Junho em Destaque: Vulnerabilidades Críticas no Kernel Linux, Microsoft Defender e Palo Alto Networks
Este artigo detalha as vulnerabilidades mais críticas de junho, incluindo falhas de escalonamento de privilégios no Kernel Linux (Dirty Frag e Fragnesia), uma vulnerabilidade no Microsoft Defender e uma falha RCE em dispositivos Palo Alto Networks. Saiba como elas são exploradas e como se proteger.
MundiX News·15 de junho de 2026·10 min de leitura·👁 5 views
O mês de junho trouxe à tona um fluxo preocupante de vulnerabilidades de alta criticidade em sistemas amplamente utilizados, exigindo atenção imediata de administradores de sistemas e profissionais de segurança. A Positive Technologies, através de seu centro de análise de segurança, destacou as falhas mais relevantes que já estão sendo exploradas ou que representam um risco iminente para infraestruturas corporativas e usuários finais.
Kernel Linux: Escalada de Privilégios com Dirty Frag e Fragnesia
O Kernel Linux, espinha dorsal de muitos sistemas operacionais, foi alvo de duas cadeias de vulnerabilidades que permitem a escalada de privilégios local para root: Dirty Frag (PT-2026-38680, CVE-2026-43284 e PT-2026-38907, CVE-2026-43500) e Fragnesia (PT-2026-40816, CVE-2026-46300).
Dirty Frag, descoberta pelo pesquisador Hyunwoo Kim, combina falhas nas sub-rotinas xfrm-ESP Page-Cache Write e RxRPC Page-Cache Write. Essa combinação permite que um atacante local sem privilégios obtenha controle total do sistema, acessando arquivos, desativando proteções e utilizando o host para ataques subsequentes. A exploração foi confirmada em distribuições populares como Ubuntu, RHEL e Fedora, e as vulnerabilidades existem há cerca de nove anos. A publicação antecipada do exploit, antes da disponibilização dos patches, aumentou o risco de exploração ativa. É importante notar que a mitigação para a vulnerabilidade Copy Fail (CVE-2026-31431), que utiliza um sink similar, não protege contra Dirty Frag.
Fragnesia, descoberta por William Bowling e sua equipe V12, é uma falha distinta na sub-rotina ESP/XFRM que permite escrita arbitrária byte a byte no kernel page cache de arquivos somente leitura, sem race condition. O exploit publicado modifica o binário /usr/bin/su no cache, concedendo um shell root sem alterar o arquivo no disco. Sistemas que não aplicaram o patch de 13 de maio para o Kernel Linux são vulneráveis. As medidas compensatórias para Dirty Frag, como o bloqueio de módulos esp4, esp6 e rxrpc, também protegem contra Fragnesia.
Ambas as vulnerabilidades, com CVSS 7.8, representam um risco elevado e potencialmente afetam bilhões de usuários de Linux. A recomendação é aplicar as atualizações do Kernel Linux imediatamente. Enquanto os patches não são distribuídos, medidas como o bloqueio de módulos e a restrição da criação de namespaces por processos não privilegiados podem ser aplicadas, com a devida avaliação de impacto nas operações do sistema.
Microsoft Defender: Escalada de Privilégios no Malware Protection Engine
A Microsoft também enfrenta desafios com uma vulnerabilidade crítica (PT-2026-42157, CVE-2026-41091) no Microsoft Defender, especificamente no componente Malware Protection Engine. Essa falha, classificada com CVSS 7.8, permite que um atacante local com privilégios aumente suas permissões para o nível SYSTEM, obtendo controle total do sistema. O exploit, conhecido como RedSun, foi publicado e adicionado ao catálogo CISA KEV como ativamente explorado. A Microsoft já lançou atualizações de segurança (versão 1.1.26040.8), e a maioria dos usuários com atualizações automáticas ativadas já está protegida. No entanto, sistemas sem acesso à internet para atualizações regulares são particularmente vulneráveis.
Palo Alto Networks: Execução Remota de Código em PAN-OS
No ecossistema de segurança de rede, uma vulnerabilidade crítica (PT-2026-37340, CVE-2026-0300) foi identificada no serviço User-ID Authentication Portal do PAN-OS, sistema operacional dos firewalls Palo Alto Networks. Com um CVSS de 9.8, esta falha permite que um atacante remoto não autenticado execute código arbitrário com privilégios de root, comprometendo totalmente o dispositivo. A Palo Alto Networks confirmou que a exploração está ocorrendo, associada a grupos de atacantes que utilizam ferramentas de tunelamento para movimentação lateral na rede e exfiltração de dados. As versões afetadas são firewalls PA-Series e VM-Series com o User-ID Authentication Portal ativado e acessível externamente. A recomendação é atualizar o PAN-OS e, enquanto isso, restringir o acesso ao portal ou desativá-lo completamente se não estiver em uso.
A gestão proativa de vulnerabilidades, como a oferecida pela plataforma MaxPatrol VM, é essencial para identificar e mitigar essas ameaças rapidamente. A rápida disseminação de informações sobre novas vulnerabilidades e a disponibilidade de exploits exigem uma postura de segurança ágil e informada.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
O mês de junho trouxe à tona um fluxo preocupante de vulnerabilidades de alta criticidade em sistemas amplamente utilizados, exigindo atenção imediata de administradores de sistemas e profissionais de segurança. A Positive Technologies, através de seu centro de análise de segurança, destacou as falhas mais relevantes que já estão sendo exploradas ou que representam um risco iminente para infraestruturas corporativas e usuários finais.
Kernel Linux: Escalada de Privilégios com Dirty Frag e Fragnesia
O Kernel Linux, espinha dorsal de muitos sistemas operacionais, foi alvo de duas cadeias de vulnerabilidades que permitem a escalada de privilégios local para root: Dirty Frag (PT-2026-38680, CVE-2026-43284 e PT-2026-38907, CVE-2026-43500) e Fragnesia (PT-2026-40816, CVE-2026-46300).
Dirty Frag, descoberta pelo pesquisador Hyunwoo Kim, combina falhas nas sub-rotinas xfrm-ESP Page-Cache Write e RxRPC Page-Cache Write. Essa combinação permite que um atacante local sem privilégios obtenha controle total do sistema, acessando arquivos, desativando proteções e utilizando o host para ataques subsequentes. A exploração foi confirmada em distribuições populares como Ubuntu, RHEL e Fedora, e as vulnerabilidades existem há cerca de nove anos. A publicação antecipada do exploit, antes da disponibilização dos patches, aumentou o risco de exploração ativa. É importante notar que a mitigação para a vulnerabilidade Copy Fail (CVE-2026-31431), que utiliza um sink similar, não protege contra Dirty Frag.
Fragnesia, descoberta por William Bowling e sua equipe V12, é uma falha distinta na sub-rotina ESP/XFRM que permite escrita arbitrária byte a byte no kernel page cache de arquivos somente leitura, sem race condition. O exploit publicado modifica o binário /usr/bin/su no cache, concedendo um shell root sem alterar o arquivo no disco. Sistemas que não aplicaram o patch de 13 de maio para o Kernel Linux são vulneráveis. As medidas compensatórias para Dirty Frag, como o bloqueio de módulos esp4, esp6 e rxrpc, também protegem contra Fragnesia.
Ambas as vulnerabilidades, com CVSS 7.8, representam um risco elevado e potencialmente afetam bilhões de usuários de Linux. A recomendação é aplicar as atualizações do Kernel Linux imediatamente. Enquanto os patches não são distribuídos, medidas como o bloqueio de módulos e a restrição da criação de namespaces por processos não privilegiados podem ser aplicadas, com a devida avaliação de impacto nas operações do sistema.
Microsoft Defender: Escalada de Privilégios no Malware Protection Engine
A Microsoft também enfrenta desafios com uma vulnerabilidade crítica (PT-2026-42157, CVE-2026-41091) no Microsoft Defender, especificamente no componente Malware Protection Engine. Essa falha, classificada com CVSS 7.8, permite que um atacante local com privilégios aumente suas permissões para o nível SYSTEM, obtendo controle total do sistema. O exploit, conhecido como RedSun, foi publicado e adicionado ao catálogo CISA KEV como ativamente explorado. A Microsoft já lançou atualizações de segurança (versão 1.1.26040.8), e a maioria dos usuários com atualizações automáticas ativadas já está protegida. No entanto, sistemas sem acesso à internet para atualizações regulares são particularmente vulneráveis.
Palo Alto Networks: Execução Remota de Código em PAN-OS
No ecossistema de segurança de rede, uma vulnerabilidade crítica (PT-2026-37340, CVE-2026-0300) foi identificada no serviço User-ID Authentication Portal do PAN-OS, sistema operacional dos firewalls Palo Alto Networks. Com um CVSS de 9.8, esta falha permite que um atacante remoto não autenticado execute código arbitrário com privilégios de root, comprometendo totalmente o dispositivo. A Palo Alto Networks confirmou que a exploração está ocorrendo, associada a grupos de atacantes que utilizam ferramentas de tunelamento para movimentação lateral na rede e exfiltração de dados. As versões afetadas são firewalls PA-Series e VM-Series com o User-ID Authentication Portal ativado e acessível externamente. A recomendação é atualizar o PAN-OS e, enquanto isso, restringir o acesso ao portal ou desativá-lo completamente se não estiver em uso.
A gestão proativa de vulnerabilidades, como a oferecida pela plataforma MaxPatrol VM, é essencial para identificar e mitigar essas ameaças rapidamente. A rápida disseminação de informações sobre novas vulnerabilidades e a disponibilidade de exploits exigem uma postura de segurança ágil e informada.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
