Archiwa: Security News - Strona 151 z 520 - Security Bez Tabu

Microsoft udostępnia RAMPART i Clarity jako open source do ochrony agentów AI

Cybersecurity news

Wprowadzenie do problemu / definicja

Bezpieczeństwo agentów AI staje się jednym z najważniejszych obszarów współczesnego cyberbezpieczeństwa. W odróżnieniu od tradycyjnych aplikacji systemy agentowe nie tylko analizują dane wejściowe, ale również podejmują działania, korzystają z narzędzi, komunikują się z usługami zewnętrznymi i operują na informacjach o różnym poziomie zaufania. To tworzy nową kategorię zagrożeń, obejmującą między innymi pośrednie wstrzyknięcia promptów, nadużycia uprawnień, eksfiltrację danych oraz błędy architektoniczne.

W odpowiedzi na te wyzwania Microsoft udostępnił jako open source dwa narzędzia: RAMPART i Clarity. Ich celem jest wsparcie zespołów projektowych i bezpieczeństwa w budowaniu agentów AI z uwzględnieniem ochrony już od najwcześniejszych etapów cyklu życia oprogramowania.

W skrócie

RAMPART to framework testowy zbudowany natywnie wokół Pytest, służący do definiowania i wykonywania powtarzalnych testów bezpieczeństwa oraz odporności agentów AI. Clarity wspiera natomiast etap projektowania, pomagając zespołom identyfikować założenia, możliwe błędy i ryzyka jeszcze przed rozpoczęciem implementacji.

Oba projekty realizują ideę przesunięcia bezpieczeństwa „w lewo”, czyli włączenia kontroli ochronnych na wcześniejszych etapach tworzenia rozwiązań opartych na agentowej AI.

Kontekst / historia

W ostatnich miesiącach dyskusja o bezpieczeństwie AI przesunęła się z samego modelu językowego na szerszy ekosystem agentów. Agenci AI działają bowiem na styku modeli, pamięci, danych, integracji z zewnętrznymi usługami i narzędzi wykonawczych. To znacząco zwiększa powierzchnię ataku i utrudnia ocenę ryzyka przy użyciu klasycznych metod bezpieczeństwa aplikacyjnego.

Microsoft rozwijał wcześniej rozwiązania wspierające testowanie bezpieczeństwa AI, w tym narzędzia wykorzystywane do badań red-teamowych. Nowa inicjatywa wskazuje jednak na wyraźną zmianę podejścia: zamiast ograniczać się do jednorazowych ocen po wdrożeniu systemu, producent promuje model, w którym testy bezpieczeństwa są częścią codziennego procesu developmentu oraz pipeline’ów CI/CD.

Analiza techniczna

RAMPART, rozwijany jako Risk Assessment and Measurement Platform for Agentic Red Teaming, został zaprojektowany jako framework inżynierski do testowania bezpieczeństwa agentów. Pozwala on zapisywać scenariusze testowe jako powtarzalne przypadki obejmujące zarówno zachowania jednoznacznie złośliwe, jak i pozornie nieszkodliwe interakcje mogące prowadzić do niepożądanych skutków.

W praktyce oznacza to możliwość modelowania takich problemów, jak pośrednie przekazywanie nieufnych danych do kontekstu modelu, regresje zachowania po aktualizacji komponentów, nieautoryzowane ujawnienie informacji czy wykorzystanie narzędzi w sposób wykraczający poza założony zakres uprawnień.

  • testowanie scenariuszy cross-prompt injection przez pliki, e-maile i strony WWW,
  • wykrywanie zmian zachowania agenta po aktualizacjach,
  • sprawdzanie ryzyka ujawnienia danych wrażliwych,
  • ocena bezpieczeństwa działań wykonywanych przez agenta przy użyciu narzędzi.

Architektura RAMPART opiera się na adapterze łączącym konkretnego agenta z zestawem testów. Takie podejście ułatwia integrację z różnymi implementacjami agentów i pozwala uruchamiać testy w sposób zbliżony do klasycznego testowania aplikacji. Istotną zaletą jest też możliwość zamiany wniosków z red teamingu i wcześniejszych incydentów w testy regresyjne, co przekłada wiedzę operacyjną na praktyczne, uruchamialne artefakty.

Clarity odpowiada za wcześniejszy etap cyklu życia systemu. To narzędzie pomaga porządkować proces projektowania agentów AI poprzez doprecyzowanie intencji, analizę wariantów architektonicznych, identyfikację możliwych trybów awarii i dokumentowanie decyzji. Dzięki temu zespoły mogą wcześniej zauważyć niebezpieczne założenia, takie jak nadanie agentowi zbyt szerokiego dostępu do narzędzi, danych lub kanałów komunikacji.

Połączenie obu rozwiązań tworzy spójny model pracy: Clarity wspiera budowę bezpiecznych założeń projektowych, a RAMPART umożliwia ich późniejszą walidację w praktyce. W efekcie bezpieczeństwo agentów AI przestaje być jednorazowym przeglądem, a staje się procesem ciągłym.

Konsekwencje / ryzyko

Udostępnienie RAMPART i Clarity może istotnie wpłynąć na praktyki AppSec i AI security w organizacjach budujących własnych agentów. Najważniejszą konsekwencją jest operacjonalizacja bezpieczeństwa agentowego, czyli możliwość przekładania zagrożeń na konkretne testy, scenariusze awarii i mierzalne kontrole.

Dla firm oznacza to łatwiejsze wykrywanie błędów projektowych na wczesnym etapie, stałą kontrolę zmian zachowania po modyfikacjach oraz lepszą odtwarzalność incydentów. Jednocześnie same narzędzia nie rozwiązują wszystkich problemów. Nie zastępują zasad least privilege, segmentacji, kontroli dostępu do sekretów, monitoringu ani mechanizmów audytowych.

Szczególnie niebezpieczne pozostają scenariusze, w których agent łączy dostęp do wrażliwych danych z możliwością wykonywania operacji w systemach zewnętrznych. W takich przypadkach nawet drobny błąd logiczny lub manipulacja kontekstem może prowadzić do poważnych skutków biznesowych i bezpieczeństwa.

Rekomendacje

Organizacje rozwijające agentów AI powinny traktować bezpieczeństwo agentowe jako odrębny obszar inżynierski, a nie jedynie rozszerzenie klasycznych testów aplikacyjnych. W praktyce warto wdrożyć zestaw działań obejmujących zarówno proces projektowy, jak i etap testów oraz eksploatacji.

  • włączyć testy bezpieczeństwa agentów do pipeline’ów CI/CD jako obowiązkowy element procesu wydawniczego,
  • budować bibliotekę scenariuszy regresyjnych na podstawie wcześniejszych incydentów i wyników red teamingu,
  • modelować źródła nieufnych danych, w tym dokumenty, pocztę elektroniczną, strony WWW i integracje z systemami zewnętrznymi,
  • ograniczać uprawnienia agentów do absolutnego minimum,
  • dokumentować granice zaufania, założenia projektowe i tryby awarii jeszcze przed implementacją,
  • testować nie tylko odpowiedzi modelu, ale również działania wykonywane przez agenta w środowisku,
  • zapewnić telemetrię, audyt decyzji i możliwość odtworzenia ścieżki wykonania podczas analizy incydentów.

Z perspektywy zespołów SOC i AppSec szczególnie ważne będzie rozszerzenie klasycznego threat modelingu o elementy specyficzne dla agentów AI, takie jak pamięć konwersacyjna, użycie narzędzi, delegowanie zadań czy przetwarzanie nieufnego kontekstu.

Podsumowanie

Publikacja RAMPART i Clarity jako projektów open source pokazuje, że bezpieczeństwo agentów AI staje się dojrzałym obszarem wymagającym własnych metod, narzędzi i praktyk. RAMPART wnosi do procesu rozwoju automatyzowalne testy bezpieczeństwa i odporności, a Clarity wspiera uporządkowanie decyzji architektonicznych jeszcze przed napisaniem kodu.

Razem narzędzia te wpisują się w model, w którym ochrona agentów nie jest jednorazową oceną po wdrożeniu, lecz zbiorem żywych artefaktów rozwijanych wraz z systemem. Dla organizacji inwestujących w agentową AI to wyraźny sygnał, że skuteczna obrona zaczyna się na etapie projektu, testów i kontroli granic zaufania.

Źródła

  1. https://thehackernews.com/2026/05/microsoft-open-sources-rampart-and.html
  2. https://www.microsoft.com/en-us/security/blog/2026/05/20/introducing-rampart-and-clarity-open-source-tools-to-bring-safety-into-agent-development-workflow/
  3. https://www.microsoft.com/en-us/security/blog/2026/03/20/secure-agentic-ai-end-to-end/
  4. https://opensource.microsoft.com/blog/2026/04/02/introducing-the-agent-governance-toolkit-open-source-runtime-security-for-ai-agents/

Agent AI i bezpieczeństwo tożsamości w firmach: jak autonomiczne systemy zwiększają ryzyko IAM

Cybersecurity news

Wprowadzenie do problemu / definicja

Upowszechnienie agentowej sztucznej inteligencji zmienia sposób, w jaki przedsiębiorstwa automatyzują procesy, korzystają z danych i realizują zadania operacyjne. W przeciwieństwie do klasycznych skryptów czy kont serwisowych agenci AI działają bardziej autonomicznie, szybciej reagują na zmienne warunki i potrafią dynamicznie dobierać ścieżki wykonania zadania. To sprawia, że środowisko tożsamości oraz uprawnień staje się jednym z kluczowych obszarów ryzyka.

Jeżeli organizacja nie ma pełnej kontroli nad kontami nieosobowymi, tokenami, sekretami i uprawnieniami uprzywilejowanymi, agent AI może stać się narzędziem niezamierzonej eskalacji dostępu. Problem nie wynika wyłącznie z samej technologii AI, lecz z jej zderzenia z istniejącymi słabościami w obszarze IAM.

W skrócie

Największym zagrożeniem dla organizacji wdrażających Agent AI jest tzw. „identity dark matter”, czyli ukryta warstwa tożsamości funkcjonująca poza centralnym nadzorem. Obejmuje ona lokalne konta aplikacyjne, osierocone tożsamości, stare integracje i nadmiarowe uprawnienia, które przez lata pozostawały tolerowane.

W środowisku agentowym takie luki przestają być jedynie problemem porządkowym. Stają się realnym wektorem nadużyć, błędów operacyjnych i nieautoryzowanego dostępu do zasobów, ponieważ autonomiczne systemy mogą wykorzystywać istniejące skróty techniczne szybciej i na większą skalę niż człowiek.

Kontekst / historia

Przez lata środowiska IAM rozwijały się etapami. Firmy wdrażały kolejne aplikacje, rozszerzały integracje, tworzyły konta serwisowe i wprowadzały wyjątki administracyjne, aby szybciej obsłużyć potrzeby biznesowe. W efekcie powstały złożone ekosystemy, w których część decyzji dostępowych była zarządzana centralnie, a część pozostawała rozproszona między aplikacjami, zespołami i procesami.

Takie podejście było jeszcze względnie akceptowalne w czasach, gdy z tych mechanizmów korzystały głównie przewidywalne procesy automatyzacji lub administratorzy działający w określonym kontekście. Rozwój agentowej AI zmienia jednak skalę problemu. Autonomiczny agent nie wykonuje wyłącznie sztywno zaprogramowanej sekwencji działań, lecz szuka sposobu osiągnięcia celu przy użyciu dostępnych narzędzi, danych i uprawnień.

Właśnie dlatego dawne kompromisy bezpieczeństwa zaczynają mieć nowe znaczenie. Konta techniczne tworzone lokalnie, nadmiarowe role oraz osierocone tożsamości stają się elementami, które mogą zostać wykorzystane jako najprostsza ścieżka realizacji zadania.

Analiza techniczna

Z perspektywy bezpieczeństwa kluczowe znaczenie ma relacja między agentem AI a infrastrukturą tożsamości. Sam agent nie musi być złośliwy, aby wygenerować ryzyko. Wystarczy, że działa w środowisku, w którym istnieją nieuporządkowane konta, szerokie tokeny i niekontrolowane wyjątki dostępu.

Pierwszym problemem są konta nieosobowe tworzone lokalnie w aplikacjach. Gdy nie są objęte centralnym IAM, organizacja może nie mieć pełnej wiedzy o ich przeznaczeniu, właścicielu, cyklu życia i faktycznym zakresie uprawnień. Takie tożsamości często funkcjonują przez długi czas bez recertyfikacji i bez odpowiedniego monitoringu.

Drugim ryzykiem są nadmiarowe uprawnienia. W wielu środowiskach dostęp jest przyznawany „na zapas”, aby uprościć wdrożenie lub uniknąć przestojów. Jeśli agent AI otrzyma zbyt szeroki zakres uprawnień albo uzyska dostęp do tokenu o nadmiernym zakresie, może wykonywać operacje wykraczające poza rzeczywistą potrzebę biznesową, nawet jeśli formalnie nie taki był cel projektu.

Trzecim elementem są konta osierocone, czyli tożsamości pozostawione po pracownikach, usługach, integracjach lub projektach, które już nie istnieją. Takie konta często zachowują dawne role, nie podlegają regularnej rotacji poświadczeń i bywają pomijane w audytach. W środowisku agentowym mogą stanowić gotową ścieżkę dostępu do systemów i danych.

Dodatkowym wyzwaniem jest to, że agenci AI są projektowani tak, aby skutecznie osiągać cele. W praktyce oznacza to skłonność do wykorzystywania najbardziej efektywnej dostępnej drogi. Jeśli więc w środowisku istnieją zapisane poświadczenia, szeroko akceptowane tokeny lub źle odseparowane konta techniczne, agent może z nich skorzystać w sposób zgodny z logiką wykonania zadania, ale niekoniecznie zgodny z intencją polityki bezpieczeństwa.

  • lokalne konta aplikacyjne poza centralnym IAM ograniczają widoczność i kontrolę,
  • nadmierne uprawnienia zwiększają ryzyko eskalacji dostępu,
  • osierocone konta mogą umożliwiać cichy i trudny do wykrycia dostęp,
  • brak pełnej atrybucji działań utrudnia analizę incydentów i audyt.

Konsekwencje / ryzyko

Najpoważniejszą konsekwencją jest utrata kontroli nad granicami autoryzacji. Organizacja może mieć formalnie wdrożone polityki bezpieczeństwa, ale w praktyce agent będzie korzystał z tego, co technicznie dostępne. To prowadzi do rozbieżności między modelem bezpieczeństwa zapisanym na papierze a realnym zakresem operacji możliwych w środowisku.

Ryzyko dotyczy zarówno poufności, jak i integralności oraz dostępności systemów. Agent AI działający z nadmiernym dostępem może odczytywać dane, których nie powinien widzieć, modyfikować konfiguracje, wykonywać operacje na bazach danych lub inicjować działania wpływające na ciągłość usług. Jeżeli do tego dojdzie przejęcie konta technicznego przez atakującego, skala potencjalnego incydentu rośnie jeszcze bardziej.

Ważnym problemem pozostaje także rozliczalność. W środowisku, w którym działania wykonują ludzie, skrypty, integracje API i autonomiczni agenci, ustalenie źródła konkretnej operacji staje się znacznie trudniejsze. To komplikuje dochodzenia po incydencie, utrudnia spełnienie wymagań compliance i wydłuża czas reakcji zespołów bezpieczeństwa.

Rekomendacje

Organizacje planujące wdrożenie Agent AI powinny potraktować bezpieczeństwo tożsamości jako fundament projektu, a nie dodatkową warstwę wdrażaną po uruchomieniu automatyzacji. Pierwszym krokiem powinna być pełna inwentaryzacja tożsamości nieosobowych, obejmująca konta serwisowe, konta aplikacyjne, integracje API, tokeny, certyfikaty i sekrety.

Każda tożsamość techniczna powinna mieć przypisanego właściciela biznesowego i technicznego, określony cel, zdefiniowany zakres uprawnień oraz jasny cykl życia. Równie istotny jest przegląd uprawnień uprzywilejowanych i wdrożenie zasady najmniejszych uprawnień, tak aby agent AI miał dostęp wyłącznie do niezbędnych zasobów, operacji i danych.

Praktyczne działania ochronne powinny obejmować również recertyfikację uprawnień, segmentację dostępu, monitorowanie użycia tokenów i sekretów oraz konsekwentne usuwanie kont osieroconych. Warto uruchamiać agentów AI w środowiskach o ograniczonym zaufaniu i z jasno zdefiniowanym zestawem narzędzi, zamiast przydzielać im szeroki dostęp odziedziczony po istniejących kontach technicznych.

  • przeprowadzenie pełnej inwentaryzacji tożsamości nieosobowych,
  • wdrożenie zasady najmniejszych uprawnień dla agentów AI,
  • usuwanie osieroconych kont, kluczy API i nieaktywnych integracji,
  • centralizacja widoczności nad kontami technicznymi i sekretami,
  • rejestrowanie działań agentów w sposób umożliwiający audyt,
  • stosowanie krótkotrwałych poświadczeń i warunkowego dostępu.

Podsumowanie

Agentowa sztuczna inteligencja nie tworzy całkowicie nowego rodzaju problemów w bezpieczeństwie tożsamości, ale znacząco wzmacnia skutki istniejących zaniedbań. Niewidoczne konta techniczne, nadmiarowe role i osierocone tożsamości stają się szczególnie niebezpieczne wtedy, gdy autonomiczne systemy mogą wykorzystywać je szybko, elastycznie i bez pełnego rozumienia kontekstu ryzyka.

Dla przedsiębiorstw oznacza to konieczność uporządkowania środowiska IAM jeszcze przed szerokim wdrożeniem Agent AI. Bez tego nawet dobrze zaplanowane inicjatywy automatyzacyjne mogą zwiększyć ekspozycję na incydenty, błędy operacyjne i nieautoryzowany dostęp do krytycznych zasobów.

Źródła

  1. Agent AI is Coming. Are You Ready? — https://thehackernews.com/2026/05/agent-ai-is-coming-are-you-ready.html
  2. Identity Gap: Snapshot 2026 — https://eu1.hubs.ly/H0jQ4d80
  3. What Is Identity and Access Management (IAM)? — https://www.ibm.com/think/topics/identity-access-management
  4. NIST Cybersecurity Framework 2.0 — https://www.nist.gov/cyberframework
  5. NIST SP 800-207: Zero Trust Architecture — https://csrc.nist.gov/pubs/sp/800/207/final

Typosquatting w 2026 roku: od literówki użytkownika do ryzyka w łańcuchu dostaw

Cybersecurity news

Wprowadzenie do problemu / definicja

Przez lata typosquatting kojarzył się przede wszystkim z prostym scenariuszem: użytkownik wpisywał błędny adres strony i trafiał na domenę kontrolowaną przez cyberprzestępców. W 2026 roku to zagrożenie wyraźnie zmieniło charakter. Coraz częściej nie chodzi już o pomyłkę człowieka, ale o złośliwe domeny, komponenty i zależności osadzane w legalnych pakietach, skryptach zewnętrznych, rozszerzeniach przeglądarki oraz środowiskach aplikacyjnych.

To przesunięcie sprawia, że typosquatting staje się problemem bezpieczeństwa łańcucha dostaw oprogramowania i środowiska wykonawczego przeglądarki. Z perspektywy organizacji oznacza to wzrost ryzyka trudnego do wykrycia, ponieważ złośliwy kod może działać w zaufanym kontekście i korzystać z legalnie dopuszczonych mechanizmów.

W skrócie

Współczesny typosquatting nie ogranicza się już do phishingu opartego na literówkach. Jest wykorzystywany jako element szerszych kampanii supply chain, w których podobne domeny, skompromitowane pakiety oraz legalne kanały dystrybucji służą do dostarczenia złośliwego kodu.

Klasyczne mechanizmy ochronne, takie jak firewall, WAF, EDR czy podstawowo wdrożone polityki CSP, nie zawsze zapewniają pełną widoczność tego, co uruchomiony i autoryzowany skrypt robi już po stronie przeglądarki. Problem rośnie wraz ze wzrostem liczby zależności zewnętrznych, automatyzacją generowania domen i coraz bardziej zaawansowaną obfuskacją kodu.

Kontekst / historia

Historycznie typosquatting był stosunkowo prostą techniką. Atakujący rejestrował domenę łudząco podobną do legalnej i liczył na błąd użytkownika lub skuteczność kampanii phishingowej. Ten model nadal funkcjonuje, jednak dziś coraz częściej stanowi tylko fragment większego łańcucha ataku.

Zmiana wynika z kilku równoległych trendów. Nowoczesne aplikacje internetowe korzystają z wielu zewnętrznych bibliotek, usług i skryptów. Publikowanie pakietów open source jest szybkie, zautomatyzowane i oparte na zaufaniu do maintainerów oraz rejestrów. Dodatkowo narzędzia wspierane przez AI ułatwiają tworzenie przekonujących wariantów domen, przygotowywanie infrastruktury i maskowanie złośliwych funkcji.

W efekcie typosquatting nie oznacza już wyłącznie „złej domeny”, na którą trafił użytkownik. Coraz częściej oznacza domenę używaną do eksfiltracji danych, komunikacji z infrastrukturą atakującego lub podszywania się pod legalny endpoint analityczny, ładowaną przez zaufany komponent działający wewnątrz sesji ofiary.

Analiza techniczna

Najważniejsza zmiana techniczna polega na przesunięciu punktu ataku z interakcji użytkownika na zależność programistyczną albo komponent wykonywany w środowisku przeglądarki. Atakujący nie musi już przekonywać ofiary do kliknięcia w link. Wystarczy przejęcie konta publikującego pakiet, kompromitacja rozszerzenia, podmiana zasobu z CDN lub osadzenie złośliwej logiki w zaufanym skrypcie strony trzeciej.

Takie scenariusze są szczególnie niebezpieczne, ponieważ złośliwy kod po stronie klienta może działać przed przetworzeniem danych przez backend. To oznacza, że przejęcie informacji następuje jeszcze zanim trafią one do aplikacji, a klasyczne logi serwerowe nie zawsze ujawnią moment kompromitacji.

  • odczytywanie danych z formularzy i elementów DOM,
  • przechwytywanie poświadczeń, danych płatniczych i fraz seed,
  • dynamiczne doładowywanie dodatkowych skryptów z nowo zarejestrowanych domen,
  • komunikację z infrastrukturą wyglądającą na legalną,
  • aktywację złośliwych funkcji dopiero po spełnieniu określonych warunków.

To właśnie w tym miejscu widać ograniczenia tradycyjnych zabezpieczeń. WAF koncentruje się na ruchu do aplikacji, ale nie zawsze wykryje, że dane zostały skradzione wcześniej przez skrypt działający w przeglądarce. CSP pomaga kontrolować źródła ładowania treści, ale nie rozwiązuje problemu wtedy, gdy dopuszczony origin zostanie skompromitowany albo autoryzowany skrypt zacznie wykonywać niepożądane działania.

Dodatkową trudność stanowią obfuskacja kodu i opóźniona aktywacja ładunku. Złośliwe funkcje mogą pozostać ukryte podczas analizy statycznej, a uruchamiać się dopiero na stronie płatności, po wykryciu portfela kryptowalutowego lub po spełnieniu określonych warunków środowiskowych.

Konsekwencje / ryzyko

Dla organizacji skutki takich incydentów mają wymiar operacyjny, finansowy i reputacyjny. Ataki mogą prowadzić do kradzieży danych osobowych, poświadczeń, tokenów sesyjnych, danych płatniczych oraz sekretów kryptograficznych. Ponieważ kompromitacja zachodzi w legalnym łańcuchu zaufania, czas wykrycia bywa długi, a analiza incydentu znacznie bardziej złożona.

Najbardziej narażone są środowiska, które intensywnie korzystają z komponentów zewnętrznych i przetwarzają dane wrażliwe.

  • strony płatności,
  • formularze logowania i rejestracji,
  • panele klienta,
  • aplikacje SaaS oparte na licznych integracjach,
  • środowiska CI/CD i ekosystemy open source,
  • organizacje publikujące rozszerzenia przeglądarkowe i biblioteki deweloperskie.

Ryzyko rośnie wraz z liczbą zewnętrznych skryptów uruchamianych na jednej stronie. W praktyce każda dodatkowa zależność zwiększa powierzchnię ataku. Jeśli organizacja nie monitoruje rzeczywistego zachowania komponentów w runtime, nieautoryzowane zmiany mogą przez długi czas pozostać niezauważone.

Oznacza to również, że incydent może wystąpić bez klasycznego exploita po stronie serwera i bez oczywistych sygnałów ostrzegawczych w backendzie. Taki scenariusz komplikuje zgodność regulacyjną, ocenę odpowiedzialności za dane klientów oraz zarządzanie kosztami naruszenia bezpieczeństwa.

Rekomendacje

Organizacje powinny traktować nowoczesny typosquatting jako część programu ochrony łańcucha dostaw i bezpieczeństwa aplikacji webowych po stronie klienta. Skuteczna odpowiedź wymaga połączenia widoczności runtime, kontroli zależności i dojrzałych procedur reagowania.

  • Przeprowadzić pełną inwentaryzację wszystkich skryptów, bibliotek, widgetów, tagów i komponentów ładowanych z zewnętrznych źródeł.
  • Nadać priorytet ochronie stron logowania, płatności, rejestracji i formularzy przetwarzających dane wrażliwe.
  • Monitorować zachowanie skryptów w runtime, w tym dostęp do DOM, połączenia sieciowe i dynamicznie ładowane zasoby.
  • Analizować podobne i nowo zarejestrowane domeny, zwłaszcza te przypominające legalne endpointy analityczne lub usługowe.
  • Wzmocnić bezpieczeństwo łańcucha dostaw poprzez MFA, kontrolę uprawnień publikacyjnych, podpisywanie artefaktów i ochronę procesów CI/CD.
  • Stosować mechanizmy SRI tam, gdzie jest to możliwe i operacyjnie uzasadnione.
  • Regularnie przeglądać polityki CSP, traktując je jako element warstwowej ochrony, a nie rozwiązanie kompletne.
  • Budować bazowe profile zachowania komponentów trzecich i alertować każdą nietypową zmianę.
  • Ostrożnie zarządzać aktualizacjami zależności, unikając automatycznego wdrażania zmian bez walidacji.
  • Ćwiczyć scenariusze reakcji na incydenty client-side i supply chain, w tym izolowanie skryptów oraz szybkie wycofywanie kompromitowanych komponentów.

Podsumowanie

Typosquatting w 2026 roku przestał być wyłącznie problemem błędnie wpisanego adresu. Stał się elementem nowoczesnych ataków na łańcuch dostaw, w których podobne domeny, zaufane pakiety i legalnie wyglądające rozszerzenia są wykorzystywane do przejęcia danych oraz uruchamiania złośliwego kodu w przeglądarce.

Dla zespołów bezpieczeństwa oznacza to konieczność zmiany perspektywy: samo filtrowanie domen i ochrona warstwy serwerowej już nie wystarczają. Kluczowa staje się obserwacja realnego zachowania zależności po stronie klienta, rygorystyczne zarządzanie łańcuchem dostaw oraz szybkie wykrywanie anomalii w zaufanym środowisku wykonawczym.

Źródła

  1. Typosquatting Is No Longer a User Problem. It’s a Supply Chain Problem — https://thehackernews.com/2026/05/typosquatting-is-no-longer-user-problem.html
  2. IBM Cost of a Data Breach Report 2025 — https://www.ibm.com/reports/data-breach
  3. Sonatype State of the Software Supply Chain — https://www.sonatype.com/state-of-the-software-supply-chain
  4. Sygnia Research on the chalk/debug npm compromise — https://www.sygnia.co/blog/chalk-debug-npm-attack-analysis/
  5. OWASP Third-Party JavaScript Management Cheat Sheet — https://cheatsheetseries.owasp.org/cheatsheets/Third_Party_Javascript_Management_Cheat_Sheet.html

Nadużycie SSPR w Azure i Microsoft 365 umożliwiło kradzież danych z zasobów produkcyjnych

Cybersecurity news

Wprowadzenie do problemu / definicja

Mechanizmy Self-Service Password Reset (SSPR) zostały zaprojektowane po to, aby użytkownicy mogli samodzielnie odzyskiwać dostęp do kont bez angażowania działów IT. Rozwiązanie to poprawia wygodę i skraca czas obsługi incydentów związanych z hasłami, ale jednocześnie staje się atrakcyjnym celem dla napastników, jeśli zostanie połączone z socjotechniką oraz przejęciem procesu uwierzytelniania wieloskładnikowego.

Opisana kampania pokazuje, że legalne funkcje platform Microsoft 365 i Azure mogą zostać wykorzystane jako element łańcucha ataku prowadzącego do przejęcia kont uprzywilejowanych, trwałego dostępu do środowiska i kradzieży danych z usług chmurowych oraz infrastruktury produkcyjnej.

W skrócie

Grupa śledzona jako Storm-2949 prowadziła ukierunkowane operacje przeciwko środowiskom Microsoft 365 i Azure, koncentrując się na pozyskiwaniu danych o wysokiej wartości. Atak rozpoczynał się od socjotechniki wymierzonej w użytkowników uprzywilejowanych, po czym wykorzystywano proces SSPR do resetu haseł, przejęcia kont i ponownej rejestracji metod MFA na urządzeniach kontrolowanych przez napastników.

Po uzyskaniu dostępu operatorzy przechodzili do rekonesansu w Entra ID, przeszukiwania OneDrive i SharePoint, a następnie rozszerzali działania na usługi Azure, w tym App Service, Key Vault, Storage, SQL i maszyny wirtualne. Celem nie była szybka destrukcja, lecz systematyczna eksfiltracja danych oraz utrzymanie dostępu w środowisku ofiary.

Kontekst / historia

Ataki na tożsamość od lat należą do najskuteczniejszych metod wejścia do organizacji, szczególnie w modelu chmurowym, gdzie pojedyncze konto administracyjne może zapewniać szeroki dostęp do aplikacji, danych i warstwy zarządzania. W tym przypadku szczególnie istotne jest to, że napastnicy nie polegali wyłącznie na złośliwym oprogramowaniu, lecz na nadużyciu natywnych mechanizmów administracyjnych oraz legalnych interfejsów API.

Taki model działania wpisuje się w rosnący trend wykorzystywania wbudowanych funkcji platform chmurowych. Dla zespołów bezpieczeństwa oznacza to trudniejsze wykrywanie incydentów, ponieważ część aktywności przeciwnika przypomina standardowe operacje administracyjne i może nie wzbudzać natychmiastowych alertów.

Analiza techniczna

Pierwszym etapem kampanii była socjotechnika skierowana do osób z podwyższonymi uprawnieniami, takich jak pracownicy IT czy kadra kierownicza. Napastnik inicjował proces SSPR dla wybranego użytkownika, a następnie kontaktował się z ofiarą, podszywając się pod wsparcie techniczne i nakłaniając ją do zatwierdzenia żądań MFA. W praktyce ofiara była przekonana, że uczestniczy w legalnej procedurze odzyskiwania dostępu.

Po skutecznym przejściu procesu resetu hasła atakujący mógł zmienić poświadczenia, usunąć dotychczasowe zabezpieczenia MFA i zarejestrować własną aplikację Microsoft Authenticator. Taki krok zapewniał trwałość dostępu i znacząco utrudniał szybkie odzyskanie kontroli nad kontem przez prawowitego użytkownika.

Kolejna faza obejmowała rekonesans środowiska z użyciem Microsoft Graph API oraz własnych skryptów. Operatorzy enumerowali użytkowników, role, aplikacje i service principals, aby ocenić zakres dostępu oraz zidentyfikować najbardziej wartościowe cele. Następnie przeszukiwali OneDrive i SharePoint w poszukiwaniu dokumentów operacyjnych, konfiguracji VPN i innych danych wspierających dalszy ruch boczny.

Po etapie SaaS atakujący rozszerzali działania na infrastrukturę Azure, korzystając ze skompromitowanych tożsamości posiadających rozległe uprawnienia RBAC. Dzięki temu mogli przejść do zasobów produkcyjnych i identyfikować kluczowe komponenty środowiska.

W przypadku Azure App Service wykorzystywano interfejsy zarządzania, takie jak FTP, Web Deploy oraz konsola Kudu. Pozwalało to na przeglądanie systemu plików aplikacji, odczyt zmiennych środowiskowych oraz wykonywanie poleceń w kontekście aplikacji, co jest szczególnie niebezpieczne w sytuacji, gdy przechowywane są tam sekrety, tokeny i parametry połączeń.

Następnie operatorzy przechodzili do Azure Key Vault, gdzie modyfikowali ustawienia dostępu i pozyskiwali sekrety, w tym dane uwierzytelniające do baz danych i connection stringi. Równolegle ingerowali w reguły sieciowe usług Azure SQL i kont Storage, pobierali klucze dostępu oraz tokeny SAS i automatyzowali proces wyprowadzania danych.

W warstwie IaaS nadużywano funkcji zarządzania maszynami wirtualnymi, takich jak VMAccess i Run Command. Umożliwiało to tworzenie nieautoryzowanych kont administracyjnych, zdalne uruchamianie skryptów oraz pozyskiwanie kolejnych poświadczeń. W końcowych etapach raportowano również instalację narzędzi zdalnego dostępu, próby osłabienia zabezpieczeń oraz działania zmierzające do utrudnienia analizy incydentu.

Konsekwencje / ryzyko

Najpoważniejsze ryzyko w tego typu operacji polega na tym, że atak rozpoczyna się od pojedynczego procesu tożsamościowego, lecz bardzo szybko eskaluje do kompromitacji wielowarstwowej. Przejęcie jednego konta uprzywilejowanego może otworzyć drogę nie tylko do dokumentów w Microsoft 365, ale także do sekretów aplikacyjnych, baz danych, zasobów produkcyjnych i maszyn wirtualnych.

Dla organizacji oznacza to zagrożenie wyciekiem danych biznesowych, poświadczeń technicznych, konfiguracji sieciowych i materiałów umożliwiających kolejne włamania. Ujawnienie sekretów z Key Vault, kluczy do Storage czy connection stringów może skutkować wtórną kompromitacją systemów nawet po odzyskaniu przejętego konta użytkownika.

Dodatkowym problemem jest legalny charakter wykorzystywanych narzędzi i usług. Część aktywności napastnika wygląda jak standardowe działania administracyjne, przez co detekcja incydentu jest znacznie trudniejsza, a pełne ustalenie skali naruszenia może wymagać długotrwałej analizy logów i artefaktów śledczych.

Rekomendacje

Organizacje korzystające z Microsoft 365 i Azure powinny traktować procesy odzyskiwania dostępu do kont jako krytyczny element powierzchni ataku. Ochrona samych zasobów chmurowych nie wystarczy, jeśli przeciwnik może przejąć tożsamość uprzywilejowanego użytkownika i wykorzystać legalne mechanizmy administracyjne do rozszerzenia dostępu.

  • Ograniczyć liczbę kont z wysokimi uprawnieniami i regularnie przeglądać przypisania RBAC.
  • Stosować zasadę najmniejszych uprawnień w Entra ID i Azure.
  • Wymusić silne, odporne na phishing metody MFA dla administratorów i kont uprzywilejowanych.
  • Wdrożyć polityki Conditional Access dla operacji wysokiego ryzyka.
  • Monitorować zdarzenia związane z resetem haseł, zmianą metod MFA i rejestracją nowych urządzeń uwierzytelniających.
  • Analizować użycie Microsoft Graph API pod kątem nietypowej enumeracji użytkowników, ról i aplikacji.
  • Przeglądać dostęp do OneDrive, SharePoint, App Service, Key Vault, Storage i SQL pod kątem anomalii oraz prób eksportu danych.
  • Ograniczać publiczny dostęp do Key Vault i Storage oraz preferować prywatne punkty końcowe.
  • Utrzymywać logi usług chmurowych przez odpowiednio długi okres na potrzeby dochodzeń.
  • Alertować na zmiany reguł firewalli, generowanie tokenów SAS, pobieranie kluczy dostępu oraz użycie Run Command i VMAccess.
  • Kontrolować instalację narzędzi zdalnego dostępu i próby wyłączania zabezpieczeń endpointów.

Z perspektywy SOC szczególnie wartościowe są scenariusze detekcyjne łączące zdarzenia tożsamościowe z aktywnością w usługach chmurowych. Sam reset hasła nie musi oznaczać incydentu, ale reset połączony z nową rejestracją MFA, wzrostem aktywności Graph API oraz nietypowym dostępem do Key Vault lub Storage powinien być traktowany jako silny wskaźnik kompromitacji.

Podsumowanie

Przypadek Storm-2949 pokazuje, że bezpieczeństwo środowisk chmurowych zależy nie tylko od ochrony zasobów, lecz przede wszystkim od odporności procesów tożsamościowych. Nadużycie SSPR w połączeniu z socjotechniką i przejęciem MFA umożliwiło płynne przejście od pojedynczego konta użytkownika do krytycznych zasobów Azure i Microsoft 365.

Dla organizacji to wyraźny sygnał, że konieczne jest równoczesne wzmacnianie obszarów IAM, monitoringu usług chmurowych oraz kontroli uprawnień administracyjnych. W praktyce to szybkie wykrywanie anomalii w procesach odzyskiwania dostępu i zmianach metod uwierzytelniania może zatrzymać incydent, zanim przerodzi się on w rozległą kradzież danych.

Źródła

  1. BleepingComputer – Microsoft Self-Service Password Reset abused in Azure data theft attacks — https://www.bleepingcomputer.com/news/security/microsoft-self-service-password-reset-abused-in-azure-data-theft-attacks/
  2. Microsoft Security Blog – How Storm-2949 turned a compromised identity into a cloud-wide breach — https://www.microsoft.com/en-us/security/blog/2026/05/18/storm-2949-turned-compromised-identity-into-cloud-wide-breach/

Webworm rozwija arsenał: EchoCreep i GraphWorm ukrywają komunikację w Discordzie oraz Microsoft Graph API

Cybersecurity news

Wprowadzenie do problemu / definicja

Grupa Webworm, łączona z działalnością cyberwywiadowczą prowadzoną w interesie Chin, została powiązana z nową falą operacji, w których wykorzystano dwa nowe tylne wejścia: EchoCreep i GraphWorm. Oba implanty wyróżniają się tym, że do komunikacji command-and-control korzystają z legalnych, powszechnie używanych usług internetowych, co utrudnia wykrywanie i pozwala ukrywać złośliwy ruch w normalnej aktywności sieciowej.

To podejście wpisuje się w coraz częstszy trend obserwowany w kampaniach APT, gdzie operatorzy rezygnują z łatwo identyfikowalnej własnej infrastruktury na rzecz nadużywania zaufanych platform chmurowych i komunikacyjnych.

W skrócie

Webworm działa co najmniej od 2022 roku i był wcześniej obserwowany w kampaniach wymierzonych w administrację publiczną oraz sektor przedsiębiorstw. W najnowszych działaniach grupa rozszerzyła swój zestaw narzędzi o dwa nowe backdoory.

  • EchoCreep wykorzystuje Discord jako kanał C2.
  • GraphWorm opiera komunikację na Microsoft Graph API i integruje się z OneDrive.
  • Operatorzy nadal używają GitHuba do przechowywania komponentów i ładunków.
  • Dodatkowo stosowane są narzędzia proxy oraz rozwiązania VPN wspierające ukrywanie aktywności i ruch lateralny.

Kontekst / historia

Choć Webworm został publicznie opisany kilka lat temu, analiza kolejnych kampanii pokazuje, że grupa stale rozwija zarówno swoje techniki, jak i zaplecze narzędziowe. W przeszłości przypisywano jej korzystanie z rodzin malware takich jak Trochilus RAT czy 9002 RAT, jednak z czasem operatorzy zaczęli przesuwać akcent z klasycznych backdoorów na tunele, proxy i komponenty komunikujące się przez legalne usługi.

Widoczna jest również zmiana w doborze celów. Wcześniejsze operacje były silnie związane z Azją i regionem postsowieckim, natomiast nowsze kampanie sugerują większe zainteresowanie Europą. Na liście potencjalnych ofiar znajdują się organizacje rządowe, instytucje publiczne oraz podmioty działające w sektorach o znaczeniu strategicznym.

Analiza techniczna

Najważniejszym elementem najnowszej aktywności Webworm jest wdrożenie dwóch nowych implantów zaprojektowanych z myślą o dyskretnej komunikacji i elastycznej obsłudze poleceń.

EchoCreep to backdoor wykorzystujący Discord do realizacji komunikacji C2. Z perspektywy obrońców oznacza to, że polecenia i odpowiedzi mogą być przesyłane przez usługę często dopuszczoną w ruchu wychodzącym. Malware umożliwia wykonywanie poleceń systemowych za pośrednictwem cmd.exe oraz transfer plików w obu kierunkach. Taki model znacząco utrudnia wykrywanie, gdy organizacja traktuje ruch do popularnych platform jako domyślnie bezpieczny.

GraphWorm jest bardziej zaawansowanym komponentem. Backdoor wykorzystuje Microsoft Graph API jako warstwę komunikacyjną i obsługuje operacje związane z OneDrive. Umożliwia uruchamianie nowych procesów, tworzenie sesji cmd.exe, pobieranie i wysyłanie plików, a także samoczynne zakończenie działania po otrzymaniu odpowiedniego polecenia od operatora. To rozwiązanie pozwala napastnikom działać w sposób bardziej elastyczny i ogranicza skuteczność detekcji opartej wyłącznie na podejrzanych domenach czy niestandardowych protokołach.

W kampanii wykorzystywano także repozytoria GitHub podszywające się pod legalne projekty, między innymi związane z WordPressem. Tego typu metoda dostarczania ładunków pozwala korzystać z reputacji zaufanej platformy i zmniejsza potrzebę utrzymywania własnej infrastruktury, którą łatwiej byłoby zidentyfikować i zablokować.

Istotnym elementem działań Webworm pozostaje też warstwa pośrednicząca. Grupa miała używać SoftEther VPN oraz własnych narzędzi proxy, takich jak WormFrp, ChainWorm, SmuxProxy i WormSocket. W praktyce oznacza to nacisk na tunelowanie, szyfrowanie i łańcuchowanie połączeń przez wiele hostów, co utrudnia analizę ścieżki ruchu, przypisanie aktywności do jednego punktu wejścia i pełne odtworzenie przebiegu incydentu.

Nadal nie ustalono jednoznacznie, jaki był pierwotny wektor dostępu w opisywanych incydentach. Dostępne ustalenia wskazują jednak, że operatorzy prowadzili rozpoznanie z użyciem powszechnie dostępnych narzędzi do wyszukiwania katalogów, plików i podatności w publicznie wystawionych serwerach WWW.

Konsekwencje / ryzyko

Wykorzystanie Discorda, GitHuba i Microsoft Graph API znacząco zwiększa ryzyko dla organizacji, które opierają wykrywanie głównie na blokowaniu podejrzanych adresów lub domen. Ruch do legalnych usług chmurowych i platform społecznościowych może wyglądać jak zwykła aktywność użytkownika lub aplikacji, przez co złośliwe działania łatwiej ukrywają się w tle.

Dla zespołów SOC oznacza to konieczność przesunięcia nacisku z prostego filtrowania reputacyjnego na analizę behawioralną. Szczególnie niebezpieczne są scenariusze, w których skompromitowany host używa legalnych interfejsów API do wykonywania poleceń, przesyłania danych i utrzymywania trwałości. Taki model osłabia skuteczność tradycyjnych wskaźników kompromitacji, zwłaszcza gdy przeciwnik regularnie zmienia artefakty i infrastrukturę pośredniczącą.

Dodatkowym problemem jest zastosowanie proxy i VPN do budowania wielowarstwowych ścieżek komunikacji. W praktyce utrudnia to ustalenie skali incydentu, wykrycie wszystkich zaangażowanych hostów i ocenę zakresu ewentualnej eksfiltracji danych.

Rekomendacje

Organizacje powinny traktować ruch do legalnych platform chmurowych i komunikacyjnych jako obszar wymagający inspekcji kontekstowej, a nie jako ruch automatycznie zaufany. Kluczowe staje się monitorowanie nietypowych wywołań API, anomalii w wykorzystaniu OneDrive, GitHuba i komunikatorów oraz korelowanie tych zdarzeń z aktywnością procesów lokalnych.

W środowiskach Windows szczególną uwagę należy zwrócić na nietypowe uruchomienia cmd.exe, tworzenie nowych procesów przez nieznane binaria oraz transfery plików inicjowane przez procesy, które normalnie nie komunikują się z usługami chmurowymi.

  • Ograniczać ruch wychodzący tylko do uzasadnionych usług i segmentować sieć.
  • Wzmacniać uwierzytelnianie oraz kontrolę dostępu do kont chmurowych.
  • Korelować logi z warstwy proxy, EDR, DNS i usług SaaS w jednym procesie detekcyjnym.
  • Regularnie skanować publicznie dostępne zasoby pod kątem błędnych konfiguracji i podatności.
  • Budować reguły wykrywające nadużycia legalnych narzędzi administracyjnych oraz nietypowe użycie tuneli i proxy.
  • Rozszerzać playbooki reagowania o scenariusze związane z nadużyciem usług SaaS jako kanału C2.

Podsumowanie

Aktywność Webworm pokazuje, że nowoczesne kampanie APT coraz częściej wykorzystują zaufane usługi internetowe jako element infrastruktury operacyjnej. EchoCreep i GraphWorm są przykładami narzędzi zaprojektowanych tak, aby łączyć skuteczność działania z maksymalnym utrudnieniem detekcji.

Dla obrońców najważniejszy wniosek jest jasny: zaufane platformy nie mogą być uznawane za bezpieczne z definicji. Skuteczna ochrona wymaga pełniejszej obserwowalności, analizy zachowań procesów i użytkowników oraz korelacji danych z wielu warstw środowiska.

Źródła

  1. The Hacker News — https://thehackernews.com/2026/05/webworm-deploys-echocreep-and-graphworm.html
  2. WeLiveSecurity / ESET Research — https://www.welivesecurity.com/en/eset-research/webworm-new-burrowing-techniques/

Microsoft publikuje mitigację dla YellowKey: obejście BitLocker oznaczone jako CVE-2026-45585

Cybersecurity news

Wprowadzenie do problemu / definicja

Microsoft opublikował działania ograniczające ryzyko dla podatności YellowKey, oznaczonej jako CVE-2026-45585. Problem dotyczy mechanizmu ochrony BitLocker i umożliwia obejście zabezpieczenia w określonych warunkach przed uruchomieniem systemu, przede wszystkim w scenariuszach zakładających fizyczny dostęp do urządzenia.

Nie jest to klasyczna luka prowadząca do zdalnego wykonania kodu czy pełnego przejęcia hosta przez sieć. Zagrożenie koncentruje się na poufności danych zapisanych na nośniku, ponieważ atakujący może wykorzystać zaufane środowisko przedstartowe do uzyskania dostępu do woluminu chronionego przez BitLocker.

W skrócie

YellowKey to publicznie ujawniona podatność typu security feature bypass w systemach Windows i Windows Server. W opisywanym scenariuszu ataku wykorzystywane są zachowania Windows Recovery Environment oraz komponenty powiązane z obsługą FsTx, co może doprowadzić do uruchomienia uprzywilejowanej powłoki z dostępem do danych na zaszyfrowanym woluminie.

  • luka została oznaczona jako CVE-2026-45585,
  • atak wymaga fizycznego dostępu do urządzenia,
  • problem nie polega na złamaniu kryptografii BitLocker,
  • Microsoft zaleca modyfikację obrazu WinRE,
  • dodatkową kontrolą ochronną jest przejście z TPM-only na TPM+PIN.

Kontekst / historia

BitLocker od lat stanowi natywny mechanizm pełnodyskowego szyfrowania w systemach Windows. Jego głównym celem jest ochrona danych po utracie, kradzieży lub nieautoryzowanym przejęciu urządzenia. W typowych wdrożeniach ważną rolę odgrywa moduł TPM, który wspiera weryfikację integralności procesu rozruchu i może automatycznie odblokować wolumin, jeśli środowisko startowe spełnia oczekiwane warunki.

W przypadku YellowKey problem nie wynika jednak ze słabości algorytmów szyfrowania. To obejście funkcji bezpieczeństwa, które podważa zaufanie do sekwencji odzyskiwania przed uruchomieniem właściwego systemu operacyjnego. Publiczne ujawnienie problemu wraz z proof-of-concept podnosi ryzyko szybkiego wykorzystania, szczególnie wobec urządzeń pozostających poza ścisłą kontrolą fizyczną.

Według opisu problem obejmuje wybrane nowoczesne wersje Windows 11 dla architektury x64 oraz Windows Server 2025. Oznacza to, że luka ma znaczenie nie tylko dla środowisk użytkowników końcowych, ale także dla infrastruktury serwerowej, jeśli lokalny dostęp do urządzenia nie jest odpowiednio ograniczony.

Analiza techniczna

Scenariusz YellowKey koncentruje się na łańcuchu rozruchu oraz działaniu Windows Recovery Environment. Z publicznych opisów wynika, że atakujący przygotowuje odpowiednio spreparowane pliki FsTx i umieszcza je na nośniku USB albo partycji EFI, a następnie wymusza uruchomienie środowiska odzyskiwania.

W efekcie możliwe staje się uzyskanie powłoki działającej w zaufanym kontekście przedstartowym, z szerokim dostępem do danych znajdujących się na woluminie chronionym przez BitLocker. To kluczowe rozróżnienie: szyfrowanie nie zostaje matematycznie złamane, lecz ominięte przez nadużycie ścieżki rozruchowej i narzędzi pomocniczych obecnych w WinRE.

Microsoft wskazał mitigację techniczną polegającą na modyfikacji obrazu Windows Recovery Environment. Procedura obejmuje zamontowanie obrazu WinRE, podłączenie odpowiedniej gałęzi rejestru, usunięcie wpisu odpowiadającego za automatyczne uruchamianie autofstx.exe z wartości BootExecute, a następnie zapisanie zmian i ponowne ustanowienie zaufania BitLocker do zmodyfikowanego środowiska odzyskiwania.

Z perspektywy bezpieczeństwa równie ważne jest odejście od modelu TPM-only. Gdy urządzenie korzysta wyłącznie z TPM, wolumin może zostać automatycznie odblokowany po spełnieniu warunków integralności platformy. Dodanie kodu PIN wymusza drugi czynnik uwierzytelnienia przed odszyfrowaniem dysku i znacząco utrudnia wykorzystanie ataku opierającego się na samym fizycznym dostępie do sprzętu.

Konsekwencje / ryzyko

Najpoważniejszą konsekwencją CVE-2026-45585 jest możliwość utraty poufności danych, jeśli napastnik uzyska fizyczny dostęp do stacji roboczej lub serwera. Ryzyko jest szczególnie istotne w organizacjach, które traktowały BitLocker w konfiguracji TPM-only jako wystarczającą ochronę przed atakami offline.

  • laptopy pracowników mobilnych,
  • urządzenia pozostawiane bez nadzoru,
  • systemy w oddziałach z ograniczoną kontrolą fizyczną,
  • sprzęt zwracany po zakończeniu pracy użytkownika,
  • serwery z niewystarczająco zabezpieczoną konsolą lokalną.

Atak nie wymaga wcześniejszego przejęcia konta, obecności malware ani dostępu sieciowego. To sprawia, że YellowKey jest szczególnie niebezpieczny w scenariuszach kradzieży sprzętu, działań insidera oraz sytuacjach, w których przeciwnik może analizować urządzenie poza organizacją.

Luka przypomina też, że bezpieczeństwo danych spoczywających zależy nie tylko od jakości kryptografii, ale również od integralności całej ścieżki preboot, polityk startowych, konfiguracji firmware oraz skuteczności fizycznych zabezpieczeń sprzętu.

Rekomendacje

Administratorzy i zespoły bezpieczeństwa powinni potraktować ten problem jako priorytet w obszarze hardeningu stacji roboczych i serwerów. Odpowiedź na ryzyko powinna obejmować zarówno działania techniczne, jak i organizacyjne.

  • Zastosować mitigację Microsoft dla WinRE – zmodyfikować obraz Windows Recovery Environment zgodnie z opublikowaną procedurą i usunąć automatyczne uruchamianie autofstx.exe przez BootExecute.
  • Przejść z TPM-only na TPM+PIN – to najważniejsza kontrola kompensacyjna, która znacząco podnosi odporność na ataki wymagające wyłącznie fizycznego dostępu.
  • Włączyć dodatkowe uwierzytelnianie przy starcie – szczególnie na nowo wdrażanych urządzeniach warto wymusić polityki dodatkowej autoryzacji podczas rozruchu.
  • Ograniczyć bootowanie z nośników zewnętrznych – w UEFI/BIOS należy rozważyć blokadę startu z USB, ochronę ustawień firmware hasłem oraz użycie Secure Boot tam, gdzie jest to możliwe.
  • Wzmocnić kontrolę fizyczną nad urządzeniami – procedury dotyczące transportu, przechowywania i zwrotu sprzętu powinny uwzględniać ryzyko ataków offline.
  • Zidentyfikować systemy o najwyższym ryzyku – priorytetowo potraktować urządzenia kadry kierowniczej, administratorów, działów finansowych, prawnych i badawczo-rozwojowych.
  • Zaktualizować playbooki reagowania – scenariusze związane z utratą laptopa lub serwera powinny zakładać, że sam BitLocker w trybie TPM-only może nie zapewniać pełnej ochrony.

Podsumowanie

YellowKey, oznaczone jako CVE-2026-45585, pokazuje, że skuteczność ochrony oferowanej przez szyfrowanie pełnodyskowe zależy od integralności całego procesu rozruchu, a nie wyłącznie od siły zastosowanych mechanizmów kryptograficznych. Publiczna dostępność informacji o luce i opisów technicznych zwiększa presję na szybkie wdrożenie środków ograniczających ryzyko.

W praktyce organizacje powinny niezwłocznie przeanalizować swoją ekspozycję, wdrożyć mitigację dla WinRE oraz odchodzić od modelu TPM-only na rzecz TPM+PIN. Dla wielu środowisk będzie to najbardziej efektywna odpowiedź na ryzyko nieautoryzowanego dostępu do danych po przejęciu urządzenia.

Źródła

  1. Microsoft Releases Mitigation for YellowKey BitLocker Bypass CVE-2026-45585 Exploit — https://thehackernews.com/2026/05/microsoft-releases-mitigation-for.html
  2. BitLocker overview | Microsoft Learn — https://learn.microsoft.com/en-us/windows/security/operating-system-security/data-protection/bitlocker/
  3. Configure BitLocker | Microsoft Learn — https://learn.microsoft.com/en-us/windows/security/operating-system-security/data-protection/bitlocker/configure
  4. Security Update Guide – CVE-2026-45585 | Microsoft Security Response Center — https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45585

GitHub bada naruszenie po kompromitacji urządzenia pracownika i wycieku tysięcy wewnętrznych repozytoriów

Cybersecurity news

Wprowadzenie do problemu / definicja

GitHub prowadzi dochodzenie dotyczące nieautoryzowanego dostępu do wewnętrznych repozytoriów po ujawnieniu przez grupę TeamPCP informacji o sprzedaży skradzionych danych. Według dostępnych ustaleń wektor ataku miał obejmować kompromitację urządzenia pracownika z użyciem zatrutego rozszerzenia do Visual Studio Code. To kolejny przykład zagrożeń wymierzonych w łańcuch dostaw oprogramowania, w których celem są narzędzia deweloperskie, poświadczenia oraz uprzywilejowany dostęp do środowisk inżynieryjnych.

W skrócie

  • GitHub potwierdził wykrycie i powstrzymanie kompromitacji urządzenia pracownika.
  • Aktualna ocena wskazuje, że incydent dotyczył wewnętrznych repozytoriów, a nie danych klientów poza tym zakresem.
  • Skala wycieku ma obejmować około 3800–4000 wewnętrznych repozytoriów.
  • Firma przeprowadziła rotację krytycznych sekretów i nadała priorytet ochronie poświadczeń o najwyższym znaczeniu operacyjnym.
  • Sprawa podkreśla rosnące ryzyko ataków typu supply chain wymierzonych w środowiska developerskie.

Kontekst / historia

Incydent wpisuje się w szerszy wzrost aktywności grup atakujących ekosystem open source i infrastrukturę tworzenia oprogramowania. W ostatnich latach cyberprzestępcy coraz częściej skupiają się nie na bezpośrednim ataku na produkcję, lecz na wcześniejszych etapach cyklu życia aplikacji. Obejmuje to stacje robocze programistów, rozszerzenia IDE, systemy build, tokeny publikacyjne, konta maintainerów oraz pipeline’y CI/CD.

Z perspektywy bezpieczeństwa oznacza to zmianę modelu ryzyka. Repozytorium kodu nie jest już jedynym zasobem wymagającym ochrony. Równie ważne stają się lokalne środowiska pracy, konfiguracje Git i SSH, integracje z chmurą, magazyny sekretów oraz narzędzia pomocnicze używane przez zespoły inżynieryjne. Kompromitacja jednego z tych elementów może otworzyć drogę do szerzej zakrojonego naruszenia.

Analiza techniczna

Najważniejszy element techniczny tej sprawy to wskazanie na zatrute rozszerzenie do Visual Studio Code jako prawdopodobny komponent początkowej kompromitacji. Rozszerzenia IDE działają bardzo blisko procesu tworzenia oprogramowania i często mają szeroki dostęp do plików projektu, sesji użytkownika, konfiguracji narzędzi oraz lokalnych tokenów. W praktyce oznacza to, że złośliwy dodatek może stać się wydajnym narzędziem do kradzieży danych i przygotowania dalszych etapów ataku.

W takim scenariuszu napastnicy mogą uzyskać dostęp do wielu zasobów jednocześnie. Chodzi nie tylko o kod źródłowy, ale również o dane operacyjne, konfiguracje bezpieczeństwa i informacje o architekturze środowiska. To właśnie ta dodatkowa wiedza często ma najwyższą wartość przy planowaniu kolejnych działań ofensywnych.

  • kradzież tokenów dostępu, ciasteczek sesyjnych i kluczy API,
  • odczyt lokalnych konfiguracji Git, SSH i narzędzi chmurowych,
  • enumeracja repozytoriów i organizacji dostępnych dla użytkownika,
  • masowe pobieranie lub archiwizacja kodu źródłowego,
  • utrzymanie trwałości w środowisku deweloperskim,
  • umożliwienie ruchu bocznego do systemów CI/CD i infrastruktury wewnętrznej.

Wyciek wewnętrznych repozytoriów może obejmować znacznie więcej niż sam kod aplikacji. W takich zasobach często znajdują się skrypty automatyzacyjne, definicje infrastruktury jako kodu, dokumentacja techniczna, narzędzia detekcyjne, konfiguracje wdrożeniowe czy historyczne sekrety. Nawet jeśli poświadczenia zostaną szybko zrotowane, napastnicy nadal mogą wykorzystać pozyskaną wiedzę o nazwach usług, relacjach zaufania, modelach uprawnień i procesach publikacji oprogramowania.

Konsekwencje / ryzyko

Najważniejsze ryzyko krótkoterminowe dotyczy wtórnego użycia przejętych informacji w kolejnych operacjach. Dotyczy to zarówno prób ataków na samą organizację, jak i działań wymierzonych w partnerów, pracowników, kontraktorów czy elementy ekosystemu open source powiązane z naruszonym środowiskiem. Tego typu incydent zwiększa również skuteczność ukierunkowanego phishingu i socjotechniki, ponieważ napastnicy mogą korzystać z realnych informacji o infrastrukturze i procesach firmy.

  • ataków wymierzonych w pracowników i współpracowników,
  • nadużycia wiedzy o wewnętrznej architekturze organizacji,
  • prób kompromitacji pipeline’ów build i release,
  • ataków na zależności open source oraz zaufane pakiety,
  • wzrostu ryzyka reputacyjnego dla dostawcy platformy developerskiej.

W ujęciu strategicznym incydent potwierdza, że środowiska deweloperskie należy traktować jako infrastrukturę krytyczną. Naruszenie pojedynczego endpointu inżyniera może stać się punktem wyjścia do eksfiltracji kodu, przejęcia sekretów, manipulacji zależnościami i prób wpływania na cały proces dostarczania oprogramowania.

Rekomendacje

Organizacje powinny potraktować ten przypadek jako sygnał do przeglądu zabezpieczeń stacji roboczych deweloperów oraz całego łańcucha tworzenia i publikacji oprogramowania. Ochrona musi obejmować zarówno użytkownika, jak i narzędzia, których używa na co dzień.

  • wdrożenie list dozwolonych rozszerzeń IDE i procesu zatwierdzania dodatków,
  • objęcie stacji roboczych deweloperów rozwiązaniami EDR/XDR oraz ścisłą polityką aktualizacji,
  • stosowanie zasady najmniejszych uprawnień dla kont, tokenów i kluczy API,
  • preferowanie poświadczeń krótkotrwałych, federacyjnych i automatycznie rotowanych,
  • regularna inwentaryzacja i rotacja sekretów wraz z mapowaniem ich użycia,
  • hardening repozytoriów, runnerów i systemów CI/CD,
  • monitorowanie anomalii w dostępie do kodu, takich jak masowe klonowanie repozytoriów,
  • prowadzenie ćwiczeń typu tabletop dla scenariuszy supply chain.

Szczególnie ważna jest kontrola zaufania wobec rozszerzeń IDE i narzędzi pomocniczych. To obszar, który przez lata bywał traktowany jako element produktywności, a nie bezpieczeństwa. Tymczasem właśnie tam przecinają się uprawnienia użytkownika, dostęp do kodu i możliwość pozyskania cennych sekretów.

Podsumowanie

Badany incydent pokazuje, że kompromitacja urządzenia pracownika może wywołać skutki znacznie szersze niż klasyczne naruszenie endpointu. W nowoczesnym środowisku developerskim stacja robocza, IDE, repozytorium, system CI/CD i ekosystem pakietów tworzą jeden połączony łańcuch ryzyka. Deklarowana skala eksfiltracji tysięcy wewnętrznych repozytoriów podkreśla, jak cenne operacyjnie są dziś zasoby inżynieryjne oraz jak istotne staje się zarządzanie zaufaniem wobec narzędzi używanych przez programistów.

Dla organizacji kluczowy wniosek jest praktyczny: bezpieczeństwo łańcucha dostaw oprogramowania trzeba projektować całościowo, od stacji roboczej dewelopera po publikację artefaktu. Ochrona samego repozytorium nie wystarcza, jeśli napastnik może wejść do środowiska przez rozszerzenie IDE, lokalny token lub przejętą sesję użytkownika.

Źródła

  1. The Hacker News — https://thehackernews.com/2026/05/github-investigating-teampcp-claimed.html
  2. GitHub Status / komunikaty GitHub na X — https://x.com/githubstatus
  3. Wiz Research — https://www.wiz.io/
  4. SafeDep — https://safedep.io/
  5. StepSecurity — https://www.stepsecurity.io/