CISA inclui seis vulnerabilidades exploradas em Fortinet, Microsoft e Adobe no catálogo KEV

Falhas em FortiClient EMS, Exchange Server, Windows, Adobe Acrobat Reader e VBA exigem correção por exploração ativa confirmada ou histórico de ataques direcionados.

Componente	`Fortinet FortiClient EMS`, `Adobe Acrobat Reader`, `Microsoft Windows Common Log File System Driver`, `Microsoft Exchange Server`, `Host Process for Windows Tasks` e `Microsoft Visual Basic for Applications (VBA)`.
Vetor	As falhas envolvem requisições HTTP especialmente criadas contra o `FortiClient EMS`, conteúdo capaz de acionar uso após liberação no Acrobat Reader, exploração autenticada no Exchange Server, abuso local em componentes do Windows e carregamento inseguro de biblioteca no VBA.
Impacto	Os impactos confirmados no catálogo incluem execução remota de código, execução de código ou comandos não autorizados, elevação de privilégio local e risco associado a exploração ativa observada.
Prioridade	Aplicar as correções exigidas para ambientes FCEB até 27 de abril de 2026, com prazo específico de 16 de abril de 2026 para a falha do `FortiClient EMS`.
Versões	O contexto não informa ramos, compilações ou versões específicas afetadas; a validação deve partir dos inventários oficiais dos produtos instalados e dos boletins de correção correspondentes.
Artefatos	A lista inclui `CVE-2026-21643`, `CVE-2020-9715`, `CVE-2023-36424`, `CVE-2023-21529`, `CVE-2025-60710` e `CVE-2012-1854`.

Resumo técnico

A CISA adicionou seis vulnerabilidades ao catálogo Known Exploited Vulnerabilities por haver evidência de exploração ativa. A inclusão coloca falhas de Fortinet, Microsoft e Adobe em uma fila de correção com prazo definido para órgãos civis federais dos Estados Unidos, mas o sinal operacional é mais amplo: ativos expostos, estáções de trabalho com leitores de documentos, servidores Exchange e hosts Windows com componentes vulneráveis devem ser tratados como superfície de risco imediata enquanto a correção não for aplicada. A lista combina falhas modernas e uma vulnerabilidade antiga, o que reforça que idade do CVE não elimina interesse ofensivo quando o componente continua presente em ambientes corporativos.

A falha mais urgente no recorte é CVE-2026-21643, uma injeção de SQL no Fortinet FortiClient EMS com pontuação CVSS 9.1. O vetor descrito permite que um atacante não autenticado envie requisições HTTP especialmente criadas para alcançar execução de código ou comandos não autorizados. A exploração dessa falha teria sido detectada desde 24 de março de 2026, e o prazo de correção indicado para esse item é 16 de abril de 2026. Em paralelo, CVE-2023-21529 no Microsoft Exchange Server aparece associada a ataques nos quais o ator rastreado como Storm-1175 usa a falha para entregar ransomware Medusa, condicionada à existência de um atacante autenticado.

Fluxo técnico

CVE-2026-21643 concentra o maior risco de exposição remota porque combina ausência de autenticação no vetor descrito, uso de HTTP como caminho de acionamento e impacto de execução não autorizada. Em um produto de gerenciamento como o FortiClient EMS, requisições anômalas contra interfaces administrativas ou serviços web devem ser avaliadas com prioridade, especialmente quando chegam antes de autenticação bem-sucedida ou exploram parâmetros de entrada que normalmente alcançam consultas de banco de dados. O ponto defensivo não é reproduzir a exploração, mas confirmar se o serviço está acessível, se recebeu tráfego incompatível com fluxos normais de administração e se há processos, erros de aplicação ou alterações de configuração logo após requisições suspeitas.

As falhas da Microsoft têm perfis distintos. CVE-2023-21529 é uma desserialização de dados não confiáveis no Microsoft Exchange Server que permite execução remota de código por atacante autenticado; isso desloca a análise para contas válidas, abuso de credenciais e atividade pós-autenticação no servidor de e-mail. CVE-2023-36424, no Microsoft Windows Common Log File System Driver, é uma leitura fora dos limites que pode resultar em elevação de privilégio. CVE-2025-60710, no Host Process for Windows Tasks, envolve resolução inadequada de link antes de acesso a arquivo e também exige um atacante autorizado para elevação local. Já CVE-2012-1854 afeta o Microsoft Visual Basic for Applications (VBA) por carregamento inseguro de biblioteca, com possibilidade de execução remota de código e registro histórico de ataques limitados e direcionados reconhecidos em julho de 2012.

No lado da Adobe, CVE-2020-9715 é uma falha de uso após liberação no Adobe Acrobat Reader com impacto de execução remota de código. O contexto não descreve exploração pública específica para esse item, mas a presença no catálogo KEV significa que a vulnerabilidade entrou na lista operacional de correção por evidência de uso em ataques. Para defesa, o ponto central é reduzir a exposição de usuários a conteúdo que acione o leitor vulnerável e correlacionar eventos de abertura de documentos, instabilidade do processo e criação inesperada de processos filhos, sempre evitando assumir um encadeamento não confirmado quando a telemetria local não sustenta essa conclusão.

Superfície afetada

A superfície afetada é heterogênea e deve ser inventariada por função do ativo. Servidores ou consoles do FortiClient EMS expostos a redes de usuários, segmentos administrativos ou internet precisam ser localizados com precisão, pois a falha descrita não depende de autenticação. Servidores Microsoft Exchange Server exigem análise separada: o vetor autenticado reduz uma parte da exposição remota direta, mas aumenta a importância de revisar contas válidas, autenticações incomuns e sinais de abuso de credenciais antes da execução do código. Estáções Windows e ambientes com macros ou automações em VBA permanecem relevantes quando ainda processam documentos ou componentes antigos capazes de acionar carregamento inseguro de biblioteca.

As vulnerabilidades locais no Windows não devem ser tratadas como risco menor apenas por exigirem algum nível de autorização. Elevação de privilégio é frequentemente usada depois de acesso inicial por outro vetor, e as falhas CVE-2023-36424 e CVE-2025-60710 podem alterar a severidade de uma intrusão já existente ao permitir que um usuário ou processo autorizado alcance privilégios mais altos. No caso do Acrobat Reader, o escopo real depende de onde o produto está instalado, quais usuários abrem arquivos externos e quais controles de isolamento e atualização estão ativos. O contexto não fornece versões específicas, portanto a identificação deve usar inventário de software, estado de patch e presença dos produtos citados, sem preencher lacunas com suposições.

Serviços FortiClient EMS acessíveis por HTTP e ainda sem a correção de CVE-2026-21643 aplicada.
Servidores Microsoft Exchange Server nos quais contas autenticadas possam alcançar o caminho vulnerável de desserialização associado a CVE-2023-21529.
Estáções Windows e servidores com componentes vulneráveis do Common Log File System Driver, Host Process for Windows Tasks, VBA ou Adobe Acrobat Reader.

Hunting e telemetria

A busca defensiva deve começar pelos ativos em que a exploração remota tem maior impacto operacional. Para FortiClient EMS, a prioridade é revisar registros HTTP e de aplicação em torno de 24 de março de 2026 em diante, procurando requisições incomuns, erros de banco de dados, falhas de validação de entrada, alterações administrativas inesperadas e execução de processos não compatíveis com a função do serviço. Como o vetor é uma injeção de SQL por requisição especialmente criada, a telemetria útil tende a aparecer em logs web, logs do produto, eventos do banco de dados associado e alertas de EDR no host que executa o EMS.

Para Exchange, o contexto informa uso de CVE-2023-21529 por Storm-1175 em ataques para entregar ransomware Medusa. A investigação deve focar autenticações válidas que antecedem comportamento de execução remota, alterações incomuns no servidor, criação de processos por serviços do Exchange, escrita de arquivos inesperados e eventos compatíveis com preparação de ransomware. A atribuição ao ator não deve ser usada como único critério de detecção; o essencial é observar a combinação entre conta autenticada, exploração do servidor de e-mail e atividade posterior anômala. Para as falhas locais do Windows, a caça deve priorizar elevação de privilégio após logon válido ou processo já comprometido, especialmente quando há mudança súbita de integridade, criação de serviços, tarefas ou processos com privilégios acima do esperado.

Nos casos do Acrobat Reader e do VBA, a telemetria deve ser orientada por execução de conteúdo e não por indicadores fixos, já que o contexto não fornece hashes, domínios ou arquivos específicos. Abertura de documentos seguida por falha do aplicativo, carregamento de biblioteca fora de diretórios esperados, processo filho anômalo ou atividade de rede logo após interação do usuário são sinais que merecem correlação. Para CVE-2012-1854, a natureza de carregamento inseguro de biblioteca torna relevante revisar caminhos de pesquisa de DLL, diretórios controláveis pelo usuário e eventos de carregamento de módulos em processos que usam VBA.

Requisições HTTP anômalas contra FortiClient EMS, principalmente antes de autenticação e próximas a erros de aplicação ou banco de dados.
Eventos em Microsoft Exchange Server com conta autenticada seguidos por criação de processo, escrita de arquivo ou comportamento compatível com preparação de ransomware.
Sinais locais de elevação de privilégio no Windows após atividade de usuário autorizado ou processo já presente no host.
Abertura de documentos no Adobe Acrobat Reader ou em fluxos VBA seguida por travamento, carregamento de biblioteca incomum ou processo filho inesperado.

Mitigação

A mitigação principal é aplicar as correções dos fornecedores dentro dos prazos definidos no catálogo KEV: 16 de abril de 2026 para CVE-2026-21643 no FortiClient EMS e 27 de abril de 2026 para os demais itens citados em ambientes FCEB. Mesmo fora desse escopo regulatório, esses prazos funcionam como referência de urgência porque a lista foi atualizada por evidência de exploração ativa. A ordem operacional deve priorizar serviços remotamente acessíveis e componentes com execução de código, depois avançar para falhas locais de elevação de privilégio que aumentam o impacto de um comprometimento inicial.

Antes e depois da correção, é necessário confirmar exposição real. Para FortiClient EMS, limitar acesso às interfaces administrativas, revisar logs desde 24 de março de 2026 e validar que não houve execução de comandos ou alteração indevida é tão importante quanto instalar o patch. Para Exchange, a correção deve ser acompanhada de revisão de contas autenticadas, sessões incomuns e sinais de ransomware Medusa, sem presumir comprometimento quando a telemetria não confirma atividade posterior. Para Windows, Acrobat Reader e VBA, o controle deve combinar atualização, redução de superfície de documentos não confiáveis, endurecimento de permissões locais e monitoramento de comportamento anômalo.

A resposta deve evitar ações genéricas e se apoiar em validação. Inventários precisam confirmar onde cada produto existe; exceções de patch devem ter justificativa técnica e compensações mensuráveis; e qualquer alerta relacionado a execução remota ou elevação de privilégio deve ser correlacionado com hora, usuário, processo, ativo e mudança observada. Como o contexto não traz indicadores de rede, hashes ou versões afetadas, publicar bloqueios baseados em IoCs inexistentes seria inadequado. O caminho defensivo correto é corrigir, reduzir exposição, revisar telemetria histórica coerente com cada vetor e manter acompanhamento de evidências locais antes de classificar um ambiente como afetado ou limpo.

Atualizar imediatamente FortiClient EMS contra CVE-2026-21643 e revisar registros desde 24 de março de 2026.
Aplicar correções para CVE-2020-9715, CVE-2023-36424, CVE-2023-21529, CVE-2025-60710 e CVE-2012-1854 até 27 de abril de 2026 quando o ambiente seguir o prazo KEV informado.
Restringir acesso administrativo a serviços expostos, especialmente consoles de gerenciamento e servidores Exchange.
Correlacionar alertas de execução de código, elevação de privilégio e atividade de ransomware com usuários, processos e ativos corrigidos.
Documentar sistemas sem versão informada no inventário e validar cobertura de patch pelos boletins oficiais dos produtos instalados.

CISA inclui seis vulnerabilidades exploradas em Fortinet, Microsoft e Adobe no catálogo KEV

Postar um comentário

0 Comentários

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Comunidade

Assuntos

Menu Footer Widget

Contato

CISA inclui seis vulnerabilidades exploradas em Fortinet, Microsoft e Adobe no catálogo KEV

Talvez você goste destas postagens

Postar um comentário

0 Comentários

Siga o Cyber Guardian News

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Briefing global de ameaças

Comunidade

Assuntos

Menu Footer Widget

Contato