Resumo de Notícias de TI: 17 de maio de 2026: OpenAI comprometida, Exchange Zero-Day e Exploits do Pwn2Own

Um resumo compacto de segurança para equipes de produto e engenharia: prisões pela aplicação da lei, várias divulgações no Pwn2Own, um zero-day do Exchange sendo explorado em estado ativo, uma divulgação de vulnerabilidade contestada no Azure e uma violação na cadeia de suprimentos que afetou a OpenAI.

Vitórias da aplicação da lei após deslize operacional

Um par de supostos cibercriminosos foi identificado e detido depois de, segundo relatos, não desativar a gravação do Microsoft Teams durante uma operação. A cobertura da semana também registra uma prisão ligada a um suposto chefe de mercado da dark net e que o incidente de ransomware contra o Instructure Canvas chegou a uma conclusão.

Pwn2Own Berlin Dia 1: Windows 11 e Edge alvos

No primeiro dia do Pwn2Own Berlin 2026, equipes participantes demonstraram 24 exploits zero-day distintos e ganharam prêmios em dinheiro totalizando $523,000. Entre os produtos mostrados como vulneráveis estavam Windows 11 e Microsoft Edge.

Pwn2Own Berlin Dia 2: Exchange, Windows e RHEL mostram mais lacunas

O segundo dia do concurso produziu outra rodada de demonstrações bem-sucedidas: pesquisadores exploraram 15 zero-days únicos e receberam $385,750 em prêmios em dinheiro. Os alvos incluíram Windows 11, Microsoft Exchange e Red Hat Enterprise Linux for Workstations.

Microsoft sinaliza um zero-day do Exchange Server sendo explorado

A Microsoft emitiu mitigações para uma falha de alta gravidade no Exchange Server que tem sido usada em ataques. A vulnerabilidade permite execução arbitrária de código por meio de um vetor de cross-site scripting que mira especificamente usuários do Outlook on the web.

Disputa sobre um relatório do Azure Backup for AKS e CVE ausente

Um pesquisador afirma que a Microsoft remediou silenciosamente um problema crítico que afetava o Azure Backup for AKS sem emitir um CVE após inicialmente rejeitar o relatório. A Microsoft contesta essa versão, afirmando que o comportamento observado era esperado e que nenhuma alteração de produto foi feita.

OpenAI confirma violação ligada ao incidente de cadeia de suprimentos da TanStack

A OpenAI reconheceu que dois dispositivos de funcionários foram comprometidos durante o recente ataque à cadeia de suprimentos da TanStack que atingiu centenas de pacotes npm e PyPI. Como precaução, a empresa rotacionou certificados de assinatura de código para suas aplicações.

Resumo rápido: Esta semana combinou demonstrações de exploits de alta visibilidade e incidentes ativos com ações de aplicação notáveis e disputas entre fornecedores. Equipes que entregam software devem acompanhar as mitigações divulgadas para o Exchange, seguir os avisos sobre cadeia de suprimentos e observar quaisquer desdobramentos dos fornecedores afetados.