[gtranslate]
Recomendações que Protegem. Atitudes que Transformam.
Na jornada pela inovação e excelência, cada medida de segurança adotada é um passo a mais na direção de um ambiente digital mais confiável.
Últimas recomendações emitidas por fontes diversas e que abordam de forma atualizada novas medidas para proteger equipamentos e serviços de TI contra vulnerabilidades.
RECOMENDAÇÃO 08/2026 – Atualização Crítica de Segurança: Mozilla Firefox Versão 150
O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov), por meio da Recomendação 08/2026, alerta para uma atualização de segurança de altíssima relevância para o navegador Mozilla Firefox (Versão 150). Esta versão corrige dezenas de vulnerabilidades críticas, incluindo falhas de Execução Remota de Código (RCE), escalonamento de privilégios e corrupção de memória via WebAssembly (CVE-2026-6746 a CVE-2026-6786), que permitem a um atacante assumir o controle total do equipamento apenas mediante a navegação em sites maliciosos.
As diretrizes de remediação exigem a atualização imediata e prioritária do navegador em todas as estações de trabalho e servidores para a versão 150 (ou versões ESR 115.35 / 140.10). Recomenda-se que as equipes de segurança monitorem comportamentos anômalos de processos, como o firefox.exe originando chamadas para powershell.exe ou cmd.exe, e auditem conexões de rede para portas não-padrão. Caso a atualização não possa ser aplicada de imediato, deve-se considerar a desativação temporária do motor WebAssembly via about:config.
⚠️ Mantenha o parque tecnológico atualizado via GPO ou ferramentas de gerenciamento centralizado e reporte qualquer comportamento inesperado das estações imediatamente à ETIR/UnB.
24/04/2026
RECOMENDAÇÃO 07/2026 – Exploração de Vulnerabilidades em Aplicações PHP (Plataforma Mapa Cultural)
O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov), por meio da Recomendação 07/2026, alerta para uma campanha ativa do grupo Nullsec Philippines (#StopWar) direcionada a instâncias da plataforma Mapa Cultural. A ameaça explora falhas de validação no mecanismo de upload de arquivos para realizar pichação digital (defacement) e inserir arquivos de manifesto no caminho /files/agent/, o que pode servir de vetor para a implantação de Webshells e o comprometimento total do servidor.
As diretrizes de remediação incluem a implementação imediata de regras no WAF para bloquear o upload de extensões críticas (.html, .php, .txt) e arquivos com extensões duplas no diretório de agentes. Recomenda-se configurar o servidor web (Apache/Nginx) para tratar o diretório /files/ estritamente como armazenamento estático, desabilitando a execução de scripts e a listagem de diretórios (Indexes), além de realizar auditoria nos logs em busca de requisições POST anômalas para os endpoints afetados.
⚠️ Monitore a existência de arquivos “stopwar.html” ou similares em sua infraestrutura e restrinja permissões de execução em pastas de upload para evitar a escalada de privilégios.
24/04/2026
RECOMENDAÇÃO 06/2026 – Campanha Cobalt Strike e Abuso de Contas de Serviço de Storage
O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov), por meio da Recomendação 06/2026, alerta para uma campanha ativa do tipo “hands-on-keyboard” utilizando o framework Cobalt Strike contra órgãos públicos. A ameaça foca no comprometimento de contas de serviço de infraestrutura (como a conta snapdrive) para realizar movimentação lateral via SMB e exfiltração de dados, apresentando risco iminente de implantação de ransomware por grupos como o RansomHub.
As diretrizes de remediação incluem o monitoramento rigoroso de binários com a nomenclatura svchost.exe operando fora de seus diretórios padrão, com atenção especial ao caminho C:\Windows\debug\svchost.exe. Recomenda-se o bloqueio da comunicação direta entre estações de trabalho na porta TCP 445, a implementação de regras de AppLocker ou WDAC para impedir a execução em pastas de debug ou temporárias, e o isolamento de ferramentas de gerenciamento de storage em Estações de Trabalho de Acesso Privilegiado (PAWs).
⚠️ Monitore logins anômalos de contas de serviço de backup/storage, bloqueie beacons de SMB na rede interna e realize varreduras em busca do artefato Win64/CobaltStrike.CB!MTB.
17/04/2026
RECOMENDAÇÃO 05/2026 – Vazamento de Dados e Incidente de Cadeia de Suprimentos (Dígitro Tecnologia)
O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov), por meio da Recomendação 05/2026, alerta para um incidente cibernético crítico envolvendo o vazamento massivo de bancos de dados, repositórios de código-fonte e arquivos internos da empresa Dígitro Tecnologia. Este evento caracteriza-se como um ataque de cadeia de suprimentos (supply chain), expondo a arquitetura de sistemas sensíveis utilizados por órgãos de segurança e inteligência, o que pode permitir a identificação de vulnerabilidades estruturais ou o desenvolvimento de exploits específicos contra infraestruturas governamentais.
As diretrizes urgentes de remediação incluem a aplicação imediata de patches no componente Dígitro NGC Explorer para mitigar falhas de exposição de credenciais (CVE-2025-4526) e vazamento de informações sensíveis (CVE-2025-4527). Instituições que utilizam soluções desta fornecedora devem proceder com a rotação imediata de chaves de API, segredos corporativos e credenciais, além de isolar interfaces de configuração da internet pública. Recomenda-se, adicionalmente, o reforço das políticas de controle de aplicações (AppLocker ou WDAC) para impedir a execução de binários não homologados.
⚠️ Realize auditoria completa em sistemas que utilizam ferramentas Dígitro, aplique as correções para as CVEs citadas e monitore qualquer tentativa de bypass de sessão em consoles de administração.
17/04/2026
RECOMENDAÇÃO 04/2026 – Campanhas de Phishing, Exploração de Vulnerabilidades e Comprometimento de Identidades
O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov), por meio da Recomendação 04/2026, alerta para a intensificação de campanhas cibernéticas sofisticadas que utilizam engenharia social e automação para o comprometimento de identidades e exfiltração de dados. A ameaça envolve a indução de usuários à execução de scripts maliciosos (PowerShell/JavaScript) via arquivos .LNK ou .url, além da exploração crítica do fluxo de autenticação device code no Microsoft 365, que permite contornar mecanismos de MFA para a obtenção de tokens válidos.
As principais diretrizes de remediação incluem a implementação de políticas de controle de aplicações (WDAC ou AppLocker) para restringir a execução de scripts em diretórios de usuário e a priorização da aplicação de patches em ambientes Microsoft, Cisco, Oracle e SharePoint. É fundamental monitorar o uso indevido de ferramentas legítimas como o RCLONE para exfiltração de dados, restringir fluxos de autenticação persistentes no Entra ID e limitar a exposição de serviços sensíveis, como portas Oracle 7001/7002 e protocolos T3/IIOP.
⚠️ Monitore execuções anômalas de scripts, revogue sessões suspeitas de OAuth e oriente os usuários quanto aos riscos de links encurtados e solicitações de autenticação fora do padrão.
01/04/2026
RECOMENDAÇÃO 03/2026 – Campanha de Engenharia Social via Técnica "ClickFix"
O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov), por meio da Recomendação 03/2026, alerta para a disseminação da técnica de engenharia social denominada “ClickFix”. Esta ameaça explora a confiança do usuário ao simular alertas falsos de CAPTCHAs ou erros de sistema para induzir a abertura da caixa “Executar” (Windows + R) e a colagem de comandos maliciosos que invocam o PowerShell ou MSHTA, permitindo o acesso remoto não autorizado ao ambiente corporativo.
As principais diretrizes de remediação incluem o bloqueio do atalho Windows + R via Política de Grupo (GPO), a implementação de políticas de controle de aplicativos (como AppLocker ou WDAC) para impedir a execução de binários nativos a partir de diretórios temporários e o monitoramento rigoroso de processos filhos anômalos originados de navegadores. O CTIR Gov destaca que nenhum serviço legítimo exige que o usuário execute comandos manualmente no sistema operacional para validação de acesso.
⚠️ Oriente os usuários a jamais colarem comandos fornecidos por sites e restrinja o uso do menu “Executar” em estações de trabalho.
20/03/2026
RECOMENDAÇÃO 02/2026 - Campanha de Roubo de Dados via Subdomínios .gov.br
O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) alerta para uma operação cibernética ativa que se aproveita da credibilidade de subdomínios legítimos .gov.br para distribuir malwares de roubo de dados. A campanha utiliza técnicas de engenharia social para induzir o download de arquivos maliciosos, como o Certificado_PCAP.exe, que se instalam silenciosamente para coletar credenciais, decriptografar senhas de navegadores e interceptar sessões financeiras em tempo real.
O CTIR Gov recomenda o bloqueio preventivo do IP 79.110.49.32 e dos domínios kapa.is e kak.is, além da varredura rigorosa em estações de trabalho à procura do diretório AppData\Local\ProSoftionTechMax e de entradas suspeitas no registro do Windows. É fundamental desabilitar o salvamento automático de senhas nos navegadores e orientar os usuários a reportarem imediatamente qualquer e-mail com anexos ou links suspeitos à equipe de segurança, destacando que arquivos executáveis (.exe) não são utilizados para emissão de certificados oficiais de rede.
⚠️ Atenção a arquivos executáveis disfarçados de documentos oficiais e monitore comunicações anômalas em sua rede.
02/03/2026
RECOMENDAÇÃO 01/2026 - Phishing via Domínios Genéricos .sbs e .app
O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) alerta para uma campanha recorrente de phishing que utiliza domínios genéricos de topo .sbs e .app para simular serviços e comunicações governamentais. Foram identificadas páginas falsas que imitam portais oficiais, distribuídas principalmente por e-mail e mensagens eletrônicas, com o objetivo de induzir usuários a fornecer credenciais e dados sensíveis.
O CTIR Gov recomenda reforçar o monitoramento de domínios suspeitos, a filtragem de e-mails, o uso de autenticação multifator e a conscientização dos usuários, destacando que órgãos públicos não utilizam domínios .sbs e .app para serviços oficiais.
⚠️ Atenção a links suspeitos e verifique sempre o domínio completo antes de qualquer interação.
15/01/2026