Biuletyn Threat Intelligence Nr 16: Aktualizacje dla aktywnie wykorzystywanych podatności

mar 17, 2026 | Threat Intelligence

Ostrzeżenie Threat Intelligence

Ikona podsumowanie

Podsumowanie

W marcu producenci oprogramowania opublikowali kolejne pakiety istotnych aktualizacji bezpieczeństwa, reagując na aktywnie wykorzystywane podatności w Windows, Veeam, Fortinet i Chrome. Równolegle Apple rozwija sprzętowe mechanizmy ochrony pamięci, znacznie utrudniające wykorzystanie błędów typu memory corruption, a Android mierzy się z nową falą złożonych kampanii malware, które nadużywają uprawnień Accessibility.

Ikona malware

Patch Tuesday w Windows

W marcowym Patch Tuesday Microsoft udostępnił poprawki dla 84 podatności, z czego dwie mają status zero‑day i były publicznie ujawnione przed publikacją łatek. Wśród poprawek dominuje kategoria eskalacji uprawnień, która odpowiada za ponad 55% wszystkich CVE — jest to ważny sygnał, ponieważ błędy te są kluczowymi elementami łańcuchów ataku po uzyskaniu pierwszego dostępu do systemu (1).

W marcowym pakiecie załatano również błędy typu remote code execution oraz denial‑of‑service, choć w odróżnieniu od lutego, Microsoft nie raportuje aktywnie wykorzystywanych zero‑dayów w środowisku (zero exploitation-in-the-wild) (2).

Opis najważniejszych podatności

CVE 2026 21536 — 9.8 CVSS — krytyczna podatność w komponencie Microsoft Devices Pricing Program, odkryta przez autonomiczny agent AI (XBOW). Pozwalała na zdalne wykonanie kodu (RCE), lecz Microsoft informuje, że została w pełni załatana po stronie serwera i nie wymaga działań użytkownika.

CVE 2026 21262 — 8.8 CVSS — umożliwia atakującemu podniesienie uprawnień do poziomu sysadmin poprzez niewłaściwe kontrolowanie dostępu. Błąd jest szczególnie istotny w środowiskach z szeroką ekspozycją SQL Server na sieć. Wymagana jest wcześniejsza autoryzacja, co jednak nie eliminuje ryzyka nadużycia przy wykorzystaniu przejętych kont.

CVE 2026 26127 — 7.5 CVSS — publicznie znana podatność typu denial of service w .NET, która może prowadzić do destabilizacji usług. Microsoft określa ją jako Exploitation Unlikely, lecz nadal ma istotne znaczenie dla systemów zależnych od dostępności usług .NET, szczególnie tych wystawionych do Internetu.

CVE 2026 25187 — 7.8 CVSS —pozwala lokalnemu atakującemu uzyskać uprawnienia SYSTEM poprzez mechanizm błędnej obsługi linków w procesie Winlogon. Wymaga niskiego poziomu uprawnień i nie wymaga interakcji użytkownika, co czyni ją wyjątkowo atrakcyjną w środowiskach, gdzie atakujący uzyskał już minimalny dostęp.

CVE 2026 26113 oraz CVE 2026 26110 — dwie podatności RCE, które mogą zostać wywołane bez otwierania dokumentu — wystarczy podgląd w Preview Pane. To podręcznikowe przykłady podatności o wysokim wpływie operacyjnym, szczególnie w środowiskach o dużym wolumenie poczty e mail.

CVE 2026 26118 — 8.8 CVSS — umożliwia SSRF (Server-Side Request Forgery) i podwyższenie uprawnień przez autoryzowanego użytkownika w środowiskach Azure MCP. W wektorach chmurowych ataki SSRF często stanowią bramę do dalszego rozszerzenia dostępu.

Zalecane działania

Rekomenduje się możliwie szybką instalację aktualizacji, szczególnie w środowiskach:

  • z usługami SQL Server dostępnymi w sieci,
  • intensywnie korzystających z .NET,
  • posiadających rozbudowaną infrastrukturę Windows z dużą liczbą stacji roboczych (ryzyko wykorzystania podatności PrivEsc).

Warto zwrócić uwagę, że również Windows 10 w programie ESU otrzymał część łatek — pokrywa 48 z 84 podatności w ramach tego cyklu (3). Zalecamy jednak, aby planowania budżetu i wymiany niekompatybilnych urządzeń nie pozostawiać na koniec przedłużonego wsparcia. Po przekroczeniu tego terminu liczba potencjalnych luk będzie się akumulować. W ubiegłym roku w Windows załatano ponad 1200 podatności. Z tego względu działania powinny być podejmowane możliwie szybko.

Jak co miesiąc, kluczowe pozostaje szybkie wdrażanie aktualizacji. Duży udział błędów eskalacji uprawnień sugeruje, że mogą one stanowić element przyszłych łańcuchów ataków po uzyskaniu wstępnego dostępu — dokładnie tak, jak obserwowano w innych przypadkach (np. wcześniejsze incydenty z Platformą Office).

Ikona malware

Dwa expolit kity na urządzenia Apple

Apple wydało pilne poprawki bezpieczeństwa dla starszych modeli iPhone’ów i iPadów, które nie mogą już aktualizować się do najnowszych wersji iOS/iPadOS. Aktualizacje iOS 15.8.7 / 16.7.15 oraz iPadOS 15.8.7 / 16.7.15 zawierają backporty poprawek pierwotnie dostarczonych w wersjach iOS 16.6 – 17.3 z lat 2023 – 2024. Celem było zamknięcie luk bezpieczeństwa aktywnie wykorzystywanych przez Coruna Exploit Kit — zestaw łańcuchów exploitacyjnych wykorzystywanych w cyber‑szpiegostwie i kradzieżach kryptowalut, początkowo łączonych ze sponsorowanymi przez państwa grupami APT oraz operatorami komercyjnego spyware (4).

Szczególnie istotne jest to, że Coruna zawiera 23 exploity połączone w pięć kompletnych łańcuchów ataków. Pozwalają na uzyskanie zdalnego wykonania kodu oraz uprawnień jądra systemu, najczęściej poprzez podatności WebKit oraz błędy zarządzania pamięcią w jądrze. Ataki były obserwowane od 2025 r. i obejmowały zarówno kampanie wywiadowcze, jak i masowe kampanie cyberprzestępcze (m.in. podszywanie się pod fałszywe serwisy hazardowe i kryptowalutowe) (5).

W ostatnich dniach pojawiły się jednak doniesienia o kolejnej kampanii ataków — DarkSword. W tym scenariuszu podatny użytkownik iPhone’a trafia na złośliwą stronę, a pojedyncze kliknięcie uruchamia kompletny łańcuch exploitów, który prowadzi do pełnego przejęcia urządzenia, uzyskania uprawnień jądra oraz kradzieży wrażliwych danych. Cały proces przebiega błyskawicznie: atak potrafi zgromadzić informacje w ciągu kilku sekund lub minut, po czym usuwa swoje ślady z telefonu. Mimo że Apple wydał już poprawki — zalecane jest zainstalowanie iOS 18.7.6 lub iOS 26.3.1 — szacunki iVerify wskazują, że ponad 200 milionów użytkowników może nadal pozostawać narażonych. Warto również rozważyć włączenie Trybu Blokady (Lockdown Mode) jako dodatkowej warstwy zabezpieczeń (6).

Ikona malware

Veeam – krytyczne poprawki bezpieczeństwa

Veeam udostępnił pakiet aktualizacji usuwających siedem krytycznych podatności w platformie Backup & Replication, które mogą umożliwiać zdalne wykonanie kodu (RCE), eskalację uprawnień oraz manipulację plikami w repozytoriach backupów (7). Zgodnie z publicznym advisory Veeam, wszystkie luki mają charakter krytyczny lub wysoki. Spośród nich wyróżniają się:

CVE‑2026‑21666, CVE‑2026‑21667, CVE‑2026‑21669, CVE‑2026‑21708 — od 8.8 do 9.9 CVSS

  • umożliwiają zdalne wykonanie kodu na serwerze Veeam Backup Server,
  • mogą być wykorzystane przez uwierzytelnionych użytkowników domenowych lub — w przypadku CVE‑2026‑21708 — przez użytkownika z rolą Backup Viewer, co pozwala na wykonanie kodu jako użytkownik postgres;

CVE‑2026‑21668 — 8.8 CVSS — umożliwia uwierzytelnionemu użytkownikowi manipulowanie dowolnymi plikami w repozytorium backupowym, co może posłużyć do sabotażu kopii zapasowych lub przygotowania dalszych etapów ataku.

Zalecane działania

Rekomenduje się możliwie szybkie wdrożenie poprawionych wersji:

  • Veeam Backup & Replication 12 → aktualizacja do 12.3.2.4465,
  • Veeam Backup & Replication 13 → aktualizacja do 13.0.1.2067.

Warto pamiętać, że wcześniejsze podatności Veeam były wykorzystywane przez operatorów ransomware (m.in. FIN7, Cuba) (8), a kompromitacja środowiska backupowego niemal zawsze kończy się pełną utratą możliwości odtworzenia systemów.

Ikona malware

Aktywnie wykorzystywane podatności w Fortigate

W okresie od końca 2025 do początku 2026 roku wykryto falę ataków wymierzonych w zapory FortiGate NGFW, w których atakujący uzyskiwali uprawnienia administratora, wykradali krytyczne dane konfiguracyjne oraz wykonywali lateral movement w sieciach ofiar. Ataki zostały zidentyfikowane przez SentinelOne i dotyczyły zarówno podatności typu authentication bypass, jak i nadużyć związanych ze słabymi hasłami oraz błędną konfiguracją urządzeń.

Do wykorzystywanych podatności należą m.in.: CVE‑2025‑59718 (błąd walidacji podpisów kryptograficznych), CVE‑2025‑59719 (umożliwiająca ominięcie SSO) i CVE‑2026‑24858 (pozwalająca atakującym na logowanie się do cudzych urządzeń FortiGate przy pomocy ich własnego konta FortiCloud).

Fortinet wprowadził aktualizacje firmware dla wszystkich wspieranych linii produktów. W przypadku podatności CVE‑2026‑24858 przywrócenie funkcjonalności FortiCloud SSO wymaga uprzedniej instalacji poprawki — bez niej SSO pozostaje wyłączone. (9)

Ikona malware

Dwie podatności zero-day w Chromium

Google wydał pilną aktualizację Chrome, usuwając dwie groźne podatności zero‑day, które były aktywnie wykorzystywane w atakach. Pierwsza z nich, CVE‑2026‑3909, to błąd typu out‑of‑bounds write w bibliotece graficznej Skia, pozwalający na naruszenie pamięci po wejściu na odpowiednio spreparowaną stronę internetową. Druga, CVE‑2026‑3910, to błąd implementacji w silniku V8 (JavaScript/WebAssembly), umożliwiający zdalne wykonanie kodu w sandboxie za pomocą złośliwego HTML. Obie podatności zostały wykryte i zgłoszone przez Google, a firma potwierdziła, że istnieją działające exploity w środowisku rzeczywistym (10).

Łatki trafiły też do innych przeglądarek opartych na Chromium, takich jak Edge i Opera, a ich użytkownicy są zachęcani do szybkiej aktualizacji. Warto zrobić to niezwłocznie, ponieważ podatności wymagają jedynie odwiedzenia złośliwej strony, a ich złożoność ataku jest niska, co czyni je wyjątkowo niebezpiecznymi (11).

Ikona malware

Wnioski

Ostatnie tygodnie przyniosły intensywną serię krytycznych aktualizacji w ekosystemach Windows, Veeam, Fortinet i Chrome — firmy łatają aktywnie wykorzystywane podatności, a cyberprzestępcy reagują natychmiast po publikacji poprawek.

Oprócz łatek dla starszych iPhone’ów Apple kontynuuje hardening sprzętowy, wprowadzając zaawansowane techniki ochrony pamięci, takie jak znakowanie rejestrów i porównywanie tagów na poziomie CPU. Mechanizmy te mają utrudnić exploitację błędów typu memory corruption i zmniejszyć skuteczność nowoczesnych łańcuchów ataku, zwłaszcza RCE i LPE (12).

Jednocześnie Android mierzy się z nową falą ataków: sześć rodzin malware (m.in. PixRevolution, TaxiSpy, BeatBanker) kradnie dane i przejmuje transakcje, głównie dzięki nadużyciu uprawnień Accessibility oraz przechwytywaniu ekranu (13). W odpowiedzi Android 17 blokuje aplikacje, które nie są narzędziami dostępności, ograniczając nadużycia Accessibility Services w trybie Advanced Protection Mode (14).

Warto pamiętać, że smartfon to pełnoprawny komputer — nieco bezpieczniejszy architektonicznie, lecz jednocześnie jeden z najatrakcyjniejszych celów. Często to właśnie telefony, a nie laptopy, przechowują klucze do bankowości, komunikatorów, portfeli kryptowalut i MFA, dlatego nie można bagatelizować ich bezpieczeństwa. Zwlekanie z aktualizacjami (systemu i aplikacji) znacząco wpływa na zwiększenie ryzyka.

 

Choć aktualizacje i sprzętowy hardening pozostają rdzeniem działań prewencyjnych, to nie należy bagatelizować wagi błędów człowieka. Zachęcamy do zapoznania się z biuletynem na temat jednej z najczęściej wykorzystywanych technik w obecnych atakach: Jack/File/ClickFix.

 

Chcesz wzmocnić bezpieczeństwo swojej organizacji — od serwerów i urządzeń mobilnych, po procesy i ludzi?
Zapraszamy do współpracy w obszarach, które bezpośrednio adresują dzisiejsze zagrożenia:
złożone łańcuchy exploitów, ataki na smartfony, nadużycia uprawnień oraz błędy konfiguracji:

    • szkolenia i ćwiczenia — zwiększamy świadomość i przygotowanie zespołów,
    • audyty i hardening systemów — wzmacniamy środowiska, eliminując luki zanim zrobią to atakujący,
    • wsparcie operacyjne i incident response — pomagamy wykrywać, blokować i zawężać incydenty, również te dotyczące urządzeń mobilnych.

 

Biuletyn
Threat Intelligence
Nr 16, marzec 2026Niniejszy biuletyn jest przeglądem bieżących zagrożeń i technik stosowanych w cyberatakach, skierowanym do wszystkich użytkowników systemów IT. Zachęcamy do jego udostępniania, gdyż podnoszenie świadomości jest kluczowe dla zapewnienia bezpieczeństwa informacji.

 

Źródła:
  1. Ravie Lakshmanan. The Hacker News. [Online] Marzec 2026. https://thehackernews.com/2026/03/microsoft-patches-84-flaws-in-march.html.
  2. KrebsonSecurity. [Online] Marzec 2026. https://krebsonsecurity.com/2026/03/microsoft-patch-tuesday-march-2026-edition/.
  3. Markus Kasanmascheff. WinBuzzer. [Online] Marzec 2026. https://winbuzzer.com/2026/03/12/microsoft-march-2026-patch-tuesday-84-fixes-two-zero-days-an-xcxwbn/.
  4. Ravie Lakshmanan. The Hacker News. [Online] Marzec 2026. https://thehackernews.com/2026/03/apple-issues-security-updates-for-older.html.
  5. Bill Toulas. BleepingComputer. [Online] Marzec 2026. https://www.bleepingcomputer.com/news/security/spyware-grade-coruna-ios-exploit-kit-now-used-in-crypto-theft-attacks/.
  6. Alexander Culafi. DarkReading. [Online] Marzec 2026. https://www.darkreading.com/threat-intelligence/darksword-iphone-exploit-spies-thieves
  7. Ravie Lakshmanan. The Hacker News. [Online] Marzec 2026. https://thehackernews.com/2026/03/veeam-patches-7-critical-backup.html.
  8. RESCANA. [Online] https://www.rescana.com/post/veeam-backup-replication-vulnerabilities-critical-rce-flaws-patched-in-latest-security-update.
  9. Alex Delamotte, Stephen Bromfield, Mary Braden Murphy, Amey Patne. FortiGate Edge Intrusions. SentinelOne. [Online] Marzec 2026. https://www.sentinelone.com/blog/fortigate-edge-intrusions/.
  10. Ravie Lakshmanan. The Hacker News. [Online] Marzec 2026. https://thehackernews.com/2026/03/google-fixes-two-chrome-zero-days.html.
  11. Release notes for Microsoft Edge Security Updates. [Online] Marzec 2026. https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security.
  12. Apple Security Engineering and Architecture. Apple Security Research. [Online] Październik 2025. https://security.apple.com/blog/memory-integrity-enforcement/.
  13. Ravie Lakshmanan. The Hacker News. [Online] Marzec 2026. https://thehackernews.com/2026/03/six-android-malware-families-target-pix.html.
  14. Ravie Lakshmanan. The Hacker News. [Online] Marzec 2026. https://thehackernews.com/2026/03/android-17-blocks-non-accessibility.html?_m=3n%2e009a%2e3928%2eyq0ao45onr%2e2z4w.