CVE-2026-1731 em BeyondTrust já é explorada para tomar controle de domínio

Uma vulnerabilidade crítica no BeyondTrust Remote Support (RS) e Privileged Remote Access (PRA), identificada como CVE-2026-1731, está sendo explorada ativamente em ambientes self-hosted. O vetor permite injeção de comando no sistema operacional sem autenticação, abrindo caminho para execução remota de código.

Como os ataques evoluem

De acordo com os indícios observados em investigações recentes, os invasores têm seguido uma cadeia de ataque relativamente consistente:

• execução inicial via requisições HTTP especialmente construídas;
• instalação de ferramenta de acesso remoto para persistência;
• reconhecimento do ambiente com comandos nativos do Windows;
• enumeração de Active Directory para mapear alvos internos;
• escalada de privilégio com criação de contas e inclusão em grupos administrativos;
• movimentação lateral para ampliar o comprometimento na rede.

Por que o risco é alto

Como RS/PRA costuma estar profundamente integrado a fluxos administrativos, o impacto não fica restrito ao host inicial. Em cenários sem correção, a exploração pode chegar rapidamente a privilégios de domínio, comprometendo identidade, operação e continuidade do negócio.

Prioridades imediatas para defesa

• aplicar as atualizações de segurança sem atraso em todas as instâncias afetadas;
• restringir superfícies administrativas a redes confiáveis;
• monitorar criação suspeita de contas e mudanças em grupos privilegiados;
• detectar uso anômalo de ferramentas de administração remota e movimentação lateral;
• centralizar logs em SIEM/XDR e reforçar trilhas de auditoria;
• revalidar plano de resposta a incidentes para cenário de comprometimento de domínio.

Para equipes de segurança, este caso reforça um ponto antigo: sistemas de acesso privilegiado precisam de janela de patch curta, segmentação rigorosa e monitoramento contínuo de identidade.

Fonte: https://www.esecurityplanet.com/threats/beyondtrust-rce-exploited-for-domain-control/