A edição #252 do AWS Security Digest, datada de 16 de março de 2026, traz um marco histórico: o fim do bucketsquatting após 20 anos do S3, novos vetores de phishing sofisticados e a expansão do Security Hub para ambientes multicloud. A newsletter também destaca desafios emergentes de IAM para agentes de IA e uma série de vulnerabilidades críticas em componentes do Amazon Linux.
Fim de uma Era: Bucketsquatting é Eliminado com Namespaces Regionais
A AWS introduziu uma nova sintaxe de namespace para buckets S3 que incorpora o ID da conta e a região no nome (ex: myapp-123456789012-us-west-2-an). Esta mudança, um presente pelo 20º aniversário do S3, elimina definitivamente a prática de bucketsquatting, onde atores maliciosos registravam nomes de buckets populares na esperança de que fossem usados e posteriormente deletados, permitindo o sequestro. Apesar da recomendação da AWS para usar o novo namespace em todos os novos buckets, a comunidade questiona por que não torná-lo obrigatório por padrão, uma lição que parece não ter sido totalmente aprendida com anos de exposições de buckets.
Campanha de Phishing em Tempo Real Mira Credenciais do Console AWS
Uma campanha ativa de Adversary-in-the-Middle (AiTM) foi identificada, visando credenciais do Console AWS através de domínios typosquatados como cloud-recovery[.]net. O kit de phishing faz proxy das solicitações de autenticação em tempo real para o endpoint legítimo de login da AWS, validando credenciais instantaneamente e provavelmente capturando códigos OTP (senha de uso único). O acesso pós-comprometimento ao console foi observado em menos de 20 minutos, originado de infraestrutura da VPN Mullvad. Este caso serve como um alerta crítico: as credenciais da AWS são tão fortes quanto os humanos que as digitam, reforçando a necessidade urgente de FIDO2/Passkeys e treinamento contínuo.
Expansão Multicloud e Novas Ferramentas de Visualização
A AWS anunciou a expansão do Security Hub para operações de segurança unificadas em ambientes multicloud. Paralelamente, uma nova ferramenta open-source, aws-visualizer, foi lançada para mapear relacionamentos de recursos AWS e identificar caminhos de ataque. A ferramenta ingere recursos de várias regiões (EC2, VPCs, IAM, Lambda, etc.) e os renderiza como um gráfico interativo usando Cytoscape.js, integrando-se ao pathfinding.cloud para análise de escalação de privilégios IAM.
O Desafio do IAM na Era dos Agentes de IA
Um artigo destacado discute a inadequação de um modelo único de IAM para governar todos os agentes de IA. Os agentes são categorizados em “ilhas de identidade”: agentes pessoais, de codificação, de SaaS e corporativos, cada um com necessidades de controle de acesso fundamentalmente diferentes. O problema central é a granularidade: escopos OAuth atuais são excessivamente amplos para agentes (concedendo “acesso à caixa de entrada inteira” em vez de “ler os últimos 5 e-mails sobre o Projeto X”). Estima-se que levará de 2 a 3 anos para que o controle de acesso para agentes seja genuinamente resolvido.
“Patch management must address legacy systems. It starts with visibility: maintaining accurate asset inventories and understanding what’s actually running in your environment.”
Vulnerabilidades Críticas no Amazon Linux: GStreamer, curl e Firefox no Alvo
A seção de sobremesa técnica lista uma série alarmante de CVEs recentes afetando o Amazon Linux, exigindo atenção imediata das equipes de segurança e operações:
- GStreamer: Múltiplas vulnerabilidades de corrupção de memória (OOB Write/Read, Stack/Heap Overflow) nos demuxers de ASF, RealMedia, H.266 e decodificadores RTP QDM2/DVB, com CVSS variando de 7.1 a 8.8.
- curl (CVE-2026-3784, CVE-2026-1965): Reutilização de credenciais em proxies CONNECT e autenticação Negotiate.
- Firefox (CVE-2026-3845, CVE-2026-3847): Heap buffer overflow na reprodução de A/V e corrupção de memória presumivelmente explorável, ambas com CVSS 8.8.
- Linux Kernel (CVE-2026-23239, CVE-2026-23240): Condições de corrida em
espintcp_close()e no cancelamento de trabalho TLS. - glibc (CVE-2026-3904): Crash no cliente nscd via condição de corrida em
memcmp. - ImageMagick: Conjunto extenso de falhas incluindo overflows de heap/stack, uso-após-liberação e bypass de política TOCTOU via symlink.
Atualizações de Segurança e Mudanças de Postura
A documentação da AWS reflete uma mudança significativa na postura de autenticação: a depreciação do MFA via SMS e a forte recomendação para adoção de Passkeys (FIDO2) ou security keys, consideradas superiores aos tokens TOTP de hardware. Além disso, o serviço KMS está depreciando o mTLS, exigindo a migração para assinatura V4 (SigV4) até 15 de junho de 2026. Outras mudanças notáveis incluem novas chaves de condição IAM para o CodeBuild (codebuild:BuildArn, codebuild:ProjectArn) para escopo preciso de políticas em pipelines CI/CD, e a introdução de 48 novas regras gerenciadas no AWS Config.
Análise baseada no AWS Security Digest #252 (16/03/2026). Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
Deixe um comentário