Podsumowanie
W ciągu kilku ostatnich dni opublikowano informacje o kolejnych aktywnie wykorzystywanych podatnościach. W efekcie producenci udostępnili obszerne aktualizacje m.in. dla Chrome, Androida, WinRAR-a, rozwiązań Check Point czy produktów Microsoftu. Czerwcowy krajobraz podatności pokazuje coraz wyraźniej, że klasyczne podejście do zarządzania aktualizacjami — miesięczne okna serwisowe, ręczna dystrybucja poprawek, priorytetyzacja oparta głównie na CVSS — przestaje wystarczać.
Microsoft: rekordowy Patch Tuesday i Nightmare Eclipse
Czerwcowy Patch Tuesday Microsoftu był rekordowy pod względem skali. Microsoft opublikował poprawki dla około 200 podatności, w tym ponad 30 ocenionych jako krytyczne oraz trzech zero-dayów, publicznie ujawnionych przed aktualizacją. (1) Dominują błędy eskalacji uprawnień, zdalnego wykonania kodu, wycieku informacji, spoofingu i ominięcia zabezpieczeń. Aktualizacje obejmują m.in. Windows, Hyper-V, HTTP.sys, Remote Desktop Client, Active Directory, Office, Teams, Defender for Endpoint, Exchange Online, Graph, Copilot i komponenty Azure.
Na szczególną uwagę zasługują podatności łączone z aktywnością badacza używającego pseudonimu Nightmare Eclipse / Chaotic Eclipse (2):
CVE-2026-45586 — w Windows Collaborative Translation Framework ma być powiązana z publicznie ujawnionym exploitem „GreenPlasma”, umożliwiającym eskalację uprawnień do SYSTEM.
CVE-2026-50507 — dotyczy obejścia zabezpieczeń BitLockera, kojarzonego z wcześniejszym narzędziem „YellowKey”.
Jeszcze większe zaniepokojenie wzbudziło ujawnienie RoguePlanet, nowego PoC dla Microsoft Defender, który według doniesień działa na w pełni zaktualizowanych systemach Windows 10 i Windows 11 po czerwcowym Patch Tuesday. Exploit bazuje na race condition i po udanym wykonaniu daje powłokę z uprawnieniami SYSTEM. Aktualnie PoC w opisywanej formie nie działa na Windows Server ze względu na ograniczenia montowania obrazów ISO przez standardowych użytkowników, ale sam wektor pokazuje, że powierzchnia ataku produktów ochronnych — EDR/AV/Defender — pozostaje atrakcyjna dla badaczy i potencjalnych atakujących
Chrome: zero-day w V8 i rekordowa skala poprawek
Najpilniejszą pozycją po stronie przeglądarek jest CVE-2026-11645, luka typu out-of-bounds read/write w silniku V8, czyli komponencie odpowiedzialnym za obsługę JavaScript i WebAssembly w Chrome. (3) Google potwierdziło aktywne wykorzystywanie podatności, która pozwala zdalnemu atakującemu na wykonanie kodu w sandboxie przeglądarki po otwarciu spreparowanej strony HTML. Poprawki trafiły do Chrome 149.0.7827.102/.103 dla Windows i macOS oraz 149.0.7827.102 dla Linuksa, a użytkownicy przeglądarek opartych o Chromium — takich jak Edge, Brave, Opera czy Vivaldi — powinni śledzić dostępność analogicznych aktualizacji. (4)
CVE-2026-11645 jest już piątym aktywnie wykorzystywanym zero-dayem Chrome załatanym od początku 2026 r., co tylko podkreśla, że to przeglądarka pozostaje jednym z najatrakcyjniejszych punktów wejścia, ponieważ łączy stałą ekspozycję na niezaufany kod webowy z dostępem do danych sesyjnych, aplikacji webowych i środowisk pracy zdalnej. Google, zgodnie ze standardową praktyką, ograniczyło szczegóły techniczne do czasu aktualizacji większości użytkowników, ale sam fakt obecności exploita w kampaniach wystarcza, aby traktować tę aktualizację jako patching o podwyższonym priorytecie, a nie element zwykłego cyklu.
Równolegle Chrome 149 przyniósł rekordową liczbę 429 poprawek bezpieczeństwa, z czego ponad 100 dotyczyło luk krytycznych lub wysokiego ryzyka. Najpoważniejszą z nich wskazywano jako CVE-2026-10881 w ANGLE, umożliwiającą ucieczkę z sandboxa i wykonanie kodu na hoście po odwiedzeniu spreparowanej strony. W tym samym czasie autonomiczny agent AI firmy depthfirst miał wykryć 21 wcześniej nieznanych podatności w FFmpeg (biblioteki obsługi mediów), w tym błędy obecne w kodzie od kilkunastu lat. Oba zdarzenia pokazują ten sam trend: automatyzacja i AI zwiększają tempo wykrywania luk szybciej, niż wiele organizacji jest w stanie je oceniać, testować i wdrażać poprawki. (5)
Android: aktywnie wykorzystywana luka w Frameworku
Google opublikowało czerwcowy biuletyn Android Security Bulletin obejmujący 124 podatności, w tym aktywnie wykorzystywaną CVE-2025-48595 w komponencie Android Framework. Luka eskalacji uprawnień obecna jest w Androidach 14, 15, 16 oraz 16 QPR2 i według Google mogła być wykorzystywana w ograniczonych, ukierunkowanych atakach. (6) Co ważne, nie wymaga interakcji użytkownika ani dodatkowych uprawnień wykonawczych. Jest to typowe dla łańcuchów używanych przeciwko celom wysokiego ryzyka, w tym administracji, dziennikarzom, prawnikom lub osobom objętym działaniami szpiegowskimi.
Aktualizacje zostały opublikowane na poziomach patch level 2026-06-01 oraz 2026-06-05, przy czym drugi poziom zawiera również poprawki dla komponentów kernela i dostawców chipsetów, m.in. Qualcomm, MediaTek, Imagination Technologies i Unisoc. Dla organizacji korzystających z urządzeń mobilnych w modelu BYOD lub COPE kluczowa jest kontrola realnego poziomu aktualizacji, a nie tylko deklaracja producenta urządzenia (7).
Veeam: backup jako cel pierwszego wyboru
Veeam załatał krytyczną podatność CVE-2026-44963 w Backup & Replication, ocenioną na CVSS 9.4. Luka umożliwia zdalne wykonanie kodu na serwerze backupu przez uwierzytelnionego użytkownika domenowego i dotyczy wersji 12.3.2.4465 oraz wcześniejszych buildów z linii 12; poprawka jest dostępna w 12.3.2.4854, natomiast wersje 13.x nie są podatne z powodu zmian architektonicznych. W środowisku Active Directory wymaganie „authenticated domain user” nie zapewnia bezpieczeństwa — w typowym incydencie ransomware przejęcie zwykłego konta domenowego jest często etapem początkowym, a nie barierą (8).
Serwery kopii zapasowych są dla operatorów ransomware jednym z najważniejszych celów po uzyskaniu dostępu do domeny. Przejęcie Veeam może umożliwić usunięcie, zaszyfrowanie lub manipulację kopiami, a tym samym obniżyć zdolność organizacji do odtworzenia środowiska bez płacenia okupu. Dlatego aktualizacja Veeam powinna być powiązana z przeglądem zabezpieczeń: separacji backupu od domeny, ograniczenia dostępu administracyjnego, MFA dla konsoli, monitoringu zadań usuwania repozytoriów, testów przywracania oraz kopii offline/immutable (9).
WinRAR: „stara” podatność, nowe kampanie
Przypadek WinRAR-a jest najbardziej klarownym przykładem, że łatka opublikowana rok wcześniej nie zamyka ryzyka, jeśli aplikacja nie jest centralnie zarządzana. Trend Micro opisało dwie kampanie grup związanych z Rosją — Earth Dahu / Gamaredon oraz SHADOW-EARTH-066 / UAC-0226 — wykorzystujące CVE-2025-8088 przeciwko organizacjom ukraińskim, mimo że poprawka była dostępna od lipca 2025 r. (10) Podatność typu path traversal pozwala zapisywać pliki poza katalogiem rozpakowania przy użyciu NTFS Alternate Data Streams, m.in. w folderze Startup, co umożliwia uruchomienie payloadu po zalogowaniu użytkownika.
W jednej z kampanii SHADOW-EARTH-066 dostarczało archiwa RAR z wabikiem PDF i ukrytymi payloadami ADS, prowadząc do uruchomienia loadera PowerShell i zaktualizowanej wersji stealera GIFTEDCROOK. Malware wykradał hasła, pliki cookies z przeglądarek Chromium i Firefox oraz dokumenty o wybranych rozszerzeniach, po czym usuwał artefakty. Earth Dahu wykorzystywał z kolei łańcuch HTA–VBScript prowadzący do modułów szpiegowskich GammaPhish/GammaLoad (11). Kluczowa lekcja jest prosta: aplikacje pomocnicze, takie jak archiwizatory, często funkcjonują poza radarami EDR, GPO i systemów patch management.
Fortinet: krytyczne ryzyko w FortiSandbox
W obszarze Fortinet największą uwagę zwraca CVE-2026-25089 w FortiSandbox, FortiSandbox Cloud i FortiSandbox PaaS. To krytyczna podatność typu OS command injection, oceniona na CVSS 9.1. Umożliwia nieuwierzytelnionemu atakującemu wykonanie nieautoryzowanych poleceń przez spreparowane żądania HTTP do interfejsu webowego. Dotknięte są m.in. FortiSandbox 5.0.0–5.0.5, 4.4.0–4.4.8 oraz 4.2.x, a zalecane wersje naprawcze to 5.0.6 lub 4.4.9 i nowsze (12).
Ryzyko jest szczególnie istotne, bo FortiSandbox pełni rolę systemu analizy i detekcji złośliwego oprogramowania. Kompromitacja takiego komponentu może więc prowadzić do obejścia lub nieskuteczności części procesu wykrywania zagrożeń. Do czasu aktualizacji dostęp do web UI powinien być ograniczony do zaufanych adresów, a logi HTTP i systemowe powinny zostać sprawdzone pod kątem nietypowych żądań. Warto również przejrzeć pozostałe advisories Fortinet PSIRT, ponieważ w ostatnich miesiącach pojawiały się także podatności w innych produktach, w tym FortiClientEMS (13).
Wnioski
Wspólnym mianownikiem opisywanych przypadków jest coraz krótsze okno między ujawnieniem podatności, pojawieniem się exploita i koniecznością wdrożenia poprawki. 8 czerwca CISA dodała CVE-2026-50751 w Check Point Remote Access VPN, Mobile Access i Spark Firewall do katalogu KEV (Known Exploited Vulnerabilities). Luka pozwala nieuwierzytelnionemu atakującemu zestawić sesję VPN w konfiguracjach używających przestarzałego IKEv1. Termin remediacji wyznaczony przez CISA agencjom federalnym to 11 czerwca — zaledwie trzy dni (14). Organizacje, które nadal mierzą skuteczność patch managementu w tygodniach, będą coraz częściej działać wolniej niż atakujący, a różnica między czasem publikacji podatności, dostępnością exploita i wdrożeniem poprawki będzie decydowała o realnym poziomie odporności.
Z tej perspektywy rekomendujemy, aby najbliższe miesiące potraktować jako moment przejścia z klasycznego patch managementu na model zarządzania podatnościami oparty o ryzyko, threat intelligence i realną ekspozycję organizacji. W praktyce oznacza to wydzielenie osobnej ścieżki aktualizacji krytycznych dla podatności aktywnie wykorzystywanych, luk obecnych w katalogu KEV, systemów brzegowych, VPN, kopii zapasowych oraz aplikacji powszechnie używanych przez użytkowników końcowych.
Jak dostosować się do nowych realiów?
WinRAR pokazuje, że niezarządzane narzędzia użytkownika mogą pozostawać skutecznym wektorem ataku długo po publikacji poprawki. Z kolei przypadki takie jak Nightmare Eclipse przypominają, że publiczny PoC potrafi w ciągu godzin zmienić podatność z „ważnej” w operacyjnie krytyczną. Dlatego warto już teraz pomyśleć o uporządkowaniu całego procesu: aktualnej inwentaryzacji systemów i aplikacji, monitoringu źródeł threat intelligence, ocenie ekspozycji podatnych komponentów oraz określeniu SLA dla poprawek krytycznych.
Ten kierunek jest spójny również z nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa (UoKSC), która weszła w życie 3 kwietnia 2026 r. i dostosowuje polskie przepisy do wymogów NIS2. Więcej o praktycznych konsekwencjach nowych przepisów piszemy w naszych materiałach poświęconych terminom wynikającym z UoKSC oraz weryfikacji karalności osób realizujących zadania z zakresu cyberbezpieczeństwa.
Opracowanie: Karol Kuchciński
Threat Intelligence
Nr 19, czerwiec 2026Niniejszy biuletyn jest przeglądem bieżących zagrożeń i technik stosowanych w cyberatakach, skierowanym do wszystkich użytkowników systemów IT. Zachęcamy do jego udostępniania, gdyż podnoszenie świadomości jest kluczowe dla zapewnienia bezpieczeństwa informacji.
Źródła:
1. Krebs, Brian. krebsonsecurity.com. [Online] Czerwiec 2026. https://krebsonsecurity.com/2026/06/a-record-breaking-patch-tuesday-for-june-2026/.
2. Abrams, Lawrence. BleepingComputer.com. [Online] Czerwiec 2026. https://www.bleepingcomputer.com/news/microsoft/microsoft-june-2026-patch-tuesday-fixes-3-zero-day-200-flaws/.
3. Lakshmanan, Ravie. The Hacker News. [Online] Czerwiec 2026. https://thehackernews.com/2026/06/chrome-v8-zero-day-cve-2026-11645.html.
4. Gatlan, Sergiu. BleepingComputer.com. [Online] Czerwiec 2026. https://www.bleepingcomputer.com/news/security/google-patches-fifth-chrome-zero-day-bug-exploited-in-attacks-this-year/.
5. Khandelwal, Swati. The Hacker News. [Online] Czerwiec 2026. https://thehackernews.com/2026/06/ai-agent-uncovers-21-zero-days-in.html.
6. android.com. [Online] Czerwiec 2026. https://source.android.com/docs/security/bulletin/2026/2026-06-01?hl=pl.
7. Lakshmanan, Ravie. The Hacker News. [Online] Czerwiec 2026. https://thehackernews.com/2026/06/google-june-2026-android-update-patches.html.
8. —. The Hacker News. [Online] Czerwiec 2026. https://thehackernews.com/2026/06/veeam-backup-replication-rce-flaw-lets.html.
9. Zero Day Wire. Zero Day Wire. [Online] Czerwiec 2026. https://zero-day-wire-1.ghost.io/veeam-patches-critical-backup-replication-rce-any-authenticated-domain-user-can-execute-code-on-backup-servers-cve-2026-44963/.
10. Hiroyuki Kakara, Feike Hacquebord. Trend Micro. [Online] Czerwiec 2026. https://www.trendmicro.com/en_us/research/26/f/old-winrar-flaw-fuels-attacks-on-ukraine.html.
11. Google Cloud. [Online] Styczeń 2026. https://cloud.google.com/blog/topics/threat-intelligence/exploiting-critical-winrar-vulnerability.
12. Baran, Guru. Cyber Security News. [Online] Czerwiec 2026. https://cybersecuritynews.com/fortinet-fortisandbox-vulnerability-exploited/.
13. Fortinet Product Security Incident Response Team. [Online] https://fortiguard.fortinet.com/psirt.
14. Gatlan, Sergiu. BleepingComputer.com. [Online] Czerwiec 2026. https://www.bleepingcomputer.com/news/security/cisa-orders-feds-to-patch-check-point-flaw-exploited-by-ransomware-gangs/.