A Redbelt Security, consultoria brasileira especializada em segurança da informação, divulgou sua curadoria mensal de vulnerabilidades e vetores de ataque que vêm sendo explorados contra empresas em diferentes setores e países. O levantamento reúne falhas em plataformas amplamente utilizadas no ambiente corporativo, como Microsoft, ServiceNow e Trend Micro, além de ferramentas de automação, extensões de navegador e soluções baseadas em inteligência artificial.
Segundo a empresa, o objetivo do alerta é apoiar líderes de TI e segurança na identificação de riscos emergentes, reforçando a importância de boas práticas de configuração, atualização de sistemas e conscientização dos usuários diante de campanhas cada vez mais sofisticadas de fraude digital, invasão de ambientes corporativos e roubo de dados.
Configurações de e-mail ampliam risco de BEC
A Microsoft informou que ajustes inadequados no roteamento e nos mecanismos que validam a origem das mensagens no Microsoft 365 podem permitir o envio de e-mails que aparentam ter sido disparados de dentro da própria organização. A brecha pode ser explorada em esquemas financeiros, como envio de faturas fraudulentas e pedidos de alteração de dados bancários.
Esse tipo de fraude está associado a ataques de Business Email Compromise, BEC, nos quais criminosos se passam por executivos ou parceiros comerciais para obter vantagens financeiras. Como medida preventiva, a empresa recomenda desativar o recurso de Envio Direto quando não for necessário. Ambientes com registros MX apontados diretamente para o Office 365 não são suscetíveis a esse vetor específico.
n8n pode ser controlado sem autenticação
Uma vulnerabilidade com severidade máxima, CVSS 10.0, revelou que instâncias do n8n, ferramenta de automação de fluxos entre sistemas, podem ser comprometidas sem necessidade de login. O problema está relacionado aos webhooks, que funcionam como portas de entrada para dados enviados por outros aplicativos.
Se mal configurados, esses webhooks podem ser manipulados para executar comandos dentro da própria plataforma, afetando processos automatizados e sistemas corporativos conectados. Dados da Censys indicam que mais de 26 mil servidores n8n estão acessíveis publicamente na internet, sendo mais de 1.300 no Brasil. A recomendação é manter a ferramenta atualizada, evitar exposição direta à internet e restringir webhooks e formulários públicos.
Falha no Apex Central pode permitir execução remota
A Trend Micro disponibilizou atualizações para versões locais do Apex Central para Windows após a identificação de uma vulnerabilidade com pontuação CVSS 9,8. O problema pode permitir execução remota de código em servidores Windows.
O ponto crítico envolve a função LoadLibraryEx, responsável por carregar bibliotecas do sistema, que pode ser explorada para inserção de código não autorizado. Versões anteriores à Build 7190 são as mais afetadas. A empresa destaca que a exploração depende de algum nível prévio de acesso ao endpoint, o que reforça a necessidade de segmentação de rede, controle de privilégios e monitoramento contínuo.
ServiceNow corrige falha de impersonação
A ServiceNow anunciou a correção da vulnerabilidade CVE-2025-12420, apelidada de BodySnatcher, que poderia permitir que usuários não autenticados se passassem por outras pessoas na plataforma, inclusive administradores.
A falha estava ligada à integração do Agente Virtual, que aceitava apenas um endereço de e-mail como identificação, contornando mecanismos como autenticação multifator, MFA, e login único, SSO. O risco envolvia criação de contas ocultas, alteração de políticas de segurança e manutenção de acesso persistente. As atualizações foram distribuídas em outubro de 2025 para instâncias hospedadas e auto-hospedadas.
Extensão maliciosa mira contas na MEXC
Uma extensão maliciosa do navegador Google Chrome foi identificada se passando por ferramenta de automação de negociações na exchange MEXC. O complemento induz o usuário a gerar chaves de API, que funcionam como credenciais digitais para autorizar operações e saques.
Após criadas, as chaves são enviadas aos atacantes, que mantêm o acesso mesmo após a remoção da extensão, enquanto as permissões não forem revogadas manualmente. O método utiliza uma sessão já autenticada no navegador, dispensando o roubo de senhas.
Magecart segue ativo no e-commerce
A campanha de web skimming conhecida como Magecart continua ativa, comprometendo páginas de checkout por meio da inserção de código JavaScript malicioso. A técnica captura dados digitados no momento do pagamento, incluindo informações de cartão, nome, e-mail, telefone e endereço.
Após a coleta, o código pode se remover automaticamente da página para dificultar a detecção. Empresas que operam com grandes redes internacionais de pagamento estão entre as mais expostas.
Microsoft Copilot e o método Reprompt
Um vetor chamado Reprompt demonstrou como links legítimos do Microsoft Copilot podem acionar comandos ocultos capazes de levar a ferramenta a resumir arquivos e revelar informações pessoais ou atividades recentes do usuário.
Como as solicitações subsequentes partem dos próprios servidores da plataforma, a identificação do vazamento se torna mais complexa. A Microsoft informou que a falha foi corrigida e que clientes corporativos do Microsoft 365 Copilot não foram impactados.
Risco além das falhas pontuais
De acordo com a Redbelt Security, o cenário de ameaças cibernéticas vai além de vulnerabilidades isoladas e envolve integrações expostas, configurações inadequadas e uso indevido de ferramentas legítimas. Em um ambiente corporativo cada vez mais automatizado, a combinação de atualização de sistemas, revisão de acessos, monitoramento contínuo e capacitação dos usuários segue como principal estratégia para reduzir riscos financeiros, operacionais e reputacionais associados a ataques digitais.
