Biuletyn Threat Intelligence Nr 17: Poprawki dla krytycznych podatności

Podsumowanie

W kwietniu producenci opublikowali jedne z największych pakietów poprawek w ostatnich miesiącach. Obejmują zarówno aktywnie wykorzystywane podatności typu zero-day, jak i liczne błędy umożliwiające eskalację uprawnień oraz zdalne wykonanie kodu. Szczególną uwagę zwracają luki w systemach Microsoft, Adobe oraz Fortinet, które dotyczą kluczowych komponentów infrastruktury — od środowisk współpracy i obsługi dokumentów, po systemy bezpieczeństwa i zarządzania siecią.

Jednocześnie widoczny jest dalszy wzrost znaczenia przeglądarek internetowych jako głównej powierzchni ataku. W połączeniu z rosnącą liczbą złośliwych rozszerzeń oraz rozwojem technologii AI, wymaga to systemowego podejścia do bezpieczeństwa środowisk użytkowników końcowych.

Patch Tuesday w produktów Microsoft

W kwietniowym Patch Tuesday Microsoft opublikował rekordowe 243 poprawki, w tym 165 własnych, w ponad połowie dotyczących eskalacji uprawnień. W pakiecie znalazły się dwie podatności zero-day [1]: jedna aktywnie wykorzystywana, a druga publicznie ujawniona przed wydaniem aktualizacji. Pozostałe poprawki (78) dotyczyły podatności w Chromium, na którym oparta jest przeglądarka Edge [2, 3].

Na tle poprzednich miesięcy szczególnie istotny jest nie tylko wolumen, lecz ich charakter. Dominacja błędów lokalnej eskalacji uprawnień sugeruje, że atakujący konsekwentnie rozwijają łańcuchy ataku oparte na możliwie szybkim osiąganiu celów po wstępnym uzyskaniu dostępu.

Opis najważniejszych podatności

CVE-2026-32201 — CVSS 6.5 — aktywnie wykorzystywana podatność w Microsoft SharePoint Server, pozwalająca atakującemu podszyć się pod zaufaną treść lub interfejs w środowisku SharePoint. Sama w sobie nie daje klasycznego RCE, ale umożliwia manipulowanie prezentowaną treścią i zwiększać może skuteczność phishingu oraz dalszych działań wewnątrz zaufanego środowiska współpracy.

CVE-2026-33825 — CVSS 7.8 — publicznie ujawniona podatność eskalacji uprawnień w Microsoft Defender. Znana pod nazwą „BlueHammer”, umożliwia uzyskanie uprawnień SYSTEM na podatnym urządzeniu. Microsoft wskazał, że instalacje Defendera z automatycznymi aktualizacjami ochrony są już zabezpieczone.

CVE-2026-33824 — CVSS 9.8 — krytyczna podatność umożliwiająca zdalne, nieuwierzytelnione wykonanie kodu (RCE) w Windows Internet Key Exchange (IKE) Service Extensions. W przypadku gdy szybka aktualizacja nie jest możliwa, a IKE nie jest niezbędne, Microsoft zalecił blokowanie ruchu przychodzącego na portach UDP 500 i 4500.

CVE-2026-33827 — CVSS 8.1 — krytyczna podatność RCE w warstwie TCP/IP. Choć pozostaje trudną do wykorzystania (race conditio w określonych warunkach), to wciąż zasługuje na uwagę, bo gdyż infrastrukturalnych komponentów systemu operacyjnego.

CVE-2026-33114 oraz CVE-2026-33115 — po CVSS 8.4 — krytyczne podatności RCE w Microsoft Word. Wykorzystywane mogą być w phishingu przez dostarczanie złośliwych plików do użytkowników końcowych, zwłaszcza w środowiskach o dużym obiegu dokumentów.

CVE-2026-27906, CVE-2026-26151 i CVE-2026-26169 — podatności dodatkowo warte uwagi. Obejmują obejście zabezpieczeń Windows Hello, spoofing w Windows Desktop/Remote Desktop oraz ujawnienie informacji z pamięci jądra Windows.

Zalecane działania

Zaleca się możliwie szybką instalację aktualizacji: dla kompilacji systemów Windows — 26H1 (ARM): KB5083768 , 25H2 i 24H2: KB5083769, 23H2: KB5082052. Przypominamy o braku wsparcia dla kompilacji z 2022 roku. Windows Server oraz Windows 10 w programie ESU powinny być aktualizowane zgodnie z zaleceniami producenta.

Adobe łata podatności, w tym krytyczną w Acrobat Readerze

Adobe opublikowało pilne poprawki dla Acrobat Reader i Acrobat, usuwające podatność zero-day, która była aktywnie wykorzystywana w atakach co najmniej od końca 2025 roku. Ataki prowadzono z użyciem spreparowanych plików PDF. Po otwarciu w Adobe Reader umożliwiały wykonanie złośliwego kodu oraz zbieranie informacji o systemie ofiary. Charakter kampanii wskazuje na działania ukierunkowane, potencjalnie prowadzone przez zaawansowanych aktorów (APT) [4].

Opis podatności

CVE-2026-34621 — CVSS 8.6 — aktywnie wykorzystywana [5] podatność, wynikająca z nieprawidłowej kontroli modyfikacji obiektów w silniku JavaScript wykorzystywanym przez Adobe Reader. W praktyce umożliwia to uruchomienie złośliwego kodu po otwarciu odpowiednio spreparowanego pliku PDF.

Podatność była początkowo oceniana wyżej (CVSS 9.6). Adobe skorygowało jednak ocenę do 8.6, zmieniając wektor ataku z sieciowego na lokalny (wymagane otwarcie pliku). Zmiana ta nie wpływa jednak istotnie na poziom ryzyka — podatność nadal umożliwia przejęcie kontroli nad systemem użytkownika.

Ataki opierają się na wykorzystaniu mechanizmu JavaScript w PDF-ach oraz dostępie do uprzywilejowanych API Adobe. Pozwala to m.in. na odczyt danych lokalnych i dalsze etapy ataku (RCE, sandbox escape).

Zalecane działania

Zaleca się pilną aktualizację Acrobat DC oraz Acrobat Reader DC do wersji 26.001.21411 lub nowszej, a Acrobat 2024 do wersji 24.001.30362 (Windows) albo 24.001.30360 (macOS) lub nowszych. W środowiskach korporacyjnych rekomendowane jest wymuszenie aktualizacji centralnie (SCCM, MDM, GPO) oraz weryfikacja zgodności wersji.

Uwaga: część użytkowników zgłaszała, że Adobe Creative Cloud nie zawsze aktualizował program Acrobat w sposób automatyczny. Zaleca się ręczne sprawdzenie dostępności aktualizacji z poziomu samego programu, a nie Creative Cloud.

Problem JavaScript w PDF

Istotnym, systemowym problemem pozostaje fakt, że Adobe Reader wspiera wykonywanie kodu JavaScript w dokumentach PDF. Funkcja ta została wprowadzona w celu obsługi interaktywnych formularzy i automatyzacji, jednak od lat stanowi jeden z głównych wektorów ataku.

W przeciwieństwie do tego, większość wbudowanych czytników PDF w przeglądarkach (Chrome, Firefox, Edge) celowo ogranicza lub całkowicie wyłącza obsługę JavaScript, uznając ją za zbędne i ryzykowne rozszerzenie funkcjonalności.

Jeżeli organizacja nie wykorzystuje zaawansowanych funkcji PDF w codziennej pracy, rekomendujemy wdrożenie domyślnego otwierania dokumentów przez czytnik wbudowany w przeglądarkę. W przypadku gdy pojawi się konieczność użycia zaawansowanych funkcji (lub edycji), plik taki można otworzyć przez rozwiązanie Adobe. Wymagać to będzie dodatkowego, świadomego działania użytkownika, znacząco zmniejszając ryzyko infekcji. Przy takim podejściu potencjalnie niebezpieczne PDF (np. załączniki do emaili) domyślnie otwierane będą w czytnikach pozbawiających je podatnej funkcjonalności.

Podatności w ekosystemie Fortinet

Fortinet opublikował pakiet aktualizacji bezpieczeństwa obejmujący 11 podatności, które dotyczą FortiOS, FortiPAM, FortiProxy, FortiSwitchManage, FortiSandbox, FortiAnalyzer, FortiManager oraz ich wersji chmurowych. Wykryte problemy dotykają zarówno warstwy kontroli ruchu sieciowego, jak i systemów zarządzania oraz analizy.

Opis najważniejszych podatności

CVE-2026-39808 — CVSS 9.8 — krytyczna podatność typu command injection w FortiSandbox.
Umożliwia niezautoryzowanemu atakującemu wykonanie nieautoryzowanych poleceń w systemie poprzez odpowiednio spreparowane żądania http [6].

CVE-2026-39813 — CVSS 9.1 — podatność typu path traversal w interfejsie API FortiSandbox JRPC. Umożliwia niezautoryzowanemu atakującemu ominięcie uwierzytelniania za pomocą specjalnie spreparowanych żądań http [7].

Większość z pozostałych podatności (w tym SQL Injection, Path Traversal w CLI, arbitrary directory delete oraz XSS) wymaga uwierzytelnienia, co obniża ryzyko w przypadku ataków z zewnątrz. Jedynym wyjątkiem w tej grupie jest brakująca autoryzacja dla krytycznej funkcji w FortiOS/FortiSwitchManager. Choć oceniona jako średnia, stwarza ryzyko niezamierzonego dostępu do kluczowych zasobów sieciowych bez logowania.

Zalecane działania

Zaleca się możliwie niezwłoczną aktualizację produktów Fortinet zgodnie z zaleceniami producenta. Wartym podkreślenia jest, że amerykańska CISA poinformowała o kolejnym wykorzystaniu załatanych wcześniej podatności (FortiClient EMS) [5].

Rekomendujemy także przegląd kont i uprawnień osób mających dostęp do narzędzi ekosystemu Fortinet. W kontekście powyższych podatności, brak stosowania zasady minimalnych uprawnień oraz możliwie szybkiego odbierania dostępu wiąże się z dużym ryzykiem.

Wnioski

Obserwowane w ostatnich tygodniach zjawiska wskazują na dwa wyraźne trendy. Po pierwsze, należy spodziewać się dalszego wzrostu liczby wykrywanych podatności. Nie wynika to wyłącznie z pogorszenia jakości oprogramowania, lecz przede wszystkim z rosnących możliwości ich identyfikacji. Przykładem jest rozwój modeli AI, takich jak Claude (projekt Mythos), które są w stanie automatycznie wykrywać podatności na skalę przekraczającą możliwości człowieka [8]. Oznacza to, że zarówno badacze, jak i potencjalni atakujący zyskują narzędzia znacząco przyspieszające proces znajdowania i wykorzystywania błędów.

Drugim, znacznie bardziej operacyjnym problemem jest rosnące znaczenie przeglądarek internetowych jako głównej powierzchni ataku. W odpowiedzi na to Google wprowadziło w Chrome 146 mechanizm Device Bound Session Credentials (DBSC) [9]. Pozwala on ograniczyć ryzyko kradzieży sesji przez malware (o czym pisaliśmy na łamach naszego bloga). Sam fakt wdrożenia takiego rozwiązania pokazuje, że kradzież cookies i przejmowanie sesji stały się jednym z dominujących wektorów ataku.

W ostatnim czasie wykryto 108 kolejnych złośliwych rozszerzeń Chrome. Wykradały one dane użytkowników, w tym historię przeglądania, treści e-maili oraz dane uwierzytelniające [10]. Jest to kontynuacja trendu, o którym pisaliśmy wcześniej. Z tego względu organizacje powinny przykładać coraz większą uwagę do przeglądarek. Są one odrębnym i pełnoprawnym środowiskiem pracy, a nie tylko jedną z aplikacji instalowanych na urządzeniach końcowych. Rosnące znaczenie rozwiązań chmurowych oraz duża powierzchnia ataku powinny skutkować systemowym podejściem. Zaleca się zaostrzenie polityk aktualizacji i konfiguracji wobec przeglądarek, w tym wymuszanie ich aktualizacji. Co więcej, dodatki i rozszerzenia powinny być włączone w politykę instalowania oprogramowania na urządzeniach. Finalnie, zaleca się budowę świadomości użytkowników przez dedykowane sekcje w szkoleniach orz bieżące działania uświadamiające.