# CVE-2024-57726 > [!high] Escalação de privilégios no SimpleHelp Remote Support - explorada pelo DragonForce > Permite que usuários não autorizados obtenham acesso administrativo ao servidor SimpleHelp. Explorada em conjunto com **CVE-2024-57727** e **CVE-2024-57728** como cadeia de ataque pelo grupo **DragonForce Ransomware**. ## Visão Geral A [[cve-2024-57726|CVE-2024-57726]] é uma falha de escalonamento de privilégios no SimpleHelp Remote Support, ferramenta de suporte remoto amplamente utilizada por equipes de TI e MSPs. A vulnerabilidade permite que um atacante autenticado como técnico eleve seus privilégios para administrador do sistema, comprometendo integralmente a plataforma. Esta CVE faz parte de uma tríade de vulnerabilidades (com [[cve-2024-57727|CVE-2024-57727]] e [[cve-2024-57728|CVE-2024-57728]]) descobertas pela Horizon3.ai em janeiro de 2025. A cadeia completa permite acesso sem credenciais, seguido de escalonamento e execução remota de código - um vetor ideal para ransomware como o [[dragonforce-ransomware|DragonForce]]. MSPs e prestadores de serviços de TI no Brasil e LATAM que utilizam SimpleHelp como ferramenta de suporte remoto estão expostos a ataques de supply chain onde um único ponto de entrada compromete múltiplos clientes finais. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | **CVSS** | 8.1 (High) | | **Produto** | SimpleHelp Remote Support | | **Versões afetadas** | < 5.5.8 | | **Patch** | 5.5.8 (13 jan 2025) | | **Tipo** | Escalação de privilégios | ## Attack Flow com CVE-2024-57727/57728 ``` CVE-2024-57727 (path traversal) → Extração de credenciais → CVE-2024-57726 (privilege escalation) → Admin access → CVE-2024-57728 (RCE) → Execução remota como SYSTEM ``` **TTPs observados:** [[t1078-valid-accounts|T1078]] · [[t1068-exploitation-for-privilege-escalation|T1068]] · [[t1021-remote-services|T1021]] · [[t1190-exploit-public-facing-application|T1190]] ## Detecção e Defesa **Mitigação imediata:** - Atualizar SimpleHelp para versão 5.5.8 ou superior - Auditar logs de criação de contas administrativas - Restringir acesso ao painel admin por IP/rede confiável **Mitigações MITRE:** [[m1051-update-software|M1051]] · [[m1026-privileged-account-management|M1026]] · [[m1030-network-segmentation|M1030]] > [!latam] Relevância LATAM > MSPs que operam no Brasil com SimpleHelp são alvos de alto valor para o **DragonForce**, que tem demonstrado interesse crescente em provedores de serviço como vetor de entrada para múltiplos clientes simultaneamente. Patches devem ser aplicados com urgência. ## Referências - [Horizon3.ai Research](https://www.horizon3.ai/attack-research/attack-blogs/CVE-2024-57727-simplehelp-path-traversal/) - [BleepingComputer - SimpleHelp flaws](https://www.bleepingcomputer.com/news/security/simplehelp-rmt-vulnerabilities-allow-file-theft-privilege-escalation-and-rce-attacks/)