Biuletyn Threat Intelligence Nr 14: Atkualizacje dla aktywnie wykorzystywanych podatności

Podsumowanie

W lutym producenci oprogramowania opublikowali kolejne pakiety istotnych aktualizacji bezpieczeństwa, w tym poprawki dla aktywnie wykorzystywanych podatności typu zero-day. Szczególną uwagę zwracają luki w systemach Microsoft, Apple oraz Fortinet, które dotyczą mechanizmów uwierzytelniania, obsługi plików oraz komponentów platformowych. Choć część z nich nie prowadzi bezpośrednio do przejęcia uprawnień administracyjnych, to znacząco stanowić może element szerszych łańcuchów ataków.

Patch Tuesday w Windows

W lutowym Patch Tuesday Microsoft załatał pakiet 59 podatności, z których sześć ma status zero-day i jest aktywnie wykorzystywanych w atakach [1]. Wyróżniają się zwłaszcza błędy typu security feature bypass, które pozwalają pominąć wyświetlenie ostrzeżenia przed uruchomieniem oprogramowania pobranego z Internetu. Zatem same podatności nie stanowią bezpośredniego zagrożenia dla systemu, lecz ułatwiają prowadzenie ataków [2].

Opis najważniejszych podatności

CVE-2026-21510 — 8.8 CVSS — podatność pozwala ominąć mechanizmy ostrzegania Windows (m.in. SmartScreen i prompty powłoki) i doprowadzić do uruchomienia zawartości kontrolowanej przez atakującego bez standardowych komunikatów ostrzegawczych. Wymaga nakłonienia użytkownika do interakcji (np. kliknięcia linku lub uruchomienia spreparowanego skrótu).

CVE-2026-21513 — 8.8 CVSS — podatność w MSHTML Framework, która opiera się na otwarciu spreparowanego pliku HTML lub skrótu (np. .lnk) i wykorzystanie MSHTML do ominięcia kontroli bezpieczeństwa, co może ułatwiać dalsze wykonanie kodu.

CVE-2026-21514 — 5.5 CVSS — podatność pozwalająca obejść OLE/COM w Microsoft 365 po otwarciu złośliwego dokumentu, co skutkuje brakiem ostrzeżenia dla użytkownika.

CVE-2026-21519 — 7.8 CVSS — podatność w Desktop Window Manager umożliwiająca lokalną eskalacje uprawnień (type confusion). W praktyce jest to typowy element łańcuch atakówa: po uzyskaniu wejścia (np. przez phishing) umożliwia podniesienie uprawnień do SYSTEM.

CVE-2026-21533 — 7.8 CVSS — podatność w Remote Desktop Services, umożliwiająca lokalną eskalację uprawnień do SYSTEM. Może być wykorzystywana m.in. do manipulacji konfiguracją i finalnie podniesienia uprawnień (np. dodanie użytkownika do grupy Administratorzy) — istotne w środowiskach, gdzie RDS jest szeroko obecny.

CVE-2026-21525 — 6.2 CVSS — podatność w Remote Access Connection Manager, wynikająca z błędu typu NULL pointer dereference. Umożliwia lokalny DoS (wpływ na dostępność, bez bezpośredniego wpływu na poufność lub integralność informacji).

Zalecane działania

Zaleca się możliwie szybką instalację aktualizacji: dla kompilacji systemów Widnows — 26H1 (ARM): KB5077179, 25H2 i 24H2: KB5077181, 23H2: KB5075941. Przypominamy o braku wsparcia dla kompilacji z 2022 roku. Windows Server oraz Windows 10 w programie ESU powinny być aktualizowane zgodnie z zaleceniami producenta.

Możliwie bezzwłoczne aktualizacje są kluczowe dla zapewnienia bezpieczeństwa, czego dowodzi jeden z najświętszych przykładów. W styczniu 2026 Microsoft wydał pilną poprawkę dla popularnego pakietu Office (CVE-2026-21509). Załatana w ten sposób podatność zaczęła być aktywnie wykorzystywana w atakach w zaledwie 3 dni. Odpowiadała za to rosyjska grupa APT28 [3], której działalność przypisuje się jednostce 26165, wchodzącej w skład 85. Głównego Ośrodka Służb Specjalnych rosyjskiego GRU (wywiadu wojskowego) [4].

Apple wydaje poprawki dla wszystkich produktów

Apple wydało aktualizacje bezpieczeństwa dla wszystkich głównych systemów (iOS/iPadOS, macOS, tvOS, watchOS, visionOS). Zawierają one 71 poprawek dla wielu podatności, w tym jednej aktywnie wykorzystywanej w atakach [5]. Apple potwierdziło powiązanie tej podatności z dwiema innymi typu zero-day w WebKit (CVE-2025-14174 i CVE-2025-43529), które firma załatała w grudniu 2025. Były one wykorzystywane w tych samych atakach co błąd załatany w lutowych aktualizacjach. Apple nie odniosło się do tego, skąd wynikają dwa miesiące opóźnienia w przypadku usuwania najnowszej podatności [6].

Opis najważniejszych podatności

CVE-2026-20700 — brak oceny CVSS — aktywnie wykorzystywana podatność w komponencie dyld (dynamic link editor). Umożliwia naruszenie integralności pamięci i potencjalne wykonanie dowolnego kodu w kontekście procesu. Apple potwierdziło, że luka była wykorzystywana w zaawansowanych atakach wymierzonych w określonych użytkowników. Sam błąd dotyczy mechanizmu ładowania bibliotek dynamicznych, czyli elementu fundamentalnego dla wszystkich procesów systemowych. W praktyce oznacza to, że po skutecznym wykorzystaniu wcześniejszego wektora wejścia (np. przeglądarkowego), atakujący mógł przejść do etapu wykonania kodu w bardziej uprzywilejowanym kontekście.

Na uwagę zasługują również podatności w komponentach Siri oraz VoiceOver, które umożliwiają uzyskanie dostępu do wybranych informacji nawet na zablokowanym urządzeniu. Jest to problem powracający i trudny do całkowitego wyeliminowania ze względu na architekturę funkcji dostępności oraz Siri. W środowiskach o podwyższonych wymaganiach bezpieczeństwa rekomendowane jest wyłączenie Siri i funkcji VoiceOver na ekranie blokady [7]. Ponadto regularnie pojawiają się podatności umożliwiające aplikacjom dostęp do danych innych aplikacji. Całkowite wyeliminowanie tego ryzyka jest mało realne, dlatego zaleca się minimalizowanie liczby aplikacji na urządzeniach służbowych.

Zalecane działania

Zaleca się niezwłoczną aktualizację iOS, iPadOS macOS Tahoe, tvOS, watchOS oraz visionOS do wersji 26.3. Poprawki te dostępne są także dla starszych wersji systemu: iOS i iPadOS do wersji 18.7.5, macOS Sequoia do 15.7.4, macOS Sonoma do 14.8.4. W przypadku starszych wersji macOS wymagana jest także aktualizacja Safari do 26.3.

Adobe: 44 podatności w aplikacjach Creative Cloud

W lutowym cyklu aktualizacji Adobe opublikowało dziewięć biuletynów bezpieczeństwa obejmujących łącznie 44 podatności w popularnych produktach, m.in. After Effects, InDesign, Audition, Bridge, Lightroom Classic oraz pakiecie Substance 3D. Znaczna część błędów ma charakter krytyczny i umożliwia wykonanie dowolnego kodu (RCE) po otwarciu spreparowanego pliku [8].

Podatności obejmują typowe błędy zarządzania pamięcią (out-of-bounds write, heap overflow, use-after-free), które mogą prowadzić do wykonania kodu w kontekście użytkownika. W przypadku Adobe Bridge wskazano m.in. możliwość RCE po interakcji z odpowiednio przygotowanym plikiem [9]. Według producenta w momencie publikacji nie odnotowano aktywnego wykorzystania tych luk.

Z perspektywy biznesowej istotnym jest, że produkty Adobe często wykorzystywane są do obrabiania poufnych materiałów. Podatności oparte na manipulacji plikami stanowią realny wektor ataku phishingowego oraz potencjalny element łańcucha wykorzystywania podatności w środowiskach korporacyjnych. Z tego względu zaleca się niezwłoczną aktualizację wszystkich produktów do najnowszej dostępnej wersji.

Krytyczne podatności w produktach Fortinet

Fortinet opublikował istotne poprawki bezpieczeństwa, które łatają istotne podatności, w tym typu SQL Injection w serwerze zarządzania FortiClient EMS.

Opis najważniejszych podatności

CVE-2026-21643 — 9.1 CVSS — krytyczna podatność SQL Injection w FortiClient EMS, centralnej platformy do zarządzania agentami FortiClient i politykami bezpieczeństwa. Luka wynika z braku neutralizacji elementów w zapytaniach SQL (SQLi) w interfejsie administracyjnym. Pozwala to niezalogowanemu atakującemu zdalnie wykonać dowolny kod lub polecenia poprzez spreparowane żądania HTTP. Jak dotąd brak jest potwierdzonych raportów aktywnego wykorzystania luki w atakach. Jednakże jej charakter i brak konieczności uwierzytelnienia powodują skutkują wysokim ryzykiem [10].

CVE-2026-22153 — 8.1 CVSS — poważna podatność pozwalająca na obejście uwierzytelnienia (LDAP) w FortiOS. Możliwe jest jej wykorzystanie bez uwierzytelnienia oraz interakcji użytkownika, jeśli zdalny serwer LDAP jest skonfigurowany w specyficzny sposób. W praktyce ryzyko zależy od tego, czy organizacja używa Agentless VPN lub FSSO opartych o LDAP i jak skonfigurowano backend uwierzytelniania [11].

Zalecane działania

Zaleca się pilne wdrożenie aktualizacji FortiClientEMS do wersji 7.4.5 lub nowszej tam, gdzie działa wersja 7.4.4. Co więcej, dobrą praktyką będzie ograniczenie zasięgu interfejsu administracyjnego FortiClientEMS (np. poprzez segmentację sieci i firewall) oraz monitorowanie podejrzanych żądań http.

Podobnie, zalecana jest pilna aktualizacja FortiOS wszędzie tam, gdzie wykorzystywane są Agentless VPN lub polityki FSSO oparte o LDAP (szczególnie w gałęzi 7.6.x wskazanej jako podatna). Jeżeli nie jest to możliwe, należy zredukować ekspozycję scenariusza ataku przez zmianę konfiguracji LDAP. Fortinet wskazuje m.in. możliwość wyłączenia nieautoryzowanych (unauthenticated) bindów LDAP po stronie Windows AD (dla nowszych środowisk) dla ograniczenia ryzyka.

Wnioski

Z perspektywy zarządzania ryzykiem kluczowe są dwa wnioski operacyjne. Po pierwsze, czas do wykorzystania podatności stale się skraca, czego dowodzi przykład MS Office. Po drugie, pozornie nieznaczące podatności pozwalają uzyskać efekty o dużej skali, jeśli dotyczą urządzeń brzegowych brzegowych: uwierzytelniania (Fortinet: obejście LDAP w Agentless VPN/FSSO), obsługi plików (Windows/Office), albo komponentów platformowych (dyld/WebKit).

Wymaga to stałego budowania zarówno prewencji, jak również właściwej odporności. Same działania zapobiegawcze, choć bardzo ważne, nie będą wystarczające. W praktyce oznacza to, że zarządzanie poprawkami musi odbywać się nie tylko według skali CVSS, lecz ekspozycji i roli w łańcuchu ataku. Natychmiast należy łatać podatności aktywnie wykorzystywane, jak również te które dotyczą dostępu zdalnego i uwierzytelnienia (zwłaszcza SSO). Możliwie szybkiego działania wymagają podatności w popularnych aplikacjach i RCE typu „na plik” (z minimalną interakcją użytkownika).

Wynika to ze znacznie zwiększonego prawdopodobieństwa materializacji ryzyka. Poza oczywistą skalą użycia codziennych aplikacji, często padają one ofiarą złych nawyków i spowszednienia. W efekcie uśpiona czujność użytkowników dodatkowo zwiększa szansę na skuteczne wykorzystanie podatności. Pozostałe błędy łatane mogą być w interwałach planowych i dedykowanych oknach serwisowych, choć z zastrzeżeniem. Obserwować należy bowiem zarówno potencjalne wskaźniki naruszenia (IoC), jak również informacje threat intel o ewentualnym wykorzystaniu znanych już podatności. Systemy takie powinny być również zabezpieczone w adekwatny sposób, stosując segmentację sieci, izolację logiczną, bądź systemy detekcji.