Semana de Segurança 2621: Três Vulnerabilidades Zero-Day no Windows
A Kaspersky Lab relata a descoberta de três novas vulnerabilidades zero-day no Windows, incluindo falhas no BitLocker e no componente cldflt.sys. O artigo também aborda tendências em ransomware e o uso crescente de IA em ataques cibernéticos.
MundiX News·19 de maio de 2026·5 min de leitura·👁 7 views
Na última semana, a Kaspersky Lab divulgou informações sobre três novas vulnerabilidades zero-day no Windows. O termo zero-day geralmente se aplica a vulnerabilidades que estão sendo ativamente exploradas em ataques reais no momento da descoberta, mas neste caso, a situação é um pouco diferente. As informações sobre as falhas foram publicadas por um anônimo que se autodenomina Nightmare Eclipse. As vulnerabilidades vêm acompanhadas de código de demonstração, que pode ser usado para ataques reais, e o que torna a situação ainda mais grave é a ausência de um patch do fabricante. É por isso que a classificação é zero-day, intencionalmente criada por alguém que, pela sua retórica, parece ter alguma insatisfação com a Microsoft.
A falha mais interessante é a YellowKey, um erro na lógica do sistema de criptografia BitLocker (descrição detalhada na Ars Technica, notícia no Habr). Com acesso físico ao computador ou laptop, a YellowKey permite contornar completamente a criptografia e obter acesso direto aos dados. O exploit funciona da seguinte forma: é necessário gravar um conjunto de arquivos em um pendrive, conectá-lo ao computador e inicializá-lo no modo de recuperação. A sequência de ações subsequentes abre um console, que fornece acesso total ao armazenamento de dados criptografados.
O princípio da interação entre os "arquivos no pendrive" e o sistema BitLocker, que leva à remoção da proteção, ainda não está totalmente claro. Sabe-se que o exploit funciona apenas no Windows 11 e apenas para sistemas com configurações de criptografia padrão, nas quais as chaves são armazenadas no módulo TPM. Para fortalecer a proteção de dados em um SSD (no caso, por exemplo, de roubo do dispositivo), é possível adicionar um PIN, que é necessário para abrir o acesso às chaves no TPM. A vulnerabilidade GreenPlasma (detalhada aqui) teoricamente permite obter os privilégios máximos no sistema. Ao contrário da YellowKey, neste caso, o exploit proposto pelo anônimo Nightmare Eclipse é incompleto – o autor comenta no estilo "quem precisa, vai descobrir como finalizar". Finalmente, em 17 de maio, foi publicado o exploit MiniPlasma (notícia no BleepingComputer e no Habr) – ele explora outra vulnerabilidade no Windows (mais precisamente, no componente cldflt.sys) e também fornece elevação de privilégios no sistema. Essa vulnerabilidade é conhecida desde 2020, quando foi descoberta por pesquisadores da equipe Google Project Zero. A capacidade de funcionamento do exploit em um sistema totalmente corrigido indica que o problema não foi corrigido corretamente pelo fabricante há seis anos.
O que mais aconteceu:
Na semana passada, soube-se da descoberta de uma vulnerabilidade no kernel do macOS com a ajuda do Claude Mythos, bem como de uma vulnerabilidade no servidor web nginx. A última permaneceu despercebida por 18 anos, embora o perigo seja mais teórico: a lista de requisitos para exploração inclui a desativação do sistema básico de proteção ASLR.
Citando o trabalho de pesquisadores americanos, a publicação The Register escreve que a criação automatizada de ferramentas completas para ataques cibernéticos não é mais ficção científica. Consequentemente, aumenta o perigo de que informações sobre problemas sérios em software sejam usadas não apenas para o desenvolvimento de patches. Em parte, a confirmação dessa observação é a recente mensagem da equipe Google Threat Intelligence Group: eles descobriram "em campo", provavelmente, o primeiro exploit totalmente desenvolvido usando IA.
Os pesquisadores da Kaspersky Lab discutem as tendências no desenvolvimento de ransomware. Esses malwares são geralmente chamados de ransomware, mas uma das tendências interessantes destacadas por esta publicação é a recusa da criptografia de dados: os invasores passam imediatamente para a exigência de resgate, ameaçando publicar as informações roubadas. O número de ataques de ransomware está diminuindo gradualmente, mas a qualidade está aumentando, e novas ferramentas estão sendo usadas – por exemplo, criptografia pós-quântica. Os especialistas da Kaspersky Lab também publicaram relatórios tradicionais sobre a evolução das ameaças cibernéticas para o primeiro trimestre de 2026, com estatísticas sobre PCs e dispositivos móveis.
Em 14 de maio, foi descoberta uma nova variante da vulnerabilidade Dirty Frag no kernel Linux, conhecida pelo codinome Fragnesia. O problema, que também leva à escalada local de privilégios, recebeu seu próprio identificador CVE-2026-46300.
No Android, aparecerá a função Intrusion Logging, projetada para facilitar a coleta de dados para a investigação de ataques cibernéticos complexos. Esta é parte do conjunto de recursos Advanced Protection Mode – um modo especial de operação do SO, que fortalece a proteção dos usuários que estão em risco.
A Microsoft atualizará o navegador Microsoft Edge e alterará o método de trabalho com senhas salvas no navegador. Como foi descoberto recentemente, o Edge armazena todas as senhas salvas na memória RAM, de onde é relativamente fácil roubá-las.
Uma vulnerabilidade zero-day foi descoberta no servidor de e-mail Microsoft Exchange. Outro problema crítico foi descoberto no mailer de código aberto Exim.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Na última semana, a Kaspersky Lab divulgou informações sobre três novas vulnerabilidades zero-day no Windows. O termo zero-day geralmente se aplica a vulnerabilidades que estão sendo ativamente exploradas em ataques reais no momento da descoberta, mas neste caso, a situação é um pouco diferente. As informações sobre as falhas foram publicadas por um anônimo que se autodenomina Nightmare Eclipse. As vulnerabilidades vêm acompanhadas de código de demonstração, que pode ser usado para ataques reais, e o que torna a situação ainda mais grave é a ausência de um patch do fabricante. É por isso que a classificação é zero-day, intencionalmente criada por alguém que, pela sua retórica, parece ter alguma insatisfação com a Microsoft.
A falha mais interessante é a YellowKey, um erro na lógica do sistema de criptografia BitLocker (descrição detalhada na Ars Technica, notícia no Habr). Com acesso físico ao computador ou laptop, a YellowKey permite contornar completamente a criptografia e obter acesso direto aos dados. O exploit funciona da seguinte forma: é necessário gravar um conjunto de arquivos em um pendrive, conectá-lo ao computador e inicializá-lo no modo de recuperação. A sequência de ações subsequentes abre um console, que fornece acesso total ao armazenamento de dados criptografados.
O princípio da interação entre os "arquivos no pendrive" e o sistema BitLocker, que leva à remoção da proteção, ainda não está totalmente claro. Sabe-se que o exploit funciona apenas no Windows 11 e apenas para sistemas com configurações de criptografia padrão, nas quais as chaves são armazenadas no módulo TPM. Para fortalecer a proteção de dados em um SSD (no caso, por exemplo, de roubo do dispositivo), é possível adicionar um PIN, que é necessário para abrir o acesso às chaves no TPM. A vulnerabilidade GreenPlasma (detalhada aqui) teoricamente permite obter os privilégios máximos no sistema. Ao contrário da YellowKey, neste caso, o exploit proposto pelo anônimo Nightmare Eclipse é incompleto – o autor comenta no estilo "quem precisa, vai descobrir como finalizar". Finalmente, em 17 de maio, foi publicado o exploit MiniPlasma (notícia no BleepingComputer e no Habr) – ele explora outra vulnerabilidade no Windows (mais precisamente, no componente cldflt.sys) e também fornece elevação de privilégios no sistema. Essa vulnerabilidade é conhecida desde 2020, quando foi descoberta por pesquisadores da equipe Google Project Zero. A capacidade de funcionamento do exploit em um sistema totalmente corrigido indica que o problema não foi corrigido corretamente pelo fabricante há seis anos.
O que mais aconteceu:
Na semana passada, soube-se da descoberta de uma vulnerabilidade no kernel do macOS com a ajuda do Claude Mythos, bem como de uma vulnerabilidade no servidor web nginx. A última permaneceu despercebida por 18 anos, embora o perigo seja mais teórico: a lista de requisitos para exploração inclui a desativação do sistema básico de proteção ASLR.
Citando o trabalho de pesquisadores americanos, a publicação The Register escreve que a criação automatizada de ferramentas completas para ataques cibernéticos não é mais ficção científica. Consequentemente, aumenta o perigo de que informações sobre problemas sérios em software sejam usadas não apenas para o desenvolvimento de patches. Em parte, a confirmação dessa observação é a recente mensagem da equipe Google Threat Intelligence Group: eles descobriram "em campo", provavelmente, o primeiro exploit totalmente desenvolvido usando IA.
Os pesquisadores da Kaspersky Lab discutem as tendências no desenvolvimento de ransomware. Esses malwares são geralmente chamados de ransomware, mas uma das tendências interessantes destacadas por esta publicação é a recusa da criptografia de dados: os invasores passam imediatamente para a exigência de resgate, ameaçando publicar as informações roubadas. O número de ataques de ransomware está diminuindo gradualmente, mas a qualidade está aumentando, e novas ferramentas estão sendo usadas – por exemplo, criptografia pós-quântica. Os especialistas da Kaspersky Lab também publicaram relatórios tradicionais sobre a evolução das ameaças cibernéticas para o primeiro trimestre de 2026, com estatísticas sobre PCs e dispositivos móveis.
Em 14 de maio, foi descoberta uma nova variante da vulnerabilidade Dirty Frag no kernel Linux, conhecida pelo codinome Fragnesia. O problema, que também leva à escalada local de privilégios, recebeu seu próprio identificador CVE-2026-46300.
No Android, aparecerá a função Intrusion Logging, projetada para facilitar a coleta de dados para a investigação de ataques cibernéticos complexos. Esta é parte do conjunto de recursos Advanced Protection Mode – um modo especial de operação do SO, que fortalece a proteção dos usuários que estão em risco.
A Microsoft atualizará o navegador Microsoft Edge e alterará o método de trabalho com senhas salvas no navegador. Como foi descoberto recentemente, o Edge armazena todas as senhas salvas na memória RAM, de onde é relativamente fácil roubá-las.
Uma vulnerabilidade zero-day foi descoberta no servidor de e-mail Microsoft Exchange. Outro problema crítico foi descoberto no mailer de código aberto Exim.
📤 Compartilhar & Baixar
📩 Newsletter MundiX
Receba novidades de cibersegurança + um checklist de pentest grátis. Sem spam.
Ao assinar você concorda em receber e-mails. Cancele quando quiser.
