Intrusão explorou uma instância esquecida do SmarterMail, afetou servidores Windows internos e abriu caminho para controle de Active Directory, uso de Velociraptor e tentativa de ransomware.
| Componente | Instância SmarterMail não atualizada em uma VM esquecida dentro da rede da SmarterTools. |
| Vetor | Comprometimento de servidor de e-mail exposto e sem build corrigida; a empresa atribuiu o acesso ao CVE-2026-24423, enquanto atividade relacionada também envolveu exploração do CVE-2026-23760 em sistemas não corrigidos. |
| Impacto | Cerca de 12 servidores Windows da rede de escritório e um data center secundário de testes de qualidade foram afetados; clientes hospedados que usavam SmarterTrack tiveram maior impacto operacional. |
| Prioridade | Atualizar SmarterMail para a build mais recente, procurar sinais de acesso anterior ao patch, isolar servidores de e-mail e revisar Active Directory para usuários criados indevidamente. |
| Versões | As falhas citadas foram corrigidas na build 9511; a recomendação operacional é atualizar para a build 9526. |
| Artefatos | A cadeia observada incluiu Velociraptor, um instalador MSI malicioso identificado como v4.msi e posterior implantação de componente de bloqueio de arquivos. |
A SmarterTools sofreu uma intrusão associada ao ransomware Warlock, também rastreado como Storm-2603, depois que uma instância SmarterMail sem atualização permaneceu ativa em uma máquina virtual que não fazia parte do ciclo normal de manutenção. O incidente ocorreu em 29 de janeiro de 2026 e expôs uma falha operacional comum em ambientes corporativos: a existência de servidores instalados fora do inventário efetivo, com serviço crítico em execução, mas sem aplicação regular de correções. Antes do incidente, a empresa mantinha aproximadamente 30 servidores ou máquinas virtuais com SmarterMail em sua rede, e uma delas, criada por um funcionário, não estava sendo atualizada.
O comprometimento não foi descrito como uma falha no portal de conta, no carrinho de compras, no site público ou em aplicações de negócio da SmarterTools. A empresa afirmou que dados de contas e aplicações corporativas não foram afetados ou comprometidos. O impacto confirmado ficou concentrado em cerca de 12 servidores Windows na rede de escritório, além de um data center secundário usado para testes de controle de qualidade. Clientes hospedados que utilizavam SmarterTrack foram os mais afetados, não por uma vulnerabilidade própria do SmarterTrack, mas porque esse ambiente ficou mais acessível depois que os operadores obtiveram presença dentro da rede.
A atividade tem características de operação de ransomware com permanência inicial e acionamento posterior. Após o acesso inicial, os operadores aguardaram alguns dias antes de avançar para o controle do servidor Active Directory, criar novos usuários e implantar cargas adicionais. Entre os artefatos citados estão Velociraptor, ferramenta legítima de resposta e investigação que pode ser abusada para acesso persistente, e o componente de bloqueio usado na etapa de criptografia. Essa sequência reforça que a correção aplicada depois do primeiro acesso pode não ser suficiente quando a intrusão já deixou contas, serviços, ferramentas ou tarefas prontas para uso posterior.
O ponto de entrada foi uma instância SmarterMail não atualizada. A empresa indicou posteriormente que a vulnerabilidade específica usada contra sua instância foi o CVE-2026-24423, uma falha de execução remota de código não autenticada relacionada ao método de API ConnectToHub. Essa condição permite que uma requisição manipulada acione comunicação com endereço externo controlado pelo operador e receba instruções que resultam em execução de comandos no sistema vulnerável. A exploração em massa dessa falha foi observada a partir de 28 de janeiro de 2026, um dia antes do incidente relatado, com mais de mil tentativas originadas de aproximadamente 60 endereços IP distintos.
A janela de exploração também envolveu outro defeito crítico do SmarterMail, o CVE-2026-23760, que permite contornar autenticação e redefinir a senha do administrador do sistema por meio de requisição HTTP especialmente criada. Atividade provavelmente vinculada ao Warlock usou esse caminho para obter acesso administrativo em sistemas expostos à internet que ainda executavam versões anteriores à build 9511. Em seguida, esse acesso pôde ser encadeado com a funcionalidade legítima de montagem de volume do software para obter controle do sistema e preparar a implantação de ransomware.
As duas falhas têm caminhos diferentes, mas podem levar a resultados semelhantes. O CVE-2026-24423 oferece uma rota mais direta para execução remota de código por meio de uma chamada de API, enquanto o CVE-2026-23760 começa com tomada administrativa via redefinição de senha e depende do abuso de recursos internos para chegar à execução. O uso de recursos legítimos, como redefinição de senha e montagem de volume, reduz a dependência de um único padrão ruidoso de exploração e pode dificultar detecções que buscam apenas assinaturas específicas de RCE.
Depois do acesso inicial, a cadeia observada incluiu download de um instalador MSI malicioso chamado v4.msi hospedado em uma plataforma legítima de backend em nuvem, usado para instalar Velociraptor. O emprego de uma ferramenta legítima de forense digital altera o perfil de detecção, porque o binário pode aparecer em ambientes corporativos sem ser automaticamente malicioso. A diferença está no contexto: execução em servidor de e-mail exposto, instalação fora de procedimento administrativo documentado, comunicação inesperada e proximidade temporal com criação de contas ou alterações no Active Directory.
A superfície principal envolve servidores SmarterMail expostos e não atualizados, especialmente instalações anteriores à build 9511, na qual as vulnerabilidades citadas foram tratadas. O risco não se limita ao servidor de e-mail em si. Uma vez dentro da rede, os operadores alcançaram ativos Windows internos, ambiente de testes de qualidade e infraestrutura associada a clientes hospedados de SmarterTrack. Isso indica que o problema operacional central foi a combinação de serviço vulnerável, inventário incompleto e segmentação insuficiente para conter movimento após o primeiro comprometimento.
Ambientes com múltiplas instâncias SmarterMail, máquinas virtuais criadas fora de processos formais, servidores de laboratório conectados à rede corporativa e data centers secundários usados para controle de qualidade merecem atenção especial. Mesmo quando a instância vulnerável não armazena dados corporativos críticos, ela pode funcionar como ponte para diretórios, arquivos, ferramentas administrativas e redes de suporte. A presença de Active Directory no fluxo de ataque eleva a severidade, porque novas contas podem manter acesso mesmo após a atualização do software vulnerável.
- Servidores SmarterMail expostos à internet e executando builds anteriores à 9511.
- Instâncias desconhecidas ou não inventariadas, incluindo VMs criadas fora do processo de manutenção.
- Servidores Windows no mesmo domínio ou segmento acessível a partir do servidor de e-mail comprometido.
- Ambientes hospedados de SmarterTrack que ficaram alcançáveis depois da intrusão na rede.
- Servidores de controle de qualidade ou data centers secundários com conectividade excessiva para a rede principal.
A investigação deve partir da premissa de que a atualização isolada do SmarterMail não invalida acessos obtidos antes da correção. O intervalo descrito entre o acesso inicial e a etapa posterior de ransomware chegou a alguns dias, com referência a janelas de aproximadamente seis a sete dias em casos similares. Portanto, a busca precisa cobrir eventos anteriores e posteriores ao patch: requisições suspeitas contra APIs do SmarterMail, redefinições de senha administrativas, chamadas relacionadas a montagem de volume, criação de usuários no Active Directory e execução de instaladores MSI inesperados.
No servidor SmarterMail, logs HTTP e registros da aplicação devem ser analisados em busca de chamadas incomuns para rotas de API, tentativas de redefinição da conta administrativa integrada e padrões associados ao parâmetro nodeName, que foi observado com valores no formato de identificação da vítima baseado em época Unix. Para o CVE-2026-24423, sinais relevantes incluem requisições POST que fazem o servidor consultar endereços externos controlados por terceiros por meio de parâmetro vulnerável. Endereços de callback devem ser tratados como indicadores defangados e correlacionados com DNS, proxy e firewall, sem ativação de links.
Em endpoints Windows, a presença de Velociraptor deve ser avaliada pelo contexto de implantação. A ferramenta pode ser legítima, mas instalação recente em servidor de e-mail, origem por MSI não aprovado, execução por conta recém-criada ou comunicação fora do plano de resposta interna são sinais de abuso. Também é necessário procurar alterações em grupos privilegiados, criação de usuários perto da data de 29 de janeiro de 2026, autenticações anômalas a partir do servidor de e-mail, uso administrativo fora de horário e acesso a compartilhamentos de arquivos antes de eventos de criptografia.
- Requisições de redefinição de senha do administrador do SmarterMail sem origem administrativa conhecida.
- Chamadas de API compatíveis com exploração de
ConnectToHube callbacks externos defangados. - Uso incomum da funcionalidade de montagem de volume após autenticação administrativa recente.
- Instalação ou execução de
v4.msi, Velociraptor ou binários de bloqueio em servidores Windows. - Criação de usuários, inclusão em grupos privilegiados e mudanças no Active Directory após o acesso inicial.
- Tráfego de servidores de e-mail para serviços de nuvem que não fazem parte da operação normal.
A primeira medida é atualizar SmarterMail para a build mais recente disponível, com referência operacional à build 9526, e confirmar que nenhuma instância ficou fora do inventário. A build 9511 corrigiu as vulnerabilidades citadas, mas organizações devem validar a versão real em todos os servidores, incluindo VMs antigas, ambientes de teste, servidores de suporte e implantações criadas por equipes fora do processo central de TI. A atualização deve ser acompanhada por revisão de exposição externa, porque servidores corrigidos ainda podem ter artefatos de intrusão deixados antes do patch.
A contenção deve isolar servidores SmarterMail de redes internas sensíveis e restringir o caminho até Active Directory, compartilhamentos Windows e ambientes hospedados. Servidores de e-mail expostos não devem ter conectividade ampla para controladores de domínio ou data centers de teste sem necessidade explícita. Em ambientes já expostos, a resposta precisa incluir rotação de credenciais administrativas do SmarterMail, auditoria de contas recém-criadas, remoção de usuários não autorizados, validação de serviços persistentes e revisão de ferramentas de administração remota instaladas no período da intrusão.
A validação final exige comparar inventário, logs e segmentação. A organização deve confirmar que todos os ativos SmarterMail estão em versão corrigida, que não há callbacks externos recorrentes, que nenhuma conta criada indevidamente permanece ativa e que ferramentas como Velociraptor só existem onde foram implantadas pela equipe de defesa. Como a atividade exploratória se manteve contínua e previsível após o início das tentativas, sistemas que permaneceram sem correção durante a janela de exploração devem ser tratados como potencialmente comprometidos até que a análise prove o contrário.
- Atualizar todas as instâncias SmarterMail para a build 9526 ou versão posterior disponível.
- Localizar VMs esquecidas, servidores de teste e instalações fora do inventário formal.
- Revisar logs desde antes de 28 de janeiro de 2026 para identificar acesso anterior à correção.
- Rotacionar credenciais administrativas do SmarterMail e revisar contas privilegiadas no Active Directory.
- Bloquear comunicação desnecessária entre servidores de e-mail, controladores de domínio e redes de clientes hospedados.
- Remover artefatos não autorizados, validar Velociraptor apenas onde houver implantação defensiva aprovada e restaurar sistemas afetados a partir de fontes confiáveis.
0 Comentários