Pesquisadores da empresa de segurança Flare identificaram uma movimentação intensa de hackers em canais clandestinos do Telegram e fóruns de cibercrime logo após a divulgação de duas vulnerabilidades críticas no SmarterMail, plataforma de e-mail corporativo. Em questão de dias, já circulavam provas de conceito (PoCs), ferramentas prontas para ataque e até credenciais de administrador roubadas.
As falhas, registradas como CVE-2026-24423 e CVE-2026-23760, permitem respectivamente execução remota de código sem autenticação (RCE) e bypass de autenticação com redefinição de credenciais administrativas. Ambas receberam pontuação 9.3 no CVSS, classificação considerada crítica. Combinadas, podem dar controle total do servidor ao invasor.
Da divulgação ao ataque em tempo recorde
O que mais preocupa é a velocidade. As vulnerabilidades foram publicadas no início de janeiro de 2026 e, no mesmo dia, já eram discutidas em grupos especializados. Poucos dias depois, surgiram PoCs funcionais. Em um canal árabe no Telegram, pesquisadores flagraram a demonstração prática do exploit. Em outro grupo, de língua espanhola, apareceu uma ferramenta ofensiva pronta para uso.
Em paralelo, um agente malicioso divulgou um dump com credenciais administrativas supostamente extraídas de servidores comprometidos, incluindo domínios e logins.
O intervalo entre a divulgação de uma falha e sua transformação em arma para ataques reais está cada vez menor. O que antes levava semanas agora acontece em dias.
A própria empresa foi invadida
O caso ganhou um elemento simbólico quando se confirmou que a própria SmarterTools foi vítima da vulnerabilidade em janeiro de 2026. Um servidor interno sem patch foi explorado e, por estar conectado às redes corporativas via Active Directory, permitiu movimento lateral.
Cerca de uma dúzia de servidores Windows foram afetados. Segundo a empresa, dados de clientes não foram comprometidos graças à segmentação de rede, que impediu que o ataque evoluísse para ransomware com maior impacto.
Milhares expostos, mais de mil vulneráveis
Levantamento da Flare no Shodan identificou aproximadamente 34 mil servidores rodando SmarterMail. Desses, 1.185 ainda estavam vulneráveis às falhas críticas, principalmente nos Estados Unidos.
Os sistemas afetados incluem desde provedores de hospedagem compartilhada até VPS e instalações auto-hospedadas por administradores independentes — o que indica que muitos ainda não aplicaram as correções disponibilizadas.
Exploração ativa confirmada pela CISA
No início de fevereiro de 2026, a CISA incluiu o CVE-2026-24423 em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), confirmando uso ativo da falha em campanhas de ransomware.
Investigações divulgadas pelo Bleeping Computer apontam que operadores usaram o acesso inicial via SmarterMail para realizar movimento lateral antes de acionar o payload de criptografia — estratégia clássica de afiliados de ransomware. Parte das campanhas foi associada ao grupo Warlock, com indícios de ligação a clusters alinhados a estados-nação.
Por que servidores de e-mail são alvo estratégico
Servidores de e-mail ocupam posição central na infraestrutura corporativa. Eles geram tokens de autenticação, participam de fluxos de redefinição de senha, armazenam redes de contatos internos e se integram a diretórios como o Active Directory.
Comprometer esse tipo de servidor muitas vezes significa comprometer a identidade digital de toda a organização. Ainda assim, esses sistemas nem sempre recebem o mesmo nível de monitoramento aplicado a endpoints protegidos por EDR.
Medidas recomendadas
Especialistas orientam tratar falhas críticas em servidores de e-mail com o mesmo grau de urgência dedicado a controladores de domínio. Entre as ações prioritárias estão:
– Aplicação imediata dos patches disponíveis;
– Monitoramento de redefinições de senha administrativas;
– Análise de chamadas de API para hosts externos e tráfego HTTP incomum originado do servidor de e-mail;
– Segmentação de rede, prática que limitou o impacto no caso da própria SmarterTools.
O cenário reforça uma tendência clara: vulnerabilidades críticas não ficam “em espera”. Elas entram em produção quase imediatamente no submundo digital — e quem demora para atualizar paga a conta.
