Vulnerabilidade corrigida no Build 9511 foi explorada dois dias após o patch e permite redefinir senha de administrador por requisição HTTP especialmente construída.
| Componente | SmarterTools SmarterMail, endpoint /api/v1/auth/force-reset-password e função SmarterMail.Web.Api.AuthenticationController.ForceResetPassword. |
| Vetor | Requisição HTTP especialmente construída contra o endpoint de redefinição forçada de senha, explorando o tratamento do parâmetro booleano IsSysAdmin e exigindo conhecimento de um nome de usuário administrador existente. |
| Impacto | Tomada de conta administrativa e caminho para execução de comandos no sistema operacional por funcionalidade administrativa embutida, com possibilidade de execução em nível SYSTEM no host afetado. |
| Prioridade | Aplicar o Build 9511 ou versão mais recente do SmarterMail, revisar instalações desatualizadas e investigar sinais de uso do endpoint de redefinição forçada e de comandos administrativos anômalos. |
| CVE | A vulnerabilidade foi atribuída a CVE-2026-23760, com pontuação CVSS 9.3, após rastreamento inicial como WT-2026-0001. |
| Exploração ativa | Exploração em ambiente real foi observada em 17 de janeiro de 2026, dois dias após a correção publicada em 15 de janeiro de 2026. |
| Correlação | Outra falha do SmarterMail, CVE-2025-52691, CVSS 10.0, também foi relatada em exploração em massa com uso de web shells simples e suspeitos loaders gravados em diretórios de inicialização. |
Uma falha crítica no SmarterMail permite contornar autenticação para alterar a senha de uma conta administradora do sistema por meio do endpoint /api/v1/auth/force-reset-password. O problema foi corrigido pela SmarterTools em 15 de janeiro de 2026 no Build 9511, após divulgação responsável feita em 8 de janeiro de 2026. A falha recebeu rastreamento inicial como WT-2026-0001 e posteriormente foi atribuída a CVE-2026-23760, com pontuação CVSS 9.3. A exploração em ambiente real foi observada dois dias depois da liberação do patch, quando logs de uma instalação afetada indicaram uso do mesmo endpoint para alterar a senha administrativa.
O risco não termina na troca de senha. Uma vez obtido acesso administrativo ao SmarterMail, o invasor passa a alcançar funcionalidades internas que permitem execução de comandos no sistema operacional subjacente. O caminho descrito envolve uma função administrativa usada para configurar volumes, na qual um campo de comando de montagem pode acionar execução no host. Em termos defensivos, isso transforma uma falha de redefinição indevida de credencial em um caminho prático para execução remota de código com privilégios elevados, inclusive em nível SYSTEM, dependendo da instalação afetada e do contexto de execução do serviço.
A origem da vulnerabilidade está na lógica de SmarterMail.Web.Api.AuthenticationController.ForceResetPassword. O endpoint responsável pela redefinição forçada de senha podia ser alcançado sem autenticação adequada e processava a requisição com base em um sinalizador booleano chamado IsSysAdmin. Quando esse sinalizador indicava um fluxo administrativo, a rotina seguia um caminho privilegiado capaz de localizar a configuração associada ao nome de usuário recebido e atualizar a senha de uma conta administradora. A condição crítica é a ausência de controle de autorização robusto antes da alteração de uma credencial com privilégios máximos.
A exploração requer que o operador conheça um nome de usuário administrador existente. Esse requisito limita a falha, mas não reduz sua gravidade em ambientes onde nomes de contas administrativas podem ser inferidos por convenção, documentação interna exposta, mensagens operacionais, artefatos de suporte ou histórico de administração. Após a tomada da conta, o invasor pode autenticar-se como administrador e abusar de recursos legítimos do produto. O recurso de configuração de volume foi descrito como caminho para execução de comandos no sistema operacional, mas a ação defensiva não depende de reproduzir esse fluxo: basta tratar qualquer alteração administrativa inesperada, criação de volume incomum ou tentativa de uso do campo de comando de montagem como evento de alto risco.
A superfície exposta inclui instalações locais do SmarterMail que não receberam o Build 9511 ou versão posterior. Como o software é operado em ambiente on-premises, a correção depende da ação do cliente responsável pela instalação. Isso é relevante para organizações que mantêm servidores de e-mail autogeridos, hospedagens compartilhadas, painéis administrados por equipes pequenas ou ambientes em que atualizações críticas são aplicadas apenas em janelas programadas. O fato de a exploração ter surgido rapidamente após o patch indica que versões vulneráveis permaneceram acessíveis tempo suficiente para engenharia reversa da correção e reconstrução do comportamento explorável.
O caso também deve ser analisado junto de CVE-2025-52691, outra vulnerabilidade de gravidade máxima no SmarterMail que foi relatada em exploração em massa. Essa falha anterior foi associada à entrega de web shells de baixa sofisticação e suspeitos loaders gravados em diretórios de inicialização para obter persistência após reinicialização. Não há atribuição confirmada a um ator específico para as explorações citadas. As tentativas observadas contra CVE-2026-23760 foram associadas a infraestrutura virtual nos Estados Unidos, mas a origem real da operação permanece desconhecida, o que impede atribuição confiável com os dados disponíveis.
- Instalações do SmarterMail anteriores ao Build 9511 ou sem a correção crítica de 15 de janeiro de 2026.
- Contas administrativas existentes cujo nome de usuário seja conhecido, previsível ou recuperável por terceiros.
- Servidores em que a interface administrativa do SmarterMail esteja acessível a redes não confiáveis.
- Ambientes que já apresentem sinais relacionados a
CVE-2025-52691, como web shells simples ou artefatos persistentes em diretórios de inicialização.
A investigação deve começar pelos logs HTTP e de aplicação do SmarterMail, com foco em requisições ao endpoint /api/v1/auth/force-reset-password, principalmente em 17 de janeiro de 2026 ou depois dessa data para ambientes que demoraram a atualizar. Eventos desse tipo devem ser correlacionados com mudanças de senha administrativa, falhas ou sucessos de autenticação logo após a requisição, alterações de configuração e acessos administrativos vindos de endereços incomuns para a organização. Como a exploração depende de um nome de usuário administrador, tentativas repetidas com diferentes nomes de conta também são sinal relevante de enumeração ou tentativa de validação.
No endpoint e no host, a telemetria deve buscar alterações administrativas incomuns, criação ou modificação de volumes, uso de campos relacionados a comandos de montagem e processos filhos gerados pelo serviço do SmarterMail. Para ambientes Windows, a prioridade é correlacionar eventos de processo, escrita em diretórios de inicialização, criação de arquivos com comportamento de web shell e conexões de rede iniciadas por processos ligados ao serviço de e-mail. A investigação também deve revisar indicadores de CVE-2025-52691, porque a presença dessa atividade pode indicar que o servidor foi exposto a campanhas paralelas contra o mesmo produto.
- Requisições ao caminho
/api/v1/auth/force-reset-password, especialmente sem sessão administrativa válida anterior. - Mudança de senha de conta administradora seguida de autenticação bem-sucedida a partir de origem incomum.
- Criação de volume ou alteração de configuração administrativa sem ticket, janela de mudança ou operador conhecido.
- Processos do sistema operacional iniciados pelo serviço do SmarterMail fora do padrão operacional do ambiente.
- Arquivos recém-criados em diretórios de inicialização e artefatos compatíveis com web shells de baixa complexidade.
- Tráfego de exploração vindo de infraestrutura virtual e endereços que não fazem parte de redes administrativas esperadas.
A ação principal é atualizar o SmarterMail para o Build 9511 ou versão posterior que contenha a correção de segurança. A atualização deve ser tratada como emergencial em qualquer instalação exposta à internet ou acessível por redes amplas. Após a atualização, a equipe deve invalidar sessões administrativas, revisar contas com privilégio elevado e redefinir senhas administrativas quando houver qualquer indício de uso do endpoint vulnerável. Em servidores com sinais de comprometimento, a resposta deve incluir preservação de evidências, coleta de logs, revisão de alterações de configuração e análise de processos, serviços e tarefas persistentes no sistema operacional.
A contenção deve reduzir a superfície administrativa do SmarterMail. A interface de administração deve ficar restrita a redes confiáveis, VPN corporativa ou controles equivalentes, com monitoramento de autenticação e alerta para mudança de senha privilegiada. Também é recomendável verificar se há exposição simultânea a CVE-2025-52691, já que essa falha foi relatada em exploração em massa e associada à implantação de web shells e loaders suspeitos. Órgãos federais civis dos Estados Unidos receberam prazo até 16 de fevereiro de 2026 para aplicar correções das duas falhas no catálogo KEV da CISA; fora desse escopo, o mesmo prazo deve ser entendido como referência de urgência técnica, não como limite operacional seguro.
- Instalar o Build 9511 ou versão mais recente do SmarterMail em todos os servidores afetados.
- Restringir acesso à administração do SmarterMail a redes administrativas controladas.
- Auditar uso de
/api/v1/auth/force-reset-passworde qualquer alteração recente de senha administrativa. - Revisar criação de volumes, campos de comando de montagem e processos executados pelo serviço do SmarterMail.
- Procurar sinais relacionados a
CVE-2025-52691, incluindo web shells simples e artefatos em diretórios de inicialização. - Rotacionar credenciais administrativas quando houver suspeita de tomada de conta ou alteração não autorizada.
- Preservar logs e artefatos antes de limpeza quando houver evidência de execução de comandos ou persistência.
0 Comentários