Biuletyn Threat Intelligence Nr 13: Styczniowe aktualizacje i rosnący problem dodatków do przeglądarek

Podsumowanie

Po umiarkowanie spokojnym grudniu, początek 2026 roku przyniósł aż osiem krytycznych podatności w produktach Microsoft. Z kolei Fortinet poinformował o kolejnych błędach pozwalających na wykonanie nieautoryzowanych poleceń. Zaobserwować można także wzrastający trend wykorzystania dodatków do przeglądarek internetowych w celu dystrybucji złośliwego oprogramowania. Co ważne, wtyczki te początkowo funkcjonują poprawnie i nie zawierają zainfekowanych komponentów. Dopiero po zdobyciu zaufania i zbudowaniu bazy użytkowników, wykorzystywane są w atakach. Ze względu na użyteczność dodatków, ich całkowita blokada często nie jest możliwa. Dlatego zalecane są zmiany systemowe, umożliwiające minimalizowanie ryzyka oraz skuteczniejszą prewencję.

Patch Tuesday w Windows

Microsoft opublikował pierwsze w 2026 roku aktualizacje bezpieczeństwa w ramach Patch Tuesday. Po zaledwie 57 podatnościach w grudniu, tym razem załatano ich 114: w Windows, Office, SharePoint, SQL Server i innych produktach. 8 z nich ma status krytyczny, włączając w to 3 podatności typu zero-day, w tym jedną aktywnie wykorzystywaną w atakach. Umożliwiają zdalne wykonanie kodu (RCE) oraz eskalację uprawnień (EoP). W związku z tym zalecane jest możliwie niezwłoczne działanie [1].

Opis najważniejszych podatności

CVE-2026-20805 — 7.5 CVSS — aktywnie wykorzystywana podatność w Desktop Window Manager (DWM). Umożliwiająca ona ujawnienie informacji w pamięci związanych z portem ALPC, które mogą pomóc atakującemu w ominięciu mechanizmów zabezpieczeń (np. ASLR) i ułatwić dalszą eskalację ataku.

CVE-2026-20854 — 7.5 CVSS — podatność w LSASS (Windows Local Security Authority Subsystem Service). Pozwala na zdalne wykonanie kodu (RCE) w jednym z kluczowych komponentów uwierzytelniających Windows. Atakujący, który zdoła nawiązać połączenie, może potencjalnie uruchomić kod na docelowym systemie

CVE-2026-21265 — 6.4 CVSS — luka weryfikacji certyfikatów Secure Boot. Może spowodować, że system nie rozpozna wygasłych certyfikatów, osłabiając mechanizm ochrony przed rootkitami/bootkitami. Podatność ta wykazuje duży potencjał do bycia wykorzystaną w atakach, choć jeszcze nie odnotowano takich przypadków. Jednakże z tego względu problem wymaga uwagi przy planowaniu instalowania poprawek i aktualizacji firmware oraz BIOS.

Innymi lukami, których wykorzystanie należy uznać za prawdopodobne, są CVE-2026-20871 (DWM EoP), CVE-2026-20840, CVE-2026-20922 (RCE w systemie plików NTFS). Wartym odnotowania pozostają także podatności w pakiecie Microsoft Office, pozwalające na zdalne wykonanie kodu bez otwierania zainfekowanego pliku. Do skutecznego przeprowadzenia ataku wystarczy tylko jego wyświetlenie w oknie podglądu [2, 3].

Zalecane działania

Zaleca się możliwie niezwłoczną instalację aktualizacji dla systemu Windows: KB5073455 dla wersji Windows 11 23H2, KB5074109 dla Windows 11 25H2 i 24H2 oraz KB5073724 dla Windows 10 objętych programem ESU (Extended Security Update). Wartym jest także zweryfikowanie aktualności innych produktów, takich jak Edge czy Office. Choć ich poprawki powinny być pobierane i instalowane automatycznie, to niektóre działania użytkowników mogą blokować skuteczną aktualizację.

Fortinet łata poważną podatność RCE

Fortinet poinformował o wykryciu podatności CVE-2025-25249 (8.1 CVSS), która dotyczy produktów FortiOS (6.4.x–7.6.x), FortiSASE (25.1–25.2) oraz FortiSwitchManager (7.0.x–7.2.x). Problem wynika z błędu typu heap-based buffer overflow, który można wywołać przez specjalnie spreparowane pakiety sieciowe przesyłane bezpośrednio do usługi przetwarzającej dane. W efekcie luka umożliwia zdalne wykonanie kodu lub komend z uprawnieniami na poziomie procesu. Skutkuje to poważnym ryzykiem przejęcia kontroli nad urządzeniem sieciowym przez atakującego bez uprzedniej autoryzacji. W praktyce narażone są zwłaszcza środowiska produkcyjne (szczególnie na brzegach sieci/urządzeniach internet-facing) [4].

Z kolei w FortiSIEM (7.4.x, 7.3.x, 7.1.x, 7.0.x, 6.7.x) ujawniono krytyczną podatność CVE‑2025‑64155 (9.8 CVSS). Wynika ona z błędnej neutralizacji elementów w komendach systemowych obsługiwanych przez usługę phMonitor, eksponując wiele niezabezpieczonych handlerów dostępnych zdalnie. Luka umożliwia nieuwierzytelnionemu atakującemu przesłanie spreparowanych żądań TCP na port 7900. Prowadzi to do nieautoryzowanego zapisu plików i zdalnego wykonania kodu z uprawnieniami administratora. Finalnie umożliwia eskalację uprawnień aż do poziomu root. Podatność jest aktywnie wykorzystywana w atakach, m.in. przez wiele aktorów obserwowanych w honeypotach firmy Defused [13]. Znacząco zwiększa to ryzyko przejęcia kontroli nad systemami monitoringu bezpieczeństwa w środowiskach produkcyjnych [14].

Zdecydowanie rekomenduje się zastosowanie najnowszych poprawek dostarczonych przez Fortinet oraz weryfikację wersji oprogramowania na wszystkich dotkniętych urządzeniach. Jeżeli aktualizacja nie jest możliwa, to dla każdego interfejsu należy usunąć dostęp do fabric lub zablokować dostęp do demona CAPWAP-CONTROL przez blokadę portów od 5246 do 5249 za pomocą polityki dostępu lokalnego. Szczegóły konfiguracji wskazane zostały w zaleceniu producenta.

Podatności w przeglądarkach internetowych

Firefox (oraz Thunderbird)

Mozilla wydała aktualizacje dla przeglądarek Firefox i Firefox ESR oraz klienta poczty Thunderbird, usuwając 34 luki w zabezpieczeniach. Podejrzewa się, że dwie z nich (błędy pamięci: CVE-2026-0891 i CVE-2026-0892) mogą być wykorzystywane w atakach, choć aktualnie nie ma na to dowodów [5]. Zaleca się niezwłoczną aktualizację do wersji 147 lub nowszej [6].

Przeglądarki Chromium

W ostatnim czasie wykryto także krytyczną podatność ucieczki z sanboxa w Google Chrome — CVE-2026-0628, 8.8 CVSS. Atakujący, przekonując użytkownika do zainstalowania złośliwego rozszerzenia, może wykorzystać tę podatność do wstrzyknięcia skryptów lub kodu HTML w uprzywilejowanej stronie (np. chrome://settings). Niepełna walidacja tagu <webview> umożliwia wówczas ominięcie izolacji, uzyskanie dostępu do wrażliwych danych lub modyfikację ustawień przeglądarki. Luka nie wymaga uwierzytelnienia, a złożoność samego ataku jest niska [7].

Chrome należy zaktualizować do wersji 143.0.7499.192 lub nowszej. Producenci pozostałych przeglądarek opartych na tym silniku (m.in. Edge, Opera) opublikowali poprawki we własnych kanałach aktualizacji. Aktualnie brak jest informacji o występowaniu tej luki w WebKit (Safari).

Aktualizacje przeglądarek to nie wszystko: rosnący problem dodatków

Przeglądarki internetowe są wyjątkowym rodzajem oprogramowania, gdyż stanowią główny węzeł codziennej aktywności online. Codzienne narzędzia pracy, a w szczególności ich braki, wspierają różnego rodzaju dodatki. Działają one jednak z szerokimi uprawnieniami, często obejmując dostęp do wszystkich otwartych stron, ciasteczek i danych sesji. Sprawia to, że stają się atrakcyjnym celem dla cyberprzestępców. Rozszerzenia do przeglądarek mogą wykonywać skrypty na każdej stronie, monitorować, modyfikować lub wykradać dane użytkownika, a nawet przekierowywać ruch, co prowadzi do znaczącego ryzyka naruszenia poufności i integralności danych.

Skutkuje to szerszym trendem obserwowanym w 2025 roku: coraz więcej dodatków do przeglądarek internetowych okazywało się zawierać złośliwe oprogramowanie. Co istotne, zazwyczaj nie było tak od początku. Atakujący najpierw tworzyli rzeczywiście użyteczne rozszerzenia, by dopiero później, po zdobyciu zaufania, zaktualizować je o złośliwy kod. Skalę problemu potwierdza też analiza wskazująca, iż systemy weryfikacji i mechanizmy bezpieczeństwa przeglądarek nie nadążają za szybkim rozwojem ekosystemu rozszerzeń [8]. Daje to cyberprzestępcom przestrzeń do ukrywania złośliwej funkcjonalności.

Dlaczego dodatki są niebezpieczne

Z uwagi na swoją naturę, rozszerzenia działają wewnątrz przeglądarki z szerokimi uprawnieniami API, które często obejmują dostęp do danych sesji, ciasteczek, historii i treści wprowadzanych przez użytkownika. Dzięki temu złośliwy kod może przechwycić loginy i tokeny autoryzacyjne, śledzić każde odwiedzane URL, a nawet wykonywać skrypty w kontekście stron bankowych, poczty czy narzędzi pracy.

Problem ten wynika przede wszystkim z braków w mechanizmach weryfikacyjnych przeglądarek. Z reguły rozszerzenia sprawdzane są wyłącznie na etapie publikacji, jednakże późniejsze zmiany (w tym nawet funkcjonalne) nie wymagają dodatkowego uzyskania pozwolenia na publikację. Producenci przeglądarek nie implementują też prezentowania funkcji skrótu, które byłyby unikalnym „odciskiem palca” określonej wersji dodatku. Z tego względu nawet rozwiązania otwartoźródłowe (open source) nie są bezpieczne, gdyż użytkownik końcowy nie może zweryfikować, czy instalowana wersja ma ten sam kod, jaki udostępniono w repozytorium. Z punktu widzenia użytkownika nie ma możliwości zweryfikowania bezpieczeństwa dodatku. Każdy z nich może potencjalnie stać się źródłem złośliwego kodu — nawet te oficjalnie zatwierdzone i promowane [9].

Skala jest też ogromna i powinna uświadamiać, jak poważnym zagrożeniem są rozszerzenia do przeglądarek. Przykładem jest kampania ShadyPanda, w której zaufane rozszerzenia z oficjalnych sklepów zostały z czasem aktualizowane z kodem szpiegującym użytkowników. Ofiarą padły łącznie nawet ponad 4,3 mln osób [10]. W innej grupie około 18 dodatków zainstalowanych przez ponad 2,3 mln użytkowników, wykryto kod wykonujący złośliwe przekierowania, śledzenie ruchu oraz eksfiltrację danych [11]. Jednym z najnowszych przykładów są dodatki integrujące narzędzia AI, które wykradały wszystkie dane z rozmów z ChatGPT i Deepseek. Mimo bardzo krótkiego działania, ofiarą zdążyło paść prawie milion użytkowników [12].

Jak zwiększyć bezpieczeństwo

Dodatki do przeglądarek mogą znacząco zwiększać produktywność i użyteczność narzędzi online, lecz niosą ze sobą powyższe zagrożenia. Dlatego zarówno użytkownicy indywidualni, jak i organizacje, muszą traktować instalację i zarządzanie rozszerzeniami jako integralną część budowania cyberbezpieczeństwa, łącząc techniczne kontrole z edukacją i procesami nadzoru. Praktyczne zmniejszenie ryzyka wymaga zarówno ścisłej polityki technicznej, jak i świadomości użytkowników. Dlatego zalecamy:

• Ograniczenie liczby instalowanych rozszerzeń do absolutnego minimum — im mniej dodatków, tym mniejsza powierzchnia ataku, i mniejsze uprawnienia przyznane przeglądarce. Warto poszukać alternatywnych funkcji dotychczas realizowanych dodatkami. Np. zamiast rozszerzeń zapewniających dostęp do niestandardowych znaków i emoji, można skorzystać z rozwiązania systemowego (np. kombinacją Windows + kropka). Z kolei wymuszanie trybu ciemnego stron często można realizować z poziomu ustawień przeglądarki, a nawet synchronizować je z motywem systemu.
• Weryfikacja rozszerzeń — utworzenie listy dodatków, których instalacja jest dozwolona, na podstawie historii rozwoju danego rozszerzenia, reputacji dewelopera, czy własnych testów.
• Stały przegląd zainstalowanych dodatków i ich uprawnień — usuwanie nieużywanych lub podejrzanych dodatków, okresowa weryfikacja ich funkcjonalności i uprawnień.
• Użycie narzędzi bezpieczeństwa — rozwiązania EDR z funkcjami detekcji podejrzanych działań w przeglądarce oraz polityki blokowania lub ograniczania instalacji rozszerzeń centralnie w środowisku korporacyjnym.
• Zwiększanie świadomości użytkowników — edukowanie o tym, że nawet dodatki z oficjalnych sklepów mogą być przejęte lub mieć ukryty złośliwy kod. Warto uwzględnić to w okresowych szkoleniach, bądź poinformować w korespondencji emailowej.

Wnioski

Na początku 2026 roku presja na środowiska Microsoft pozostaje wysoka. Pojawiło się osiem podatności krytycznych, w tym zero-day, co pokazuje, że nawet krótkie opóźnienia w instalowaniu poprawek mogą prowadzić do kompromitacji systemów. Coraz częściej ataki wykorzystują także luki pomocnicze, takie jak ujawnienie informacji czy błędy w mechanizmach zabezpieczeń (np. Secure Boot), które ułatwiają dalszą eskalację. Ma to szczególne znaczenie wobec problemów w warstwie, która powinna chronić podatne systemy. Luki w urządzeniach brzegowych i infrastrukturze sieciowej mogą obniżać skuteczność zabezpieczeń prewencyjnych na poziomie dostępu do Internetu. Dlatego terminowa aktualizacja w każdym ze środowisk pozostaje kluczową.

Równolegle wyraźnie narasta trend wykorzystywania przeglądarek i ich ekosystemu dodatków jako wektora ataku. Przeglądarka przestała być jedynie klientem WWW — stała się środowiskiem pracy, centrum dostępu do systemów biznesowych, poczty, chmury i narzędzi AI. W tym kontekście złośliwe lub przejęte rozszerzenia oferują atakującym wyjątkowo szerokie możliwości: dostęp do danych sesji, tokenów uwierzytelniających i treści przetwarzanych przez użytkownika. Skala opisanych kampanii pokazuje, że nie są to incydenty jednostkowe, lecz zjawisko systemowe, którego mechanizmy kontroli producentów przeglądarek nie są w stanie skutecznie ograniczyć. Odpowiedzialność przenoszona jest więc na administratorów, wymagając kompleksowego podejścia: ustanowienia właściwych procesów i stałej weryfikacji.