# SmarterMail > email · Vendor: [[_synacor|Synacor (SmarterTools)]] ## Visão Geral **SmarterMail** e um servidor de email e colaboracao corporativo desenvolvido pela [[_synacor|SmarterTools (Synacor)]], amplamente utilizado por pequenas e medias empresas como alternativa ao [[exchange-server|Microsoft Exchange Server]]. Oferece webmail, calendario, contatos e funcionalidades de colaboracao. **Dados do produto:** - Categoria: Servidor de email corporativo - Vendor: [[_synacor|Synacor (SmarterTools)]] - Presenca no Brasil/LATAM: Sim - utilizado por PMEs e provedores de hospedagem - Versao segura: Build 9526 (janeiro 2026) Em janeiro-fevereiro de 2026, o SmarterMail tornou-se alvo de **exploração massiva** após a divulgacao de múltiplas vulnerabilidades criticas. O grupo de ransomware [[warlock-ransomware|Warlock (Storm-2603)]] explorou essas falhas para comprometer a propria SmarterTools e dezenas de organizacoes globalmente. ## Incidente SmarterTools (Janeiro 2026) > [!danger] Breach da Propria SmarterTools > Em 29 de janeiro de 2026, o grupo [[warlock-ransomware|Warlock]] comprometeu a rede da SmarterTools explorando uma instancia nao atualizada do SmarterMail em uma VM esquecida. O ataque resultou na criptografia de ~12 servidores Windows e exfiltração de mais de 1,2 milhao de documentos. ### Timeline do Incidente | Data | Evento | |------|--------| | 15 ján 2026 | SmarterTools lanca Build 9511 com patches para CVEs criticos | | 17 ján 2026 | Primeira exploração in-the-wild observada | | 22 ján 2026 | Huntress confirma exploração massiva; Shadowserver identifica 6.000+ servidores vulneraveis | | 26 ján 2026 | CISA adiciona [[cve-2026-23760\|CVE-2026-23760]] ao catalogo KEV | | 29 ján 2026 | [[warlock-ransomware\|Warlock]] compromete a rede da SmarterTools via VM nao atualizada | | 05 fev 2026 | CISA adiciona [[cve-2026-24423\|CVE-2026-24423]] ao KEV, marcando "Exploited in ransomware attacks" | | 09 fev 2026 | SmarterTools divulga públicamente o breach | ## Vulnerabilidades Conhecidas | CVE | CVSS | Tipo | Exploração | |-----|------|------|------------| | [[cve-2025-52691\|CVE-2025-52691]] | 10.0 | Upload arbitrario de arquivo (RCE) | Ativa | | [[cve-2026-23760\|CVE-2026-23760]] | 9.8 | Authentication bypass - reset de senha do admin via API | Ativa (ransomware) | | [[cve-2026-24423\|CVE-2026-24423]] | 9.3 | RCE via ConnectToHub API sem autenticação | Ativa (ransomware) | ### CVE-2026-23760 - Authentication Bypass Endpoint `/api/v1/settings/force-reset-password` acessivel sem autenticação, permitindo que um atacante remoto redefina a senha do administrador do sistema e obtenha controle total sobre o servidor de email. - **CWE:** CWE-287 (Improper Authentication) - **EPSS:** 55.52% (alta probabilidade de exploração) - **Versoes afetadas:** Builds anteriores ao 9511 ### CVE-2026-24423 - Remote Code Execution Endpoint `/api/v1/settings/sysadmin/connect-to-hub` nao requer autenticação e processa enderecos remotos no parametro `hubAddress`. O servidor atacante responde com um objeto JSON incluindo `CommandMount`, permitindo execução arbitraria de comandos em todas as plataformas. - **CWE:** CWE-306 (Missing Authentication for Critical Function) - **Versoes afetadas:** Builds anteriores ao 9511 ## Attack Flow do Warlock ```mermaid graph TB A["Scan: instancias SmarterMail<br/>com force-reset-password"] --> B["Exploit CVE-2026-23760:<br/>reset senha admin"] B --> C["Login no webmail<br/>como administrador"] C --> D["Abuso do Volume Mount:<br/>execução de comandos"] D --> E["Download de MSI malicioso<br/>via msiexec (Supabase)"] E --> F["Deploy: Velociraptor +<br/>SimpleHelp (persistência)"] F --> G["Tomada do Active Directory:<br/>criação de usuarios"] G --> H["Exfiltração: 1.2M documentos"] H --> I["Ransomware Warlock:<br/>criptografia de servidores"] style A fill:#ffc107,color:#000 style B fill:#dc3545,color:#fff style I fill:#dc3545,color:#fff ``` ## Técnicas MITRE ATT&CK | Técnica | ID | Uso no Ataque | |---------|----|---------------| | Exploit Public-Facing Application | [[t1190-exploit-public-facing-application\|T1190]] | Exploração da API de reset de senha | | Exploitation for Credential Access | [[t1212-exploitation-for-credential-access\|T1212]] | Obtencao de credenciais admin | | Remote Services: RDP | [[t1021-remote-services\|T1021]].001 | Movimento lateral após acesso admin | | Ingress Tool Transfer | [[t1105-ingress-tool-transfer\|T1105]] | Download de Velociraptor e SimpleHelp | | Data Encrypted for Impact | [[T1486]] | Ransomware Warlock | ## Mitigacoes Recomendadas - **Atualizar imediatamente** para Build 9526 ou posterior - **Isolar servidores de email** em DMZ - comprometimento do mail server nao deve fornecer caminho direto ao domain controller - Auditar todas as instancias de SmarterMail na rede, incluindo VMs esquecidas - Monitorar logs para requisicoes POST suspeitas ao endpoint `/api/v1/settings/force-reset-password` - Verificar presenca de `SimpleHelp.exe`, `Velociraptor.exe` ou `Remote.exe` em diretorios temporarios > [!latam] Relevância para Brasil e LATAM > O SmarterMail é utilizado por universidades, prefeituras, autarquias e PMEs no Brasil como alternativa de menor custo ao Exchange. O incidente da SmarterTools em janeiro de 2026 - exploração de instância desatualizada por ransomware - é um cenário recorrente no ambiente público e educacional brasileiro, onde ciclos de atualização são longos. ## Notas Relacionadas **Vendor:** [[_synacor|Synacor (SmarterTools)]] **Atores:** [[warlock-ransomware|Warlock (Storm-2603)]] **CVEs:** [[cve-2026-23760|CVE-2026-23760]] · [[cve-2026-24423|CVE-2026-24423]] · [[cve-2025-52691|CVE-2025-52691]] **Alternativa a:** [[exchange-server|Microsoft Exchange Server]] **Técnicas:** [[t1190-exploit-public-facing-application|T1190]] · [[t1212-exploitation-for-credential-access|T1212]] · [[T1486]] · [[t1105-ingress-tool-transfer|T1105]]