Categories: AMEAÇAS ATUAIS

CVE-2026-1731 em BeyondTrust já é explorada para tomar controle de domínio

Uma vulnerabilidade crítica no BeyondTrust Remote Support (RS) e Privileged Remote Access (PRA), identificada como CVE-2026-1731, está sendo explorada ativamente em ambientes self-hosted. O vetor permite injeção de comando no sistema operacional sem autenticação, abrindo caminho para execução remota de código.

Como os ataques evoluem

De acordo com os indícios observados em investigações recentes, os invasores têm seguido uma cadeia de ataque relativamente consistente:

  • execução inicial via requisições HTTP especialmente construídas;
  • instalação de ferramenta de acesso remoto para persistência;
  • reconhecimento do ambiente com comandos nativos do Windows;
  • enumeração de Active Directory para mapear alvos internos;
  • escalada de privilégio com criação de contas e inclusão em grupos administrativos;
  • movimentação lateral para ampliar o comprometimento na rede.

Por que o risco é alto

Como RS/PRA costuma estar profundamente integrado a fluxos administrativos, o impacto não fica restrito ao host inicial. Em cenários sem correção, a exploração pode chegar rapidamente a privilégios de domínio, comprometendo identidade, operação e continuidade do negócio.

Prioridades imediatas para defesa

  • aplicar as atualizações de segurança sem atraso em todas as instâncias afetadas;
  • restringir superfícies administrativas a redes confiáveis;
  • monitorar criação suspeita de contas e mudanças em grupos privilegiados;
  • detectar uso anômalo de ferramentas de administração remota e movimentação lateral;
  • centralizar logs em SIEM/XDR e reforçar trilhas de auditoria;
  • revalidar plano de resposta a incidentes para cenário de comprometimento de domínio.

Para equipes de segurança, este caso reforça um ponto antigo: sistemas de acesso privilegiado precisam de janela de patch curta, segmentação rigorosa e monitoramento contínuo de identidade.

Fonte: https://www.esecurityplanet.com/threats/beyondtrust-rce-exploited-for-domain-control/

TheNinja

Recent Posts

Okta alerta para campanha de vishing “Pink” que registra passkeys adversariais em contas Microsoft 365

Grupo O-UNC-066/Pink combina chamadas telefônicas com páginas falsas do Entra ID para enrolar passkeys controlados…

14 horas ago

CISA publica post-mortem de vazamento de chaves AWS GovCloud em GitHub pessoal de contratado

CISA detalha resposta a incidente em que credenciais AWS GovCloud e código de infraestrutura interno…

14 horas ago

Zimbra alerta para falha crítica de XSS armazenado no Classic Web Client; patch 10.1.19 é obrigatório

Zimbra emite alerta crítico após identificar vulnerabilidade stored XSS no Classic Web Client que permite…

14 horas ago

ANPD publica o 1º relatório do sandbox de IA: Metatext, Synapse AI e Prevvine sob supervisão desde março

ANPD divulga 1º Relatório Parcial do Sandbox Regulatório de IA: Metatext, Synapse AI e Prevvine…

19 horas ago

Grok 4.5 gasta 4,2x menos tokens que Opus 4.8 no SWE-Bench Pro: SpaceXAI aposta na eficiência para vencer no custo por tarefa

Grok 4.5 chega com foco em código e agentes: 15.954 tokens médios em SWE-Bench Pro…

19 horas ago

Qualcomm compra Modular por US$ 3,9 bi para atacar o fosso do CUDA: MAX e Mojo entram na guerra por data centers

Qualcomm anuncia compra da Modular por ~US$ 3,9 bi para desafiar CUDA da NVIDIA com…

19 horas ago