Categories: ALERTASCYBERSEC GERAL

Splunk e Zoom liberam patches criticos: CVE-2026-53412 (CVSS 9.8) permite account takeover no Zoom Workplace para Windows

Splunk e Zoom publicaram nesta semana um lote combinado de correções que inclui vulnerabilidades críticas e de alta severidade em produtos usados por praticamente todo grande ambiente corporativo. O destaque é o CVE-2026-53412, com CVSS 9.8, que afeta o Zoom Workplace e o Workplace VDI Client para Windows e permite account takeover remoto por atacante não autenticado. No lado Splunk, três CVEs específicas — CVE-2026-20296, CVE-2026-20297 e CVE-2026-20298 — cobrem bypass de safeguards de comando, path traversal e disclosure de informação, e podem levar a leitura de credenciais e escrita de arquivos fora do diretório da aplicação. Nenhum dos fornecedores relatou exploração ativa in the wild, mas o time to weaponize para bugs desse perfil costuma ser curto.

O que aconteceu

Em atualizações coordenadas com o ciclo de patches de julho, Splunk publicou cinco advisories — três cobrindo defeitos próprios e dois consolidando dezenas de correções em componentes de terceiros embarcados no produto. Zoom, por sua vez, publicou quatro advisories: um crítico e três de alta severidade, todos aplicáveis à sua linha Windows.

O timing importa. Splunk é o SIEM de referência em boa parte do mercado corporativo global e ficou ainda mais central desde a aquisição pela Cisco em 2024, o que amplia o alcance dos advisories para clientes que integraram o produto ao stack XDR e à observabilidade. Zoom Workplace, herdeiro direto do Zoom Client tradicional após o rebranding, é onipresente no ambiente Windows corporativo, especialmente em setores financeiro, jurídico e de consultoria.

Detalhes das vulnerabilidades

No lado Splunk, o mais relevante é o CVE-2026-20296, classificado como alto, um bypass de command safeguards que permite a atacantes contornar validações internas destinadas a proibir comandos com potencial destrutivo em searches e pipelines. Combinado com privilégios legítimos comprometidos, o bug abre caminho para exfiltração e movimentação lateral a partir do SIEM — cenário particularmente ruim, já que o Splunk costuma ter acesso privilegiado a logs de todo o ambiente.

O CVE-2026-20297 é um path traversal, também alto, que permite a um atacante gravar arquivos fora do diretório previsto pela aplicação — vetor clássico de RCE em produtos Java-based quando combinado com escrita em locais de execução do próprio servidor. O CVE-2026-20298, de severidade média, expõe hashes de credenciais armazenadas, dado que reduz o custo de crack offline.

As correções foram consolidadas em Splunk Enterprise 10.4.1, 10.2.5, 10.0.8 e 9.4.13. Os mesmos releases também endereçam bugs críticos e de alta severidade em dependências de terceiros — atualizar apenas o núcleo não é suficiente; o inventário de componentes upstream precisa ser revisado.

“As falhas poderiam permitir a atacantes acessar credenciais e dados, assumir contas e escalar privilégios.”

Ionut Arghire, SecurityWeek

No lado Zoom, o CVE-2026-53412 é o único crítico do lote, com CVSS 9.8. Afeta o Workplace Client e a variante VDI para Windows, e permite que atacantes remotos e não autenticados montem ataques de account takeover — o vetor mais valioso em ambientes corporativos, porque uma sessão Zoom comprometida vira porta de entrada para spoofing de reuniões e reset de MFA via canais legítimos. Os outros três avisos cobrem alta severidade: uma race condition do tipo TOCTOU (time-of-check-to-time-of-use) e duas vulnerabilidades de elevação de privilégio.

Quem é afetado

  • Todo cliente corporativo Splunk Enterprise nas linhas 10.x e 9.x até as versões corrigidas
  • Ambientes que integraram Splunk ao Cisco XDR — a exposição do SIEM se propaga ao pipeline de detecção
  • Usuários Windows do Zoom Workplace Client em qualquer versão anterior ao patch
  • Deployments Zoom VDI (setor bancário, jurídico e call centers de larga escala)
  • Times de segurança que dependem do Splunk como fonte de verdade para investigações — bypass de safeguards mina auditoria
  • Endpoint fleets sem gerência centralizada de updates para clients de colaboração

Análise

Vulnerabilidades críticas em SIEM e em clients de colaboração são categorias distintas de risco, mas o padrão de exploração converge em uma coisa: ambos abrem caminho para movimentação lateral silenciosa. Um bypass no Splunk mina a capacidade forense do time azul — os mesmos logs que deveriam denunciar o comportamento anômalo podem ser suprimidos ou reescritos por um adversário com acesso à console. Um account takeover no Zoom transforma uma reunião legítima em canal de comando: manipulação de calendário, spoofing de diretório de contatos, exfiltração via chats persistentes.

O CVE-2026-53412 chama atenção especial porque ataques a Zoom ganharam maturidade nos últimos dois anos. A geração LegacyHive do Windows zero-day mostrou que operadores conseguem transformar clientes de colaboração em beachhead persistente. Somando isso à onda recente de bugs no F5 NGINX/BIG-IP, o quadro do mês é claro: adversários seguem apostando em infra de trânsito e aplicações onipresentes, não em plataformas exóticas.

Vale lembrar que nem Splunk nem Zoom mencionam exploração ativa, mas o histórico é instrutivo: bugs de CVSS acima de 9.0 em produtos com essa base instalada tendem a receber PoCs públicos em dias, semanas para ser incorporados a kits de commodity malware. Quem esperar o próximo patch cycle para agir vai começar o próximo mês defendendo contra exploits já rodando em cargas oportunistas.

Recomendações práticas

  • Aplicar imediatamente Splunk Enterprise 10.4.1, 10.2.5, 10.0.8 ou 9.4.13 (dependendo do ramo suportado), priorizando instâncias com integração externa exposta
  • Auditar contas locais no Splunk com privilégios de search — bypass de safeguard vira exploit útil quando combinado com credencial válida
  • Revisar os componentes de terceiros do stack Splunk; as correções embarcadas nesses releases cobrem dezenas de CVEs upstream
  • Forçar atualização do Zoom Workplace e Workplace VDI para Windows em toda frota, via MDM/Intune, antes do fim de semana
  • Habilitar auto-update em Zoom para usuários finais e monitorar versão via inventário — não confiar em cumprimento manual
  • Rever regras de detecção no SIEM para identificar tentativas de exploração dos CVEs listados; usar hashes e caminhos de arquivos correspondentes onde disponíveis
  • Documentar em runbook de resposta o cenário “SIEM foi a vítima”: onde estão as fontes de verdade alternativas (logs on-prem, exportações no data lake) caso o Splunk esteja comprometido
  • Considerar segmentar o VDI Zoom em rede dedicada para reduzir raio de explosão de um account takeover

Fonte: SecurityWeek

TheNinja

Recent Posts

ClickLock: novo infostealer para macOS mata apps a cada 210ms para forcar vitima a digitar a senha

Group-IB identifica ClickLock, infostealer inedito para macOS que mata apps a cada 210 ms via…

5 horas ago

Google DeepMind quantifica valores geoculturais em alinhamento: novo paper pluralistic safety expoe o quanto o padrao global de IA ainda e ocidental

Google DeepMind publica metodo para medir a saliencia de valores geoculturais em alinhamento - e…

7 horas ago

JADEPUFFER: pesquisadores documentam o primeiro ransomware 100% agentico – LLM invadiu Langflow, criptografou 1.342 registros Nacos e exigiu Bitcoin sozinho

Sysdig registra o JADEPUFFER: primeiro caso de ransomware totalmente conduzido por agente LLM, via CVE-2025-3248…

7 horas ago