Archiwa: Security News - Strona 251 z 267 - Security Bez Tabu

Kategoria: Security News

Firefox wymaga od nowych rozszerzeń pełnej jawności zbierania danych. Co się zmienia od 3 listopada 2025?

Wprowadzenie do problemu / definicja luki

Mozilla ogłosiła, że od 3 listopada 2025 r. wszystkie nowe dodatki (extensions) do Firefoksa muszą jednoznacznie zadeklarować praktyki zbierania lub transmisji danych osobowych w pliku manifest.json. Informacja ta będzie widoczna podczas instalacji dodatku, a także na stronie listingu w AMO i w about:addons. W pierwszej połowie 2026 r. nowy wymóg ma objąć wszystkie rozszerzenia.

W skrócie

  • Start: 3 listopada 2025 r. – obowiązkowe deklaracje dla nowo zgłaszanych dodatków.
  • Zakres: klucz browser_specific_settings.gecko.data_collection_permissions w manifest.json określający, czy i jakie dane są zbierane/transmitowane (w tym możliwość zadeklarowania „nie zbieram żadnych danych”).
  • Widoczność dla użytkownika: komunikat przy instalacji, karta dodatku w AMO oraz sekcja „Uprawnienia i dane” w about:addons.
  • Zgodność wstecz: dla Firefox < 140 (desktop) / < 142 (Android) developer musi nadal zapewnić własny, wyraźny mechanizm zgody/kontroli.
  • Eskalacja: od I poł. 2026 r. ramy mają być obowiązkowe dla wszystkich rozszerzeń.

Kontekst / historia / powiązania

Mozilla od lat porządkuje zasady dodatków w duchu „No Surprises” – brak niespodzianek dla użytkownika. Zaktualizowane polityki rozszerzeń precyzują m.in. ograniczenia transmisji danych oraz wymogi zgody użytkownika na ich przetwarzanie. Nowy obowiązek deklaracji w manifeście wzmacnia tę filozofię i przenosi kluczowe informacje bliżej momentu instalacji.

Równolegle Chrome Web Store już od 2021 r. wymaga od twórców rozszerzeń deklaracji praktyk prywatności (sekcja Privacy practices), co pokazuje, że transparentność stała się rynkowym standardem.

Analiza techniczna / szczegóły wdrożenia

  • Nowy klucz w manifeście:
    browser_specific_settings.gecko.data_collection_permissions – służy do enumeracji kategorii danych osobowych, które rozszerzenie zbiera lub przesyła na zewnątrz. Jeśli nic nie zbiera, należy to explicite zadeklarować (wartość „none”). Po wprowadzeniu tego klucza dodatek musi go utrzymywać w kolejnych wersjach. Błędne/niepełne ustawienie uniemożliwi publikację (odrzucenie przy podpisywaniu w AMO).
  • Prezentacja użytkownikowi:
    Firefox parsuje manifest i pokazuje zebrane deklaracje w oknie instalacji, obok żądanych uprawnień API; ponadto informacje trafiają na listę w AMO i do about:addons.
  • Zgodność oraz wyjątki:
    Dla wersji Firefoksa < 140 (desktop) i < 142 (Android), jeżeli dodatek nie korzysta z wbudowanego mechanizmu zgody, twórca musi po instalacji wyświetlić własny, czytelny prompt zgody/zarządzania transmisją danych. Zasady opisują, jak ma wyglądać „unmissable” consent UI oraz kiedy wystarczy zgoda implicytna (single-use, self-evident).

Praktyczne konsekwencje / ryzyko

  • Dla użytkowników: łatwiej odróżnić rozszerzenia wymagające szerokiego dostępu do danych od takich, które nic nie zbierają. Mniejsza szansa na „ciemne wzorce” i ukryte telemetry.
  • Dla twórców: konieczność rzetelnego mapowania przepływów danych i utrzymywania zgodności deklaracji z rzeczywistym działaniem (ryzyko blokady publikacji przy nieścisłościach).
  • Dla zespołów bezpieczeństwa: możliwość tworzenia polityk allow-list opartych o deklaracje w manifeście i weryfikacji zgodności w pipeline’ach CI (np. skan manifest.json pod kątem data_collection_permissions).
  • Ryzyko niewłaściwych deklaracji: podobnie jak w ekosystemie Chrome, gdzie błędne lub mylące deklaracje prowadziły do usunięć z Web Store, niewiarygodne opisy mogą skutkować odrzuceniem dodatku i ryzykiem reputacyjnym.

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników i administratorów:

  1. Przed instalacją sprawdzaj sekcję zbierania danych w oknie instalatora oraz na stronie dodatku w AMO.
  2. W środowiskach korporacyjnych wymuś politykę dopuszczającą wyłącznie rozszerzenia z deklaracją „none” lub z minimalnym, uzasadnionym zakresem.
  3. Audytuj istniejący zestaw rozszerzeń pod kątem planowanej zmiany w 2026 r. – zaplanuj alternatywy dla dodatków, które zbierają nadmiarowe dane.

Dla deweloperów dodatków:

  1. Zidentyfikuj kategorie danych (zgodnie z taksonomią i politykami AMO) i odzwierciedl je w data_collection_permissions. Zaplanuj wartość „none”, jeśli nic nie zbierasz.
  2. Dla kompatybilności z wersjami < 140 (desktop) / < 142 (Android) zaimplementuj własny, „unmissable” consent UI zgodnie z wytycznymi (jedna strona, jasne opcje, brak wzorców zwodniczych).
  3. Test CI: dodaj walidator schematu manifestu, który sprawdzi obecność i spójność data_collection_permissions; traktuj niespójność jako build breaker.
  4. Dokumentuj zmiany – każda wersja po wprowadzeniu klucza musi go utrzymywać; brak lub błąd = odrzucenie w AMO.

Różnice / porównania z innymi przypadkami

  • Firefox (2025/2026): deklaracje w manifeście + natywna prezentacja przy instalacji; rygorystyczne wymogi UX zgody dla starszych wersji; etapowe wdrożenie (najpierw nowe dodatki, potem wszystkie).
  • Chrome Web Store (od 2021): deklaracje praktyk w Privacy practices w panelu dewelopera i na stronie listingu, certyfikacja zgodności z polityką Limited Use; egzekwowanie poprzez ostrzeżenia i możliwe usunięcie z katalogu.

Podsumowanie / kluczowe wnioski

Mozilla przenosi informację o prywatności tam, gdzie ma największy efekt – do okna instalacji i manifestu. Dla użytkowników to szybsza, czytelniejsza ocena ryzyka; dla deweloperów – wymóg inwentaryzacji danych i spójnych deklaracji. Organizacje powinny już teraz kształtować politykę rozszerzeń, bo w I połowie 2026 r. ramy mają objąć cały ekosystem dodatków do Firefoksa.

Źródła / bibliografia

  • Mozilla Add-ons Blog: Announcing data collection consent changes for new Firefox extensions (23 października 2025). (blog.mozilla.org)
  • SecurityWeek: New Firefox Extensions Required to Disclose Data Collection Practices (27 października 2025). (SecurityWeek)
  • BleepingComputer: Mozilla: New Firefox extensions must disclose data collection practices (24 października 2025). (BleepingComputer)
  • Firefox Extension Workshop – Add-on Policies: Data Collection and Transmission Disclosure and Control. (Firefox Extension Workshop)
  • Chromium Blog: Transparent privacy practices for Chrome Extensions (18 listopada 2020). (Chromium Blog)

Stare luki w wtyczkach GutenKit i Hunk Companion masowo wykorzystywane do ataków na WordPressa

Wprowadzenie do problemu / definicja luki

Defiant (Wordfence) ostrzega przed nową falą masowych ataków na strony WordPress, w których przestępcy wykorzystują trzy krytyczne luki w dwóch popularnych wtyczkach: GutenKit oraz Hunk Companion. Według podsumowania SecurityWeek, kampania ponownie rozkręciła się 8 października 2025 r., a w ciągu dwóch tygodni zablokowano ok. 9 mln prób eksploatacji tych błędów. Ataki polegają m.in. na nieautoryzowanej instalacji/aktywacji wtyczek oraz przesyłaniu plików pozwalających na przejęcie witryny i utrzymanie dostępu.

W skrócie

  • Dotknięte wtyczki: GutenKit (≤ 2.1.0/2.1.0; naprawa w 2.1.1), Hunk Companion (luki do 1.8.4 i obejście naprawy – CVE-2024-11972; naprawy min. w 1.8.5).
  • Skutki: możliwość RCE poprzez instalację złośliwych lub podatnych wtyczek, upload backdoorów, automatyczne logowanie jako administrator, masowe „deface’y”.
  • Skala: miliony zablokowanych prób; fala od 8.10.2025 r., raporty potwierdzające kampanię również poza Defiant.
  • Działania natychmiastowe: aktualizacja do najnowszych wersji, przegląd logów/plików pod kątem IOC, rotacja haseł i kluczy, twarde reguły WAF i ograniczenia API.

Kontekst / historia / powiązania

Obie luki są „znane” od 2024 r. i mają przypisane identyfikatory CVE-2024-9234 (GutenKit) oraz CVE-2024-9707 i CVE-2024-11972 (Hunk Companion – druga to obejście pierwszej). Mimo że poprawki zostały opublikowane ponad rok temu, niski poziom aktualizacji w ekosystemie WordPress sprawia, że stare błędy pozostają atrakcyjnym celem dla operatorów botnetów i grup przestępczych. Najnowsza fala ataków potwierdza tę tendencję.

Analiza techniczna / szczegóły luki

GutenKit (CVE-2024-9234)

  • Błąd to brak kontroli uprawnień w funkcji odpowiadającej za instalację/aktywację wtyczek zewnętrznych (REST endpoint install-active-plugin). Skutkiem jest nieautoryzowany upload plików podszywających się pod wtyczki i możliwość aktywacji czegokolwiek – droga do RCE. Podatne były wersje ≤ 2.1.0, naprawa w 2.1.1.

Hunk Companion (CVE-2024-9707 i CVE-2024-11972)

  • W REST API wp-json/hc/v1/themehunk-import występował brak weryfikacji uprawnień, co pozwalało niezalogowanemu napastnikowi instalować/aktywować dowolne wtyczki z repozytorium, a następnie eskalować do RCE z użyciem podatnych rozszerzeń. Luka CVE-2024-11972 została opisana jako obejście poprzedniej poprawki (patch bypass). Naprawy udokumentowano co najmniej w 1.8.5 (część źródeł mówi o 1.9.0 – zalecamy najnowszą wersję).

Łańcuch ataku i artefakty

  • Defiant opisał dystrybucję złośliwego archiwum ZIP podszywającego się pod wtyczkę hostowanego na GitHubie. W paczce znajdowały się skrypty‐backdoory zapewniające persistencję, automatyczne logowanie na admina, zmiany uprawnień plików, eksfiltrację (przeglądanie/pobieranie plików, tworzenie ZIP całych katalogów), a nawet narzędzia do hurtowej defacement oraz sniffingu.

Praktyczne konsekwencje / ryzyko

  • Pełne przejęcie witryny (RCE) i trwały dostęp dzięki backdoorom.
  • Masowe nadużycia SEO/defacement, wstrzyknięcia skryptów reklamowych lub przekierowań.
  • Wycieki danych z wp-content/wp-includes oraz kopii konfiguracyjnych.
  • Lateral movement na współdzielonych hostingach poprzez wspólne zasoby.

Rekomendacje operacyjne / co zrobić teraz

  1. Natychmiastowa aktualizacja:
    • GutenKit → ≥ 2.1.1.
    • Hunk Companion → ≥ 1.8.5 (lub nowsza dostępna; część źródeł wskazuje 1.9.0).
  2. Audyt plików i IOC: poszukaj nieznanych katalogów w wp-content/plugins/ i wp-content/uploads/, plików .php w uploads/, świeżych zip/tar, skryptów z funkcjami system()/exec() oraz wpisów w wp_options (active_plugins) dodających obce wtyczki – nawiązanie do artefaktów opisanych przez Defiant.
  3. Twarde reguły WAF: blokuj/ograniczaj dostęp do newralgicznych endpointów REST, w tym install-active-plugin, themehunk-import, metod POST z niezaufanych UA/ASN; włącz weryfikację nonces i nagłówków.
  4. Ograniczenia administracyjne: zablokuj instalację wtyczek z poziomu frontu/REST (np. DISALLOW_FILE_MODS), wymuś MFA dla wp-admin/, zmniejsz powierzchnię API (application passwords, wyłącz nieużywane).
  5. Higiena kont/kluczy: rotacja haseł, keys & salts w wp-config.php; przejrzyj konta adminów (szukaj „nowych” użytkowników).
  6. Reakcja na incydent: jeżeli wykryto ślady kompromitacji – migruj na czyste środowisko, wgraj świeżą kopię WordPressa i motywu, przywróć tylko zweryfikowaną treść, a nie pliki wykonywalne.

Różnice / porównania z innymi przypadkami

  • W przeciwieństwie do klasycznych RCE przez upload w formularzach, tutaj wektor to funkcje instalacji/aktywacji wtyczek w REST API – przez to atak jest szybki i automatyzowalny (botnety).
  • Schemat przypomina wcześniejsze fale przeciw popularnym wtyczkom (np. serie przejęć poprzez installer endpoints); niezależne raporty (m.in. BleepingComputer) potwierdzają bieżącą masowość kampanii.

Podsumowanie / kluczowe wnioski

  • To nie zero-daye, ale stare luki – dlatego kluczowe jest utrzymywanie aktualizacji.
  • Atakujący wykorzystują REST API do wgrywania i aktywowania komponentów prowadzących do pełnego przejęcia strony.
  • Administratorzy powinni łączyć patching z kontrolami konfiguracyjnymi (wyłączenie możliwości instalacji, ograniczenie API), monitoringiem integralności plików i MFA.

Źródła / bibliografia

  • SecurityWeek: opis kampanii (daty, skala, modus operandi ZIP/backdoory). (SecurityWeek)
  • NVD (CVE-2024-9234 – GutenKit): szczegóły błędu i zakres wersji. (NVD)
  • NVD (CVE-2024-9707 – Hunk Companion): szczegóły endpointu i wpływu. (NVD)
  • The Hacker News (CVE-2024-11972 – obejście naprawy, wersja naprawcza 1.8.5). (The Hacker News)
  • WPScan / Baza podatności (GutenKit < 2.1.1 – Arbitrary File Upload). (WPScan)
  • (Dodatkowo o bieżącej fali) BleepingComputer: niezależne potwierdzenie masowych ataków (24.10.2025). (BleepingComputer)

Sweden’s power grid operator confirms data breach claimed by ransomware gang — co wiemy o incydencie w Svenska kraftnät (Everest)

Wprowadzenie do problemu / definicja luki

Svenska kraftnät — państwowy operator szwedzkiego systemu przesyłowego — potwierdził incydent bezpieczeństwa danych po stronie zewnętrznego, wydzielonego rozwiązania do transferu plików. Spółka podkreśliła, że dostawy energii nie zostały zakłócone, a zespół współpracuje z policją i organami cyberbezpieczeństwa nad oceną skali wycieku.

W skrócie

  • Atakujący: gang ransomware Everest twierdzący, że wykradziono ok. 280 GB danych i grożący publikacją.
  • Wektor/zakres: naruszenie dotyczy ograniczonego, zewnętrznego systemu wymiany plików; systemy krytyczne i zasilanie nie zostały naruszone według aktualnych ocen.
  • Status: trwające dochodzenie, zaangażowane służby państwowe; brak publicznej atrybucji.

Kontekst / historia / powiązania

O zdarzeniu poinformowano publicznie w niedzielę 26 października 2025 r. (wykrycie miało miejsce w sobotni wieczór, 25 października). W tym samym czasie Everest umieścił żądania i deklaracje na swoim serwisie wyciekowym. Sprawę opisały również media publiczne w Szwecji.

Analiza techniczna / szczegóły luki

Na tym etapie nie ujawniono technicznych szczegółów łańcucha ataku. Wiadomo jednak, że:

  • kompromitacja dotyczyła „avgränsad, extern filöverföringslösning” (wydzielonego, zewnętrznego narzędzia do transferu plików), co sugeruje potencjalny vektor przez aplikację MFT/SFTP/HTTP(S) z ekspozycją internetową i dostępem do buforów wymiany danych, a nie do rdzeniowych systemów sterowania (OT). Jest to wnioskowanie na podstawie opisu, nie potwierdzona informacja od operatora.
  • grupa Everest przypisała sobie atak i grozi publikacją ~280 GB danych; skala nie została niezależnie zweryfikowana.
  • operator deklaruje, że systemy krytyczne i zasilanie nie wykazują oznak naruszenia.

Co mogło się znaleźć w zasięgu?
Typowo w takich węzłach MFT przechowuje się eksporty danych organizacyjnych (umowy, projekty, raporty, dokumentację techniczną, plany prac, pliki dzienników), a także pakiety dla partnerów (np. dostawców). Jeżeli MFT pełnił rolę „skrzynki” dla wielu jednostek, to ryzyko wtórnych nadużyć (phishing ukierunkowany, podszywanie, eskalacja na partnerów) rośnie.

Praktyczne konsekwencje / ryzyko

  • Ryzyko wycieków operacyjnych: dokumentacja infrastruktury, harmonogramy prac, dane dostawców mogą umożliwić precyzyjniejsze ataki (np. spear-phishing na wykonawców podpiętych do sieci energetycznej).
  • Ryzyko reputacyjne i prawne: możliwy obowiązek notyfikacji, jeśli w plikach były dane osobowe/niejawne.
  • Brak wpływu na ciągłość zasilania (na ten moment) nie oznacza braku zagrożeń długoterminowych — wycieki informacji o topologii/zasadach operacyjnych bywają wykorzystywane w kampaniach pre-positioning.

Rekomendacje operacyjne / co zrobić teraz

Dla operatorów infrastruktury krytycznej oraz dostawców w łańcuchu SVK:

  1. Izolacja i triage MFT: pełny „containment” węzła wymiany plików, rotacja kluczy/poświadczeń, weryfikacja listy partnerów i zakresów uprawnień.
  2. Threat hunting i telemetria: przeszukanie pod kątem ewentualnych TTP grupy Everest i powiązanych narzędzi exfiltracji (np. archiwizacja, tunelowanie, nietypowe wolumeny egress). (Na dziś brak oficjalnych IoC SVK; posiłkuj się listami zaufanych CERT-ów/ISAC).
  3. Kontrole poczty i tożsamości: ujednolicone DMARC/DKIM/SPF, ostrzeżenia o podszyciach, reset haseł, MFA odporne na phishing.
  4. Hardening stref wymiany: zasada one-way (diody danych) gdzie możliwe; segregacja od AD/ERP/OT, szyfrowanie at rest, krótkie TTL dla plików, WAF + mTLS i inventory integracji.
  5. DLP i monitoring wycieków: reguły na wzorce dokumentacji technicznej, skanowanie darkweb/clearweb pod kątem artefaktów SVK.
  6. Ćwiczenia IR: scenariusze „data leak + extortion bez szyfrowania”, polityka no-pay vs. wyjątki, gotowe komunikaty do interesariuszy.

(Powyższe to dobre praktyki branżowe; SVK nie opublikowało jeszcze własnych wskazówek operacyjnych poza komunikatem o braku wpływu na zasilanie.)

Różnice / porównania z innymi przypadkami

  • Miljödata (IX–X 2025): atak łańcucha dostaw dotknął setek gmin i organizacji — przypadek o innym profilu (dostawca IT vs. operator przesyłowy), ale podobne ryzyka wtórnych nadużyć po publikacji danych.
  • Everest i sektor transport/lotnictwo (2025): grupa wcześniej przypisywała sobie ataki na podmioty z branży lotniczej — wzorzec ukierunkowania na organizacje o wysokiej wrażliwości operacyjnej. (Deklaracje grup przestępczych nie zawsze są weryfikowalne).

Podsumowanie / kluczowe wnioski

  • Potwierdzono nieuprawniony dostęp do danych w zewnętrznym systemie transferu plików w SVK; dostawy energii nie zostały zakłócone.
  • Gang Everest rości sobie prawo do ataku i grozi publikacją ~280 GB danych; trwa dochodzenie i brak jest publicznej atrybucji państwowej.
  • Największe bieżące ryzyko dotyczy wykorzystania wykradzionych dokumentów do dalszych ataków socjotechnicznych i infiltracji łańcucha dostaw.

Źródła / bibliografia

  • Komunikaty SVK o incydencie i wpływie na zasilanie. (SVK)
  • The Record (Recorded Future News): potwierdzenie incydentu i roszczeń gangu Everest (280 GB). (The Record from Recorded Future)
  • SVT Nyheter: relacja o ataku i groźbie publikacji. (SVT Nyheter)
  • Omni: przegląd ustaleń i komentarze ekspertów dot. potencjalnej wagi danych. (Omni)

CISA nakazuje załatać krytyczną lukę w WSUS na Windows Server (CVE-2025-59287). Trwa aktywne wykorzystywanie

Wprowadzenie do problemu / definicja luki

Amerykańska agencja CISA dodała do katalogu Known Exploited Vulnerabilities krytyczną lukę CVE-2025-59287 w Windows Server Update Services (WSUS) i nakazała federalnym instytucjom załatanie systemów. Podatność umożliwia zdalne wykonanie kodu (RCE) bez uwierzytelnienia na serwerze WSUS, z uprawnieniami SYSTEM. Microsoft wydał aktualizacje out-of-band dla wszystkich wspieranych wersji Windows Server. Luka jest aktywnie wykorzystywana w atakach, także po publikacji PoC.

W skrócie

  • Identyfikator: CVE-2025-59287 (CVSS: krytyczny; RCE bez interakcji użytkownika).
  • Dotyczy: wyłącznie serwerów z włączoną rolą WSUS (domyślnie wyłączona).
  • Wejście/rozprzestrzenianie: podatność potencjalnie „wormowalna” między serwerami WSUS.
  • Status: aktywne skanowanie i realne kompromitacje; dostępne PoC.
  • Działania Microsoft: łatki OOB + zalecane obejścia (tymczasowe wyłączenie WSUS / blokada 8530/8531).
  • Działania CISA: wpis w KEV i nakaz szybkiego patchowania.

Kontekst / historia / powiązania

23–24 października 2025 r. Microsoft opublikował aktualizacje poza standardowym cyklem, po tym jak badacze udostępnili proof-of-concept oraz zaczęły pojawiać się doniesienia o atakach na wystawione publicznie instancje WSUS (standardowe porty 8530/TCP (HTTP) i 8531/TCP (HTTPS)). CISA dorzuciła podatność do KEV, co w praktyce oznacza potwierdzoną eksploatację w środowiskach produkcyjnych.

Analiza techniczna / szczegóły luki

Badacze wskazują, że podatność wynika z niebezpiecznej deserializacji w przestarzałym mechanizmie (BinaryFormatter) w ścieżce przetwarzania ciasteczka autoryzacyjnego. Atakujący może wysłać specjalnie spreparowane dane do endpointu związanym z obsługą cookies (np. GetCookie()), co prowadzi do wykonania arbitralnego kodu jako SYSTEM. To umożliwia przejęcie serwera WSUS bez wcześniejszych uprawnień.

Dodatkowo zespoły reagowania (m.in. Huntress) raportują realne próby i udane włamania na hosty WSUS po publikacji łatki, co jest typowym wzorcem „patch-and-exploit”.

Praktyczne konsekwencje / ryzyko

  • Łańcuch aktualizacji jako wektor rozprzestrzeniania: kompromitacja WSUS może umożliwić podszycie się pod zaufane aktualizacje, ich podpisywanie i dystrybucję złośliwych pakietów do całej floty Windows. W środowiskach z ConfigMgr/SCCM ryzyko jest szczególnie wysokie.
  • Ruch sieciowy i ekspozycja usług: liczne instancje WSUS są zidentyfikowane w Internecie na portach 8530/8531; skanowanie tych portów to popularna technika rozpoznawcza.
  • Uprawnienia SYSTEM = pełne przejęcie: po RCE napastnik może zrzucać poświadczenia, modyfikować zasady aprobaty aktualizacji, pivotować w AD oraz trwale utrzymywać się w infrastrukturze.

Rekomendacje operacyjne / co zrobić teraz

  1. Natychmiast zainstaluj aktualizacje OOB odpowiednie dla Twojej wersji Windows Server (po instalacji wymagany restart). Przykładowo dla Windows Server 2022: KB5070884. Zastosuj OOB także zamiast zaległej łatki październikowej — Microsoft wskazuje, że OOB ją zastępuje.
  2. Jeśli patch nie jest możliwy „od ręki”: tymczasowo wyłącz rolę WSUS lub zablokuj ruch na 8530/8531/TCP (co zatrzyma dystrybucję aktualizacji, ale usunie wektor ataku). Zaplanuj jak najszybszy powrót do normalnego trybu po patchu.
  3. Inwentaryzacja i ekspozycja: zinwentaryzuj wszystkie serwery WSUS (także downstream) i sprawdź, czy nie są wystawione do Internetu na 8530/8531. W miarę możliwości ogranicz dostęp tylko z sieci zaufanych/VPN. (Porty domyślne potwierdza dokumentacja Microsoft).
  4. Hunting po kompromitacji (jeśli WSUS był wystawiony lub niezałatany):
    • Przejrzyj logi IIS/WSUS pod kątem nietypowych żądań do endpointów autoryzacyjnych.
    • Zweryfikuj łańcuch zaufania i certyfikaty używane do podpisywania lokalnie publikowanych aktualizacji; rozważ ich rotację.
    • Sprawdź listy zatwierdzonych aktualizacji pod kątem nieznanych/niestandardowych pakietów.
    • Przeprowadź skan integralności i EDR sweep serwera oraz wybranych stacji. (Wskazówki operacyjne wynikają z obserwacji zespołów reagowania.)
  5. Hardening na przyszłość: minimalizuj powierzchnię ataku WSUS (brak ekspozycji publicznej, segmentacja, WAF/reverse-proxy), monitoruj anomalie aprobat aktualizacji i integruj WSUS-related telemetry do SIEM/SOAR.

Różnice / porównania z innymi przypadkami

W odróżnieniu od wielu błędów w usługach Windows, CVE-2025-59287 dotyka komponentu zarządzania aktualizacjami. To zwiększa ryzyko supply-chain wewnątrz organizacji: przejęty WSUS może stać się „zaufanym” dystrybutorem złośliwych paczek — podobnie do scenariuszy ataków na narzędzia MDM/aktualizacyjne, ale z niższą barierą wejścia (RCE bez uwierzytelnienia). Doniesienia branżowe wskazują też, że pierwotne poprawki z Patch Tuesday były niewystarczające, dlatego Microsoft wydał aktualizacje OOB.

Podsumowanie / kluczowe wnioski

  • Patch teraz: CVE-2025-59287 jest aktywnie wykorzystywana, a WSUS to „koronny węzeł” dystrybucji aktualizacji w AD.
  • Zamknij 8530/8531 i/lub wyłącz WSUS, jeśli nie możesz od razu zaktualizować — świadomie akceptując przerwę w dostarczaniu łatek.
  • Sprawdź integralność łańcucha aktualizacji (certyfikaty, aprobaty, anomalie publikacji).
  • Ogranicz ekspozycję WSUS do sieci zaufanych i włącz telemetry/hunting.

Źródła / bibliografia

  1. BleepingComputer — nakaz CISA dla agencji federalnych i status eksploatacji. (BleepingComputer)
  2. Microsoft — strona KB (przykładowo WS2022 KB5070884) z informacjami o OOB, restarcie i zmianach funkcjonalnych. (Microsoft Support)
  3. Huntress — obserwacje ataków na WSUS po wydaniu łatek (analiza incydentów). (Huntress)
  4. HawkTrace — szczegóły techniczne PoC (deserializacja, AuthorizationCookie, BinaryFormatter / EncryptionHelper.DecryptData()). (HawkTrace)
  5. NVD (NIST) — potwierdzenie wpisu w CISA KEV dla CVE-2025-59287. (NVD)

IBM TBSM: podatność na CVE-2025-33092 i CVE-2025-33143 w komponentach DB2 — co muszą zrobić zespoły operacyjne

Wprowadzenie do problemu / definicja luki

27 października 2025 r. IBM opublikował biuletyn bezpieczeństwa informujący, że IBM Tivoli Business Service Manager (TBSM) jest podatny na dwie podatności wynikające z użycia komponentów IBM Db2/JDBC:

  • CVE-2025-33092 – przepełnienie bufora na stercie (stack-based buffer overflow) w komponencie db2fm, umożliwiające lokalne wykonanie dowolnego kodu;
  • CVE-2025-33143DoS wywołane specjalnie spreparowanym zapytaniem SQL prowadzącym do niekontrolowanej rekursji.

Podatne są instalacje TBSM 6.2.0.0 – 6.2.0.6, ponieważ wraz z TBSM dystrybuowany jest sterownik DB2 JDBC w pakiecie XMLToolkit. IBM dostarczył instrukcję natychmiastowej wymiany plików db2jcc4.jar w kilku katalogach produktu.

W skrócie

  • Dotyczy: IBM TBSM 6.2.0.0–6.2.0.6 (komponent XMLToolkit/DB2 JDBC).
  • CVE-2025-33092 (CVSS 7.8): lokalne RCE przez przepełnienie bufora w db2fm.
  • CVE-2025-33143 (CVSS 6.5): zdalny DoS przez rekursję w zapytaniu SQL (wymaga użytkownika uwierzytelnionego).
  • Brak obejść: IBM nie podaje „workaroundów”; zalecana jest aktualizacja sterownika DB2 JDBC do najnowszej wersji z gałęzi 11.5.x zgodnej z biuletynami Db2.

Kontekst / historia / powiązania

Obie luki pierwotnie opisano w biuletynach Db2 (29 lipca 2025 r.), a następnie ich wpływ rozszerzono na produkty zależne (w tym TBSM), które pakują komponenty Db2/JDBC. IBM utrzymuje centralną stronę „special builds” Db2 z kumulatywnymi poprawkami — aktualne łatki znajdują się w strumieniach 11.5.9 i 12.1.1/12.1.2. Dla TBSM istotna jest aktualizacja sterownika JDBC zgodnie z instrukcją w biuletynie TBSM.

Analiza techniczna / szczegóły luki

CVE-2025-33092

  • Wada: niewłaściwe sprawdzanie granic w komponencie db2fm prowadzące do stack-based buffer overflow.
  • Skutek: lokalny użytkownik z uprawnieniami niewysokimi (PR:L) może doprowadzić do wykonania dowolnego kodu; CVSS 7.8 (AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H).
  • Zakres: potwierdzone dla Db2 12.1.0, 12.1.1, 12.1.2 (wg NVD/IBM).

CVE-2025-33143

  • Wada: niekontrolowana rekursja podczas przetwarzania specjalnie spreparowanego zapytania SQL.
  • Skutek: Denial of Service (krytyczne obciążenie/restart procesu Db2), wymagane uprawnienia użytkownika uwierzytelnionego (PR:L); CVSS 6.5 (AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H).

Powiązanie z TBSM
TBSM nie zawiera „pełnego” serwera Db2, ale używa sterownika DB2 JDBC (XMLToolkit), więc podatność przenika przez zależność. IBM podaje precyzyjne ścieżki do wymiany db2jcc4.jar (w tym wariant z nazwą db2jcc.jar wymagający podmiany i zmiany nazwy).

Praktyczne konsekwencje / ryzyko

  • Środowiska produkcyjne TBSM narażone są na incydenty stabilności (DoS) ze strony użytkowników posiadających konto do baz/źródeł danych obsługiwanych przez sterownik DB2.
  • Ryzyko eskalacji lokalnej (jeśli komponenty Db2 są obecne na tym samym hoście) z uwagi na CVE-2025-33092 — mniejsze w kontekstach czysto zdalnych, ale krytyczne przy współlokacji narzędzi administracyjnych.
  • Brak obejść wymusza pilną aktualizację — IBM nie wskazuje mitgacji konfiguracyjnych.

Rekomendacje operacyjne / co zrobić teraz

  1. Zidentyfikuj instalacje TBSM 6.2.0.0–6.2.0.6. Priorytet dla instancji produkcyjnych i tych z ekspozycją sieciową.
  2. Wykonaj wymianę sterownika JDBC DB2 na najnowszy 11.5.x:
    • Pobierz aktualny pakiet DB2 JDBC (v11.5.x) ze strony Db2 Special Builds lub użyj pliku z istniejącej instalacji Db2 ≥ 11.5.9 z zastosowaną łatką.
    • Zatrzymaj serwery TBSM, podmień db2jcc4.jar w katalogach:
      <TBSM>/XMLtoolkit/tools/crviewer/lib/
      <TBSM>/XMLtoolkit/tools/ExportDatabaseTool/drivers/
      <TBSM>/XMLtoolkit/jars/
      (Jeśli widnieje db2jcc.jar, podmień zawartość z db2jcc4.jar i zmień nazwę na db2jcc.jar.) Następnie uruchom TBSM.
  3. Zaplanuj testy regresji (połączenia JDBC, eksport/import, narzędzia XMLToolkit) i monitoruj logi pod kątem błędów po aktualizacji.
  4. Upewnij się, że Db2 w środowisku (jeżeli współistnieje) ma zastosowane najnowsze special builds zgodnie z gałęziami 11.5.9/12.1.1/12.1.2.
  5. Wzmocnij kontrolę dostępu do zapytań (rola/PR:L) i limity zasobów w warstwie bazy, aby ograniczyć potencjalne skutki DoS do czasu pełnej aktualizacji. (Wniosek operacyjny na podstawie charakterystyki CVE-2025-33143).
  6. Subskrybuj powiadomienia IBM PSIRT dla TBSM/Db2, aby otrzymywać komunikaty o przyszłych biuletynach.

Różnice / porównania z innymi przypadkami

W 2024–2025 pojawiały się liczne biuletyny Db2 związane z DoS przy specjalnie spreparowanych zapytaniach (różne przyczyny: zwalnianie pamięci, biblioteki zależne itp.). CVE-2025-33143 wyróżnia się mechanizmem rekursji i wymaganiem PR:L (użytkownik uwierzytelniony), podczas gdy CVE-2025-33092 to klasyczne overflow w komponencie serwisowym (db2fm) i dotyczy głównie kontekstu lokalnego. W praktyce zestaw special builds zbiera poprawki kumulacyjnie — wdrożenie najświeższego sterownika/łatek zwykle remediuje cały zestaw pokrewnych problemów.

Podsumowanie / kluczowe wnioski

  • Instalacje TBSM 6.2.0.0–6.2.0.6narażone poprzez komponent DB2 JDBCbrak obejść, konieczna pilna podmiana db2jcc4.jar.
  • CVE-2025-33092 (CVSS 7.8) umożliwia lokalne RCE; CVE-2025-33143 (CVSS 6.5) może wywołać DoS specjalnie spreparowanym SQL.
  • Utrzymuj najświeższe special builds Db2 (11.5.9 / 12.1.1 / 12.1.2) i aktualny sterownik JDBC w TBSM.

Źródła / bibliografia

  • IBM: Security Bulletin — IBM TBSM is vulnerable to multiple vulnerabilities due to DB2 (CVE-2025-33092, CVE-2025-33143), publikacja 27.10.2025 (instrukcje wymiany db2jcc4.jar, wersje podatne TBSM). (IBM)
  • IBM: Security Bulletin — IBM Db2 is vulnerable to a stack-based buffer overflow (CVE-2025-33092), 29.07.2025. (IBM)
  • IBM: Security Bulletin — IBM Db2 is vulnerable to a denial of service using a specially crafted SQL statement (CVE-2025-33143), 29.07.2025. (IBM)
  • IBM: Published Security Vulnerabilities for Db2… including Special Build information (najświeższe special builds, gałęzie wsparcia). (IBM)
  • NVD: CVE-2025-33092 (opis, wektor CVSS 3.1). (NVD)

DSA-6040-1: aktualizacja bezpieczeństwa Thunderbird dla Debiana (CVE-2025-11708…11715)

Wprowadzenie do problemu / definicja luki

Debian opublikował DSA-6040-1 dotyczący pakietu thunderbird. Aktualizacja łata zestaw luk (CVE-2025-11708, -11709, -11710, -11711, -11712, -11714, -11715), które w sprzyjających warunkach mogą prowadzić do zdalnego wykonania kodu lub wycieku pamięci. Wydania naprawcze:

  • Debian 12 bookworm (oldstable): 1:140.4.0esr-1~deb12u1
  • Debian 13 trixie (stable): 1:140.4.0esr-1~deb13u1.

W skrócie

  • Problem dotyczy Thunderbird ESR 140.3 i wcześniejszych. Naprawa w Thunderbird 140.4 (ESR) i nowszych.
  • Część błędów to klasyczne memory safety (CVE-2025-11714, -11715), a inne to m.in. use-after-free w MediaTrackGraph (CVE-2025-11708) oraz problemy z WebGL i IPC pozwalające na przekroczenia zakresu i wyciek pamięci (CVE-2025-11709, -11710).
  • Debian dostarczył gotowe poprawki dla wspieranych gałęzi. Zalecana jest natychmiastowa aktualizacja.

Kontekst / historia / powiązania

Mozilla wydała biuletyn MFSA 2025-85 14 października 2025 r., grupujący poprawki w Thunderbird 140.4. Debian spiął to w DSA-6040-1 z wersjami ESR dla swoich wydań. Memory-safety CVE pojawiają się cyklicznie wraz z nowymi wersjami silnika Gecko i są traktowane jako potencjalnie umożliwiające RCE.

Analiza techniczna / szczegóły luki

Poniżej skrót opisu najistotniejszych CVE wchodzących w skład DSA-6040-1 (wg MFSA 2025-85):

  • CVE-2025-11708use-after-free w MediaTrackGraphImpl::GetInstance() (wysokie ryzyko). Typowy scenariusz: dereferencja zwolnionego wskaźnika → wykonanie arbitralnego kodu.
  • CVE-2025-11709 – odczyty/zapisy poza buforem w uprzywilejowanym procesie wyzwalane przez złośliwe tekstury WebGL (wysokie). Może prowadzić do eskalacji w modelu wieloprocesowym.
  • CVE-2025-11710 – wyciek informacji między procesami przez złośliwe komunikaty IPC (wysokie). Pozwala wydobywać bloki pamięci procesu uprzywilejowanego.
  • CVE-2025-11711 – możliwość modyfikacji nie-zapisywalnych właściwości obiektów JavaScript (wysokie). Osłabia granice bezpieczeństwa JS.
  • CVE-2025-11712 – atrybut type w OBJECT potrafił nadpisać domyślne zachowanie przeglądarki dla zasobów bez nagłówka Content-Type (umiarkowane). Może wspierać wektor XSS na źle skonfigurowanych serwerach.
  • CVE-2025-11714, CVE-2025-11715 – zbiorcze błędy bezpieczeństwa pamięci (wysokie), domniemanie podatne na RCE przy odpowiednim nakładzie pracy.

Mozilla zaznacza, że większości z tych błędów nie da się wykorzystać przez sam podgląd e-maili (skrypty są wyłączone), ale stanowią ryzyko w kontekstach przeglądarkowych (np. otwieranie linków/załączników w osadzonym web-view).

Praktyczne konsekwencje / ryzyko

  • Zdalne wykonanie kodu / przejęcie konta użytkownika przy odwiedzeniu specjalnie spreparowanej strony/zasobu przez Thunderbird w trybie przeglądarkowym.
  • Wycieki pamięci i obejście mechanizmów separacji procesów (IPC), co może ujawnić poufne dane lub ułatwić dalszą eksploatację.
  • Łańcuchy exploitów: kombinacja OOB + UAF + memory-safety zwiększa szanse stabilnego RCE.

Rekomendacje operacyjne / co zrobić teraz

  1. Zaktualizuj Thunderbird do wersji z repozytoriów bezpieczeństwa Debiana:
    • bookworm: 1:140.4.0esr-1~deb12u1trixie: 1:140.4.0esr-1~deb13u1
      Następnie:
    sudo apt update sudo apt install --only-upgrade thunderbird # lub pełna aktualizacja środowiska sudo apt full-upgrade
  2. Restart aplikacji po aktualizacji – załadujesz nowe biblioteki.
  3. Twarde polityki treści po stronie serwera (dla CVE-2025-11712): serwuj poprawny Content-Type, rozważ CSP i blokadę typu „nosniff”.
  4. Ostrożność z linkami/załącznikami w wiadomościach – otwieraj w izolowanym profilu lub sandboxie.
  5. Monitoruj wydawnictwa MFSA/DSA i bazę OVAL Debiana, aby automatyzować zgodność (np. skanery zgodne z DSA/OVAL).

Różnice / porównania z innymi przypadkami

  • To nie jest pojedyncza „krytyczna” luka 0-day jak wtyczki multimedialne; to pakiet poprawek zgodny z rutynowym cyklem ESR.
  • W porównaniu z biuletynami dla Firefox 144, klasy memory-safety są wspólne i mają podobny profil ryzyka – Debian przenosi te poprawki do gałęzi ESR Thunderbirda.

Podsumowanie / kluczowe wnioski

  • Zainstaluj aktualizację z DSA-6040-1 natychmiast – redukuje ryzyko RCE i wycieków pamięci.
  • Najbardziej ryzykowne elementy to use-after-free oraz błędy WebGL/IPC; nawet jeśli nie aktywują się przy zwykłym czytaniu maili, mogą zostać wykorzystane w scenariuszach przeglądarkowych.

Źródła / bibliografia

  • Debian Security Advisory DSA-6040-1: thunderbird security update, 26 października 2025 r. (lists.debian.org)
  • MFSA 2025-85: Security Vulnerabilities fixed in Thunderbird 140.4, 14 października 2025 r. (Mozilla)
  • Mozilla: opisy zbiorczych memory-safety (11714, 11715) powiązane z Firefox 144/ESR 140.4. (Mozilla)
  • NVD – karta CVE-2025-11708 (use-after-free, zasięg produktów). (NVD)

Mem3nt0 mori: jak Kaspersky powiązał APT ForumTroll ze szpiegowskim Dante od Memento Labs (ex-Hacking Team)

Wprowadzenie do problemu / definicja luki

Kaspersky opisał dziś kulisy kampanii Operation ForumTroll (marzec 2025), w której kliknięcie spersonalizowanego linku phishingowego prowadziło do cichej infekcji przez przeglądarkę Chrome. Badacze wykryli i zgłosili nową podatność CVE-2025-2783 (sandbox escape w komponencie Mojo), którą Google załatał w stabilnym wydaniu 134.0.6998.177/.178 z 25 marca 2025 r.

W toku dalszej analizy Kaspersky powiązał tę kampanię i pokrewny arsenał z komercyjnym spyware “Dante” rozwijanym przez Memento Labs — firmę, którą świat znał wcześniej jako Hacking Team.

W skrócie

  • Wejście: e-mail phishingowy ze spersonalizowanym, krótkotrwałym URL-em; sama wizyta w witrynie uruchamiała exploit 0-day na Chrome (Windows).
  • Eksploit: CVE-2025-2783 — eskalacja z sandboksa (Mojo/IPC), potwierdzona przez Google i NVD; poprawka 25.03.2025.
  • Łańcuch: validator → exploit → persistent loader → etap LeetAgent → właściwe moduły szpiegowskie (Dante).
  • Atrybucja: zbieżności kodu, TTP, ścieżek FS, mechanizmów trwałości oraz jawne ciągi “Dante” w binariach; kontynuacja linii RCS (Da Vinci/Galileo) po rebrandingu Hacking Team → Memento Labs.

Kontekst / historia / powiązania

Hacking Team to jedna z najbardziej rozpoznawalnych marek rynku spyware (RCS: Da Vinci/Galileo). Po wycieku ~400 GB danych w 2015 r. firma została w 2019 r. przejęta przez InTheCyber i przemianowana na Memento Labs. W 2023 r. na konferencji ISS World MEA firma ujawniła nazwę nowego produktu: DANTE. Według Kaspersky’ego kod RCS ewoluował do 2022 r., gdy został zastąpiony przez Dante.

Szersze mapowanie rynku komercyjnego spyware (NSO/Intellexa/Candiru/Paragon/Quadream/RCS Labs/Memento Labs itd.) potwierdza ciągłość działalności dostawców po rebrandingu.

Analiza techniczna / szczegóły luki

Łańcuch ataku (high-level)

  1. Phishing URL (krótko żyjący, spersonalizowany) → 2. Validator (sprawdza środowisko) → 3. Exploit CVE-2025-2783 (ucieczka z sandboksa Chrome/Windows) → 4. Persistent loader (utrwalenie) → 5. LeetAgent (staging/koordynacja) → 6. Dante (moduły szpiegowskie).

CVE-2025-2783 (Chrome Mojo)

  • Błąd klasy incorrect handle w Mojo IPC na Windows umożliwiający sandbox escape przy udziale złośliwego pliku/strony.
  • Status: wykryty in-the-wild, załatany 25.03.2025; zgłaszający: Boris Larin, Igor Kuznetsov (Kaspersky); wektor CVSS3.1 wg CISA-ADP: AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H (8.3).

Artefakty i IOCs (wybrane wzorce)

  • Folder modułów: w %LocalAppData%, nazwy katalogu i plików bez rozszerzeń to 8-bajtowe Base64; jeden z plików ma nazwę równą katalogowi — to pomocny wzorzec detekcyjny aktywnej infekcji.
  • Próbki: Kaspersky publikuje skróty (loader/LeetAgent/Dante) w sekcji IOCs.

Atrybucja do Dante / Memento Labs

  • Po zdjęciu VMProtect odkryto ciągi “Dante” oraz odniesienie do wersji “2.0” zgodne z nazwą prelekcji ISS World MEA 2023; wykryto liczne podobieństwa kodowe między późnymi próbkami RCS a Dante. Wniosek: nowy produkt zastąpił dotychczasową bazę w 2022 r.

Praktyczne konsekwencje / ryzyko

  • Ataki bezklikalne po kliknięciu linku: samo otwarcie strony w Chrome wystarczało do naruszenia (brak dodatkowej interakcji).
  • Ryzyko pełnego przejęcia hosta: sandbox escape w Chrome połączony z loaderem i modułami daje zdolności pełnego szpiegostwa (zrzuty ekranu, exfiltracja, keylogging, audio/wideo — typowe dla linii RCS/Dante).
  • Cele wysokoprofilowe: charakter kampanii (APT, spear-phishing, krótkotrwała infrastruktura) wskazuje na ukierunkowaną cyber-szpiegowską operację.

Rekomendacje operacyjne / co zrobić teraz

1) Natychmiastowe działania IT/SecOps

  • Zaktualizuj Chrome do ≥ 134.0.6998.177/.178 (Windows); sprawdź kanał Extended Stable.
  • Hunting po artefaktach: przeszukaj %LocalAppData% pod kątem katalogów/plików nazwanych 8-bajtowym Base64 (bez rozszerzeń) oraz zbieżnych mechanizmów trwałości. Zweryfikuj hosty z podejrzanymi folderami.
  • Weryfikacja IOCs: porównaj próbki z hashami opublikowanymi przez Kaspersky (loader/LeetAgent/Dante).

2) Detekcja i twardnienie

  • EDR/XDR: reguły pod CVE-2025-2783 (Mojo/handle dup), ładowanie niezaufanych DLL, nietypowe child-procesy Chrome → LOLBins, tworzenie trwałości przez rzadko używane ścieżki użytkownika. (Wzorce zgodne z opisem łańcucha Kaspersky).
  • Gateway/Proxy: czasowo-ograniczone, spersonalizowane URL-e — wzmacniać detekcję na krótko żyjące domeny, TLS fingerprinting, anomalię HTTP.
  • Kontrola przeglądarki: polityki blokujące ładowanie Mojo IPC z nieznanych źródeł, ograniczanie rozszerzeń, izolacja profili uprzywilejowanych.

3) Zarządzanie podatnościami

  • CVE-2025-2783 znajduje się w CISA KEV — egzekwuj priorytetową poprawkę zgodnie z terminem BOD 22-01 (organizacje publiczne/regulated).

4) Świadomość i procedury

  • Trenuj rozpoznawanie spear-phishingu i politykę bezpiecznego otwierania linków (otwieranie w przeglądarce izolowanej/VDI dla wrażliwych ról).

Różnice / porównania z innymi przypadkami

  • Pegasus/Intellexa/Candiru vs. Dante: ekosystemy różnią się łańcuchami eksploatacji (mobilne vs. desktopowe), ale model biznesowy (ofensywne zdolności dla rządów) i ukrywanie tożsamości w kodzie są wspólne. W przypadku Dante rzadki jest wprost odnaleziony znacznik nazwy w binariach, co ułatwiło atrybucję.
  • RCS (Da Vinci/Galileo) → Dante: ciągłość kodowa i TTP sugeruje ewolucję produktu po rebrandingu Hacking Team → Memento Labs (2022: przejście na Dante).

Podsumowanie / kluczowe wnioski

  • Operation ForumTroll to przykład APT-grade browser exploit chain: phishing → Chrome 0-day (CVE-2025-2783) → staged spyware. Google załatał błąd 25.03.2025.
  • Atrybucja do Dante/Memento Labs została potwierdzona kombinacją cech kodu, TTP i artefaktów — to “powrót” Hacking Team w nowej odsłonie.
  • Organizacje powinny patchować, huntować wg wzorców FS/IOC, wzmacniać EDR/XDR i segmentować ryzyko przeglądarki.

Źródła / bibliografia

  1. Kaspersky Securelist – “Mem3nt0 mori – The Hacking Team is back! / How we linked ForumTroll APT to Dante spyware” (analiza łańcucha, IOCs, atrybucja do Dante/Memento Labs), 27.10.2025. (Securelist)
  2. Google – Chrome Releases: Stable Channel Update for Desktop 134.0.6998.177/.178 (potwierdzenie CVE-2025-2783; “exploited in the wild”), 25.03.2025. (Chrome Releases)
  3. NVD (NIST) – CVE-2025-2783 (opis, odwołanie do CISA KEV, wektor CVSS), aktual. 24.10.2025. (NVD)
  4. Kaspersky Blog – Operation ForumTroll: APT attack with Google Chrome zero-day exploit chain, 25.03.2025. (Securelist)
  5. Atlantic Council – “Mythical Beasts and where to find them: Mapping the global spyware market…” (kontekst rynku, Memento Labs/Hacking Team), 04.09.2024. (Atlantic Council)