Skip to main content
Bruno Menozzi aka Zeroc00i
Back to homepage

Microsoft Passwordless Future and Passkeys Explanation

Microsoft e o futuro sem senhas: insights para pentesters e consultores

A Microsoft está adotando autenticação sem senha em novas contas, usando passkeys, notificações push e chaves físicas. O modelo já registra 98% de sucesso em logins (vs. 32% com senhas), com quase 1 milhão de passkeys criados diariamente.

Passkeys na prática: Funcionam como um “cadeado digital”: o serviço guarda uma chave pública, enquanto a privada fica no dispositivo, protegida por biometria, PIN ou hardware (ex: TPM). Eliminam phishing, pois a chave nunca é transmitida.

Read full post gdoc_arrow_right_alt
2 minutes to read

Mimikatz 3.0.0 Announcement

Benjamin Delpy, criador do Mimikatz, mostrou uma nova versão 3.0.0 da ferramenta na conferência Microsoft BlueHat IL, mas não vai lançá-la publicamente por enquanto. A atualização traz suporte a smart cards e TPM, tecnologias que fortalecem a segurança. Delpy quer dar espaço para a nova geração desenvolver novas ideias e soluções em cibersegurança.

Fonte: https://www.linkedin.com/posts/boris-rozenfeld_mimikatz3-cybersecurity-microsoftbluehat-activity-7317856661925171201-eZ1H Shocking news into the cybersecurity ecosystem🥝 | Boris Rozenfeld

Falando em mimikatz, vocês conhecem a história do autor e como a ferramenta foi lançada?

Read full post gdoc_arrow_right_alt
2 minutes to read

Cross-Site WebSocket Hijacking 2025

Publicado hoje, 17 de abril, o artigo discute a evolução das vulnerabilidades de Cross-Site WebSocket Hijacking (CSWSH) e como melhorias recentes na segurança dos navegadores têm dificultado sua exploração. Escrito por Laurence Tennant (Include Security), o texto aborda três principais mecanismos de mitigação e analisa seu impacto por meio de estudos de caso.

  • O que é CSWSH
  • Mitigações nos Navegadores
  • Estudos de Caso
  • Conclusões e Recomendações

https://blog.includesecurity.com/2025/04/cross-site-websocket-hijacking-exploitation-in-2025/ Cross-Site WebSocket Hijacking Exploitation in 2025 - Include Security Research Blog

One minute to read

CVE Program Funding Crisis and Resolution

O CVE.mitre.org pode deixar de existir. E ninguém está falando sobre isso.

O contrato da MITRE com o Departamento de Segurança Interna dos EUA (DHS) expira em 16 de abril de 2025. Sem financiamento, o CVE deixará de catalogar novas vulnerabilidades.

Posts com mais informações: https://infosec.exchange/@briankrebs/114343835430587973 https://www.theverge.com/news/649314/cve-mitre-funding-vulnerabilities-exposures-funding [Photo]

[Webpage: cybersecurity just got f***ed -
]

Read full post gdoc_arrow_right_alt
One minute to read

SSL/TLS Certificate Lifespan Reduction

O que a comunidade técnica está achando da redução para 47 dias nos certificados SSL/TLS? Fonte: https://www.bleepingcomputer.com/news/security/ssl-tls-certificate-lifespans-reduced-to-47-days-by-2029/ Opinião da comunidade no Reddit: https://www.reddit.com/r/sysadmin/comments/1jvqxre/ssl_certificate_lifetimes_are_really_going_down/ Link oficial da discussão da alteração no grupo da Google: https://groups.google.com/a/groups.cabforum.org/g/servercert-wg/c/bvWh5RN6tYI?pli=1 [Photo]

One minute to read

Firebase Studio AI Launch

A Google lançou sua IA que contrói sites com integração nativa com serviços Firebase (Firestore, Auth)!

O Firebase Studio.

At the Google Cloud Next Conference 2025 in Las Vegas, the company announced a new Firebase Studio, which aims to refine its mobile development platform, Firebase, into an end-to-end platform to accelerate the complete application lifecycle.

Firebase Studio is a cloud-based agentic development environment powered by Gemini

https://firebase.google.com/docs/studio https://firebase.blog/posts/2025/04/introducing-firebase-studio https://analyticsindiamag.com/ai-news-updates/devs-rejoice-googles-new-firebase-studio-helps-build-agentic-ai-apps/ [Photo]

One minute to read

Encryption Backdoors Debate

https://www.wired.com/story/a-new-era-of-attacks-on-encryption-is-starting-to-heat-up/

Tempo passa e esse assunto vai e vem, porquê realmente é difícil ter uma resposta certa para esse problema.

Governos (Reino Unido, Suécia, França, UE) pressionam por backdoors e escaneamento de mensagens, alegando combate a crimes. Empresas como Apple e Signal resistem, ameaçando sair de mercados ou removendo serviços. Enquanto isso, EUA recomendam criptografia após ataques chineses, expondo contradições entre segurança nacional e privacidade.

Reflexão: “Por que paramos no sinal vermelho mesmo sem carros? Porque regras sustentam o pacto social. Mas e se a regra for instalar uma fechadura com chave mestra nas casas de todos, para ‘segurança’? A maioria pode apoiar, mas o risco de abusos e falhas técnicas destrói a confiança no sistema. Backdoors na criptografia são como entregar a chave mestra a todos: governos, hackers, e regimes autoritários. Até onde a vontade coletiva justifica criar um ponto fraco que ninguém controla totalmente?” A New Era of Attacks on Encryption Is Starting to Heat Up

One minute to read
gdoc_arrow_left_alt SSRF Validation Bypass Cheat Sheet AT&T SIM Swap Protection gdoc_arrow_right_alt