenticação SMB para máquinas fora do controle da organização. Se houver suspeita de intrusão, convém isolar as máquinas envolvidas e seguir procedimentos de resposta a incidentes para identificar alcance e mitigar movimentos laterais.
O surgimento de duas vulnerabilidades críticas em um curto período e a confirmação de exploração ativa para pelo menos uma delas lembram que o software de e-mail continua sendo um vetor atraente para atacantes. Actualizar, monitorizar e limitar as rotas de comunicação desnecessárias São medidas simples, mas eficazes para reduzir riscos até que todas as instalações sejam corrigidas.
Se você quiser consultar a documentação técnica e os avisos originais, aqui você tem os links citados: o registro da CVE principal em CVE.org, o aviso de investigação em VulnCheck, a lista de divulgações de CODE WHITE em CODE WHITE, e as notas de versões oficiais da SmarterTools SmarterTools.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...