Microsoft załatał lukę w Entra ID, która pozwalała na przejęcie Service Principal przez administratorów agentów AI. Nowa poprawka blokuje nieautoryzowane przejęcia.
Wykryta przez Silverfort luka w roli administratora dla agentów AI w Microsoft Entra ID pozwalała na eskalację uprawnień i przejęcie tożsamości. Użytkownik z rolą Agent ID Administrator mógł przejąć dowolne Service Principals, dodając własne dane uwierzytelniające, co otwierało drogę do ataków z wykorzystaniem ich uprawnień. Microsoft po zgłoszeniu wprowadził poprawkę, która blokuje takie działania.
Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)
Microsoft potwierdza aktywne wykorzystanie luki CVE-2026-32202 w Windows Shell, umożliwiającej kradzież poświadczeń. Szczegóły zagrożenia i powiązania z APT28.
Microsoft potwierdził, że luka bezpieczeństwa CVE-2026-32202 w Windows Shell, umożliwiająca atakującemu pozyskanie poufnych informacji poprzez spoofing, była aktywnie wykorzystywana w praktyce przed jej załataniem. Podatność ta jest powiązana z niewystarczającą łatką dla CVE-2026-21510 i pozwala na kradzież poświadczeń poprzez mechanizm uwierzytelniania NTLM, nawet po zastosowaniu częściowych poprawek.
Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)
Checkmarx potwierdza wyciek danych z repozytorium GitHub do dark web po cyberataku z marca 2026. Dane nie pochodzą od klientów.
Firma Checkmarx ujawniła, że dane związane z incydentem bezpieczeństwa w łańcuchu dostaw zostały opublikowane w dark web przez grupę cyberprzestępczą, prawdopodobnie pochodzące z repozytorium GitHub, do którego dostęp uzyskano w wyniku ataku z 23 marca 2026 roku. Choć dane te nie pochodzą ze środowiska produkcyjnego klientów, firma podjęła kroki w celu zabezpieczenia repozytorium i prowadzi dochodzenie w celu określenia zakresu naruszenia, zapowiadając powiadomienie klientów w przypadku stwierdzenia zaangażowania ich informacji.
Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)
Tygodniowe podsumowanie o cyberbezpieczeństwie: malware Fast16, XChat, FIRESTARTER, śledzenie pracowników AI, Ataki na łańcuchy dostaw i CVEs.
Tydzień przyniósł odświeżone zagrożenia i nowe metody ataków, w tym malware Fast16 z lat sprzed Stuxneta, które manipuluje wynikami obliczeń, oraz kampanię UNC6692 podszywającą się pod pomoc techniczną Teams. Władze USA wykryły nowy backdoor FIRESTARTER w systemie federalnym, a na Wenezueli zastosowano niszczycielskie malware Lotus Wiper. Zaobserwowano również szybki rozwój grup ransomware, takich jak The Gentlemen, oraz ataki na łańcuchy dostaw, czego przykładem jest skompromitowanie pakietu Bitwarden CLI.
Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)
AI Mythos przyspiesza wykrywanie luk, ale organizacje nie są gotowe na ich naprawę. Analiza luki między odkryciem a wdrożeniem poprawek.
Sztuczna inteligencja Mythos firmy Anthropic, choć rewolucyjna w wykrywaniu luk bezpieczeństwa, ujawnia poważną lukę między szybkim odkrywaniem problemów a powolnym procesem ich naprawy. Większość organizacji nie posiada infrastruktury niezbędnej do efektywnego zarządzania, priorytetyzacji i weryfikacji usuwania ogromnej liczby odkrytych podatności, co może prowadzić do narastania nierozwiązanych problemów bezpieczeństwa. Kluczowe jest wdrożenie zcentralizowanego zarządzania wykrytymi problemami, ich priorytetyzacji w kontekście ryzyka biznesowego oraz zapewnienie zamkniętych pętli naprawczych, aby skutecznie radzić sobie z wyzwaniami ery AI w cyberbezpieczeństwie.
Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)
Grupa PhantomCore atakuje rosyjskie serwery TrueConf, wykorzystując luki w zabezpieczeniach do zdalnego wykonywania poleceń i kradzieży danych.
Pro-ukraińska grupa hakerska PhantomCore wykorzystuje łańcuch trzech luk w oprogramowaniu do wideokonferencji TrueConf do zdalnego wykonywania poleceń na podatnych serwerach w Rosji od września 2025 r. Ataki te, prowadzone przez grupę aktywną od 2022 r., mają na celu kradzież danych i zakłócenie działania sieci, a ich skuteczne wykorzystanie pozwala na obejście uwierzytelniania i uzyskanie dostępu do sieci organizacji.
Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐ (7/10)
Zidentyfikowano 73 fałszywe rozszerzenia VS Code dystrybuujące malware GlassWorm v2, kradnące dane i instalujące RAT. Kampania ewoluuje, wykorzystując techniki maskowania.
Badacze cyberbezpieczeństwa zidentyfikowali 73 fałszywe rozszerzenia Visual Studio Code w repozytorium Open VSX, które są częścią kampanii kradzieży informacji o nazwie GlassWorm. Te klony legalnych rozszerzeń, często maskowane jako niegroźne pakiety „śpiochy”, wykorzystują podobne ikony i opisy, aby oszukać deweloperów, a następnie, poprzez aktualizacje, instalują malware. Celem jest kradzież danych, instalacja zdalnego trojana dostępowego (RAT) i pozyskiwanie danych uwierzytelniających z różnych przeglądarek.
Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)
Oszustwo IRSF wykorzystujące fałszywe CAPTCHA i 120 kampanii Keitaro napędzają globalne oszustwa SMS i kryptowalutowe. Zobacz szczegóły.
Cyberprzestępcy wykorzystują fałszywe weryfikacje CAPTCHA do nakłaniania użytkowników do wysyłania drogich międzynarodowych wiadomości SMS, generując dochody z oszustw IRSF, a także nadużywają narzędzia Keitaro TDS do dystrybucji złośliwego oprogramowania i kampanii kryptowalutowych, co stwarza złożone zagrożenie dla użytkowników i operatorów telekomunikacyjnych.
Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)
Odkrycie 'fast16' - złośliwego oprogramowania sprzed Stuxneta, które manipulowało wynikami obliczeń w oprogramowaniu inżynierskim. Przełom w historii cyber sabotażu.
Badacze odkryli złośliwe oprogramowanie napisane w języku Lua, o nazwie ‘fast16’, które istniało lata przed słynnym robakiem Stuxnet. Działanie ‘fast16’ polegało na celowaniu w oprogramowanie do precyzyjnych obliczeń w celu manipulowania ich wynikami, co mogło prowadzić do sabotażu fizycznych systemów. To odkrycie przesuwa datę powstania zaawansowanych narzędzi do cyber sabotażu skierowanych przeciwko fizycznym celom na połowę lat dwutysięcznych.
Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐⭐ (9/10)
CISA dodaje 4 aktywnie wykorzystywane luki w SimpleHelp, Samsung MagicINFO 9 i routerach D-Link do wykazu KEV. Federalny termin na wdrożenie poprawek mija 8 maja 2026 r.
Amerykańska Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA) dodała cztery zidentyfikowane jako aktywnie wykorzystywane luki bezpieczeństwa, dotyczące oprogramowania SimpleHelp, serwera Samsung MagicINFO 9 oraz routerów D-Link serii DIR-823X, do swojego katalogu Znanych Wykorzystywanych Podatności (KEV). Agencje federalne mają czas do 8 maja 2026 roku na zastosowanie poprawek lub, w przypadku routerów D-Link, zaprzestanie ich używania.
Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐ (7/10)