A StrongDM corrigiu uma vulnerabilidade (CVE-2026-4387) em seu aplicativo desktop para Windows que armazenava tokens de autenticação e material criptográfico assimétrico em texto claro no arquivo state.kv, protegido apenas por permissões padrão do NTFS. A falha, reportada por Hope Walker da SpecterOps, permite que atacantes com acesso local à estação de trabalho roubem e reutilizem sessões de acesso à infraestrutura corporativa gerenciada pela plataforma.
Tokens expostos em texto claro
O aplicativo StrongDM Desktop antes da versão 23.74.0 (cliente desktop antes da 53.77.0) persiste todo o estado de autenticação — incluindo um JSON Web Token (JWT) e chaves assimétricas — em um arquivo localizado em C:\Users\<usuário>\.sdm\state.kv. O conteúdo permanece descriptografado, sem proteção adicional além das permissões NTFS padrão de usuário. Qualquer processo executando no contexto desse usuário, ou qualquer atacante que obtenha acesso ao diretório do perfil, pode ler e extrair as credenciais completas de autenticação.
A exposição de tokens de autenticação em arquivos locais é um padrão de falha recorrente que afeta diversas ferramentas de gerenciamento de infraestrutura.
Como funciona a exploração
A exploração exige acesso local ao diretório do perfil do usuário-alvo. Com o arquivo state.kv em mãos, o atacante extrai o JWT e as chaves associadas. Em seguida, pode reutilizar esses tokens em outro host para autenticar-se na plataforma StrongDM com os mesmos privilégios do usuário legítimo, acessando servidores, bancos de dados e serviços sob gerência da ferramenta. O NIST atribuiu nota CVSS 4.0 baixa (2.0) devido ao requisito de acesso local e condições adicionais de execução no alvo. A classe de vulnerabilidade corresponde a CWE-312 (armazenamento em texto claro de informações sensíveis) e CWE-522 (credenciais insuficientemente protegidas).
| Versão vulnerável | Versão corrigida | Classe CWE |
|---|---|---|
| Desktop App < 23.74.0 | 23.74.0+ | CWE-312, CWE-522 |
| Desktop Client < 53.77.0 | 53.77.0+ | CWE-312, CWE-522 |
Linha do tempo da divulgação
O processo de correção coordenada seguiu o padrão de responsible disclosure, com período de embargo de cerca de 11 meses entre o primeiro contato da SpecterOps e a publicação do CVE.
- 19/05/2025: SpecterOps submete relatório de divulgação coordenada à StrongDM
- 12/12/2025: StrongDM reproduz a falha na versão 23.51.0 e inicia desenvolvimento da correção
- 01/04/2026: Correção liberada nas versões 23.74.0 (Desktop App) e 53.77.0 (Desktop Client)
- 30/05/2026: Divulgação pública com publicação do CVE-2026-4387 no NVD e advisory do vendor
O que fazer agora
Atualize imediatamente o StrongDM Desktop para a versão 23.74.0 ou superior (Desktop Client 53.77.0+). Revise os logs de acesso da plataforma para detectar autenticações de origens incomuns nos últimos meses. Considere implementar monitoramento de integridade de arquivos no diretório .sdm para detecção precoce de leituras não autorizadas. A correção também reforça a recomendação de que autenticação multifator protege camadas críticas de acesso, mesmo quando o token local é comprometido.