IA descobre falha crítica no Exim: RCE sem autenticação

O buraco de um byte

Um bug que dormiu por anos no Exim, o servidor de e-mail que roda em milhões de servidores, foi acordado por uma IA. A vulnerabilidade CVE-2026-45185 permite execução remota de código não autenticada. E o mais impressionante: o gatilho é um único caractere newline escrito em memória já liberada.

O fato

A XBOW, empresa de segurança, descobriu a falha usando um modelo de linguagem grande (LLM) para análise de código. O bug é um use-after-free no tratamento de conexões TLS do Exim. Durante o encerramento TLS, o buffer de transferência é liberado, mas um wrapper BDAT ainda pode processar bytes de entrada e acabar chamando ungetc(), que escreve um ``\n`` na região livre. Essa escrita corrompe metadados do alocador, abrindo caminho para RCE.

O que chama atenção é que a exploração não exige configuração especial no servidor. Qualquer Exim com GnuTLS habilitado (padrão no Ubuntu e Debian) está potencialmente vulnerável.

Como funciona: visão de operador

Na prática, a sequência é: o atacante inicia uma conexão SMTP, envia STARTTLS, e durante o handshake TLS força um cenário onde o buffer de transferência é liberado antes da conclusão. O wrapper BDAT, que aguarda dados, executa ungetc() devolvendo um newline. Esse byte cai em um chunk livre do heap, corrompendo o freelist do alocador. Com manipulação cuidadosa, o atacante pode obter escrita arbitrária e, por fim, execução de código.

O LLM usado pela XBOW analisou o código fonte e identificou o fluxo de execução que leva ao UAF. O tempo de descoberta? Horas, não semanas.

O que isso muda na prática

Quem ganha: atacantes com acesso a ferramentas de IA para descoberta de vulnerabilidades. Quem perde: administradores de servidores Exim que negligenciam atualizações. A ação prática imediata: aplicar o patch do Exim 4.98 ou superior. Além disso, repensar a política de atualização urgente e monitorar listas de segurança.

Para equipes de blue team, a lição é clara: a IA não só encontra bugs mais rápido, como também pode gerar exploits. Preparem-se para um volume maior de CVEs críticas.

Tensão: vale a pena?

O caso levanta uma dúvida incômoda: se uma IA achou esse bug em horas, quantos mais estão escondidos? O custo de usar modelos avançados ainda é alto, mas o ROI para um atacante com alvos específicos é enorme. E para os defensores? O mesmo LLM pode ser usado para gerar assinaturas de detecção? Ou a corrida armamentista só está começando?

Há um gargalo: a IA ainda depende de humanos para validar e transformar a descoberta em exploit funcional. No entanto, a distância entre achar o bug e ter um exploit está diminuindo.

Conclusão

CVE-2026-45185 não é apenas mais um RCE no Exim. É um marco: a primeira vez que uma IA descobre uma vulnerabilidade crítica e alimenta uma corrida entre humano e máquina para ver quem explora primeiro. Resta saber: seu servidor já está atualizado?