Archiwa: PowerShell - Strona 23 z 32 - Security Bez Tabu

Tag: PowerShell

Finger.exe & ClickFix: jak stary protokół Finger (TCP/79) wraca w nowoczesnych atakach

Wprowadzenie do problemu / definicja luki

W najnowszym wpisie SANS ISC zwrócono uwagę, że w kampaniach ClickFix napastnicy znów nadużywają starego, zapomnianego protokołu Finger oraz wbudowanego w Windows klienta finger.exe do pobierania skryptów i komend z Internetu. Finger działa po TCP/79, a klient systemowy nie obsługuje proxy, co bywa kluczowe dla obejścia polityk egress w firmach polegających na explicit proxy. Rezultat: polecenia kopiowane ręką użytkownika (esencja ClickFix) mogą ściągać i uruchamiać payloady z pominięciem części kontroli sieciowych.

W skrócie

  • ClickFix = socjotechnika „zrób to sam”: strona-lurka prowadzi ofiarę do ręcznego uruchomienia polecenia (np. w cmd/PowerShell), które pobiera i uruchamia złośliwy kod. Microsoft opisał wzorzec ataku i jego obejścia zabezpieczeń.
  • W najnowszej odsłonie atakujący używają finger.exe (Windows) do pobrania skryptu przez Finger/TCP 79 – często z serwerów kontrolowanych przez napastnika lub z serwisów skompromitowanych. Temat nagłośnił również BleepingComputer.
  • Finger to stary protokół zdefiniowany w RFC 1288; port nie jest konfigurowalny (zawsze 79/TCP).
  • finger.exe to LOLBIN: narzędzie wbudowane, znane społeczności obronnej i opisane w projekcie LOLBAS – dostępne ścieżki, przypadki nadużyć i reguły Sigma.
  • Dla SOC: patrz sekcja „Rekomendacje” – gotowe KQL/Sigma/Splunk, przykładowe reguły Suricata (TCP/79), blokady AppLocker/WDAC, kontrola egress oraz TTPs do huntów.

Kontekst / historia / powiązania

Technika ClickFix była szeroko opisywana w 2024–2025 jako sposób „ominięcia” części automatów antymalware poprzez włączenie człowieka do łańcucha ataku: ofiara sama kopiuje komendę, która robi „resztę”. To redukuje sygnał detekcyjny (mniej klasycznego „drop & exec”). Microsoft szczegółowo rozebrał ten łańcuch, wskazując m.in. malvertising, fałszywe strony „naprawy błędu” i presję czasu na ofierze. W 2025 r. media branżowe odnotowały odświeżoną falę ataków, m.in. z użyciem Finger.

Analiza techniczna / szczegóły luki

Finger: właściwości protokołu

  • Transport: TCP
  • Port: stały 79/tcp (klient łączy się na 79)
  • Model zapytań: jedna linia zapytania → odpowiedź serwera (RUIP)
  • Brak TLS/uwierzytelniania, mechanizm archaiczny, projektowany do informacji o użytkownikach/hostach.
    Te cechy pochodzą z definicji protokołu w RFC 1288.

finger.exe w Windows jako LOLBIN

  • Lokalizacje: C:\Windows\System32\finger.exe, C:\Windows\SysWOW64\finger.exe.
  • Kluczowa obserwacja obrońców: nie powinien wykonywać się na typowych stacjach końcowych; jego aktywność sieciowa do Internetu to anomalia.
  • W projekcie LOLBAS znajdziesz reguły Sigma i znane nadużycia (np. pobieranie treści jako „komunikatu” finger i pipowanie do interpretera).

Łańcuch ClickFix z użyciem Finger (przykład)

  1. Wejście: phishing/malvertising → landing z instrukcjami „naprawy” (np. „skopiuj to polecenie i wklej do Run/PowerShell”).
  2. Pobranie: finger.exe łączy się do attacker[.]domain:79, pobiera „odpowiedź” zawierającą komendy/payload (np. Base64 PowerShell). SANS ISC zwraca uwagę, że finger.exe nie jest proxy-aware (łatwiej ominąć explicit proxy) i portu 79 nie da się zmienić.
  3. Wykonanie: odpowiedź Finger bywa przekierowana do shella/interpretera (np. | powershell -), co finalnie uruchamia loader/infostealer. O samej fali nadużyć Finger w kampaniach ClickFix informował BleepingComputer.

Uwaga: Finger widziano też jako kanał eksfiltracji/transferu (LOLBIN living-off-the-land) — warto to uwzględnić w hypothesach podczas huntów. (Dobry przegląd ryzyka dają materiały analityczne i praktyka DFIR).

Praktyczne konsekwencje / ryzyko

  • Omijanie egress przez proxy: jeśli organizacja bazuje na explicit proxy i blokuje „direct to Internet”, to brak proxy-awareness w finger.exe powoduje po prostu brak wyjścia — to akurat dobra wiadomość. Jednak w sieciach z transparent proxy lub źle egzekwowanym egress (np. brak deny-all + allow-list) ruch TCP/79 może przejść.
  • Niska widoczność: wiele IDS/NGFW nie obserwuje dziś intensywnie portu 79, bo usługa jest historyczna; to czyni z Finger atrakcyjny kanał niszowy.
  • Living-off-the-land: użycie narzędzia wbudowanego (finger.exe) utrudnia polityki „block-by-default” oparte wyłącznie na hashach/znanych loaderach; trzeba sięgnąć po AppLocker/WDAC, EDR i kontrole kontekstowe.

Rekomendacje operacyjne / co zrobić teraz

1) Szybkie twardnienie (hardening)

Sieć (egress):

  • Jeśli polityka organizacji nie wymaga Finger – zablokuj TCP/79 na brzegu i w segmentach użytkowników (deny-all → allow-list).
  • W transparent proxy/NGFW dodaj reguły blokujące tcp/79 outbound.
  • (Opcjonalnie) NLA: monitoruj jakiekolwiek połączenia do zewnętrznych IP:79 w NetFlow/Zeek.

Endpoint:

  • AppLocker (EXE Rule):
    • Deny dla %WINDIR%\System32\finger.exe i %WINDIR%\SysWOW64\finger.exe w „Unrestricted → Deny unless needed”.
  • WDAC: umieść finger.exe w polityce „Deny-List” (FileNameRule albo podpis/hashe).
  • SRP: „Disallowed” dla ścieżek finger w regułach Additional Rules.

Windows Firewall (host-based) – przykład (cmd jako admin):

netsh advfirewall firewall add rule name="Block Outbound TCP 79 (Finger)" dir=out action=block protocol=TCP localport=any remoteport=79

2) Detekcja — gotowe reguły i zapytania

Sigma (proc creation – finger.exe):

title: Suspicious Use of finger.exe
id: 3d2f2f5a-isc-clickfix-finger
status: experimental
logsource:
  product: windows
  category: process_creation
detection:
  sel:
    Image|endswith:
      - '\finger.exe'
  condition: sel
fields:
  - Image
  - CommandLine
  - ParentImage
  - User
  - ComputerName
level: high
tags:
  - attack.command_and_control
  - attack.t1105

(W projekcie LOLBAS znajdziesz też oficjalną regułę Sigma dla finger.exe — zaadaptuj do swojej telemetrii.)

Defender for Endpoint / KQL (wykrycie użycia + ruchu na 79/tcp):

// Procesy finger.exe
DeviceProcessEvents
| where Timestamp > ago(14d)
| where FileName =~ "finger.exe"
| project Timestamp, DeviceName, InitiatingProcessAccountName, FolderPath, ProcessCommandLine, InitiatingProcessFileName, InitiatingProcessParentFileName

// Połączenia sieciowe inicjowane przez finger.exe do publicznych IP (port 79)
DeviceNetworkEvents
| where Timestamp > ago(14d)
| where InitiatingProcessFileName =~ "finger.exe"
| where RemotePort == 79 and RemoteIPType == "Public"
| summarize dcount(RemoteIP) by DeviceName

Splunk (Sysmon EventID=1 + net connection EventID=3):

index=win* (EventCode=1 OR EventCode=3) 
| eval is_finger=if(like(Image,"%\\finger.exe"),1,0)
| search is_finger=1 OR (EventCode=3 dest_port=79 process_name="finger.exe")
| table _time host user Image CommandLine parent_process_name dest_ip dest_port

Suricata (prosty port-based; w praktyce lepiej TLS/JA3/treść, jeśli możliwe):

alert tcp $HOME_NET any -> $EXTERNAL_NET 79 (msg:"Egress Finger protocol (TCP/79)"; flow:to_server,established; classtype:policy-violation; sid:790001; rev:1;)

Zeek (conn.log szybki hunt):

# filter: outbound connections to port 79
cat conn.log | zeek-cut id.orig_h id.resp_h id.resp_p proto service | awk '$3==79 && $4=="tcp"'

3) Reagowanie (IR)

  • Izoluj host i zbierz artefakty procesu rodzica finger.exe (kto zainicjował? cmd.exe, powershell.exe, przeglądarka?) oraz stronę/lurkę (artefakty przeglądarki, DNS Cache, Prefetch).
  • Artefakty łańcucha ClickFix: zrzuty schowka, historia RunMRU, TypedPaths, PowerShell Operational (Event ID 4104/4103), Shell-Core (ShellExecute).
  • Blokuj i burnuj: domeny/IP na 79/tcp, usuń reguły wyjątków w proksy/NGFW, zaktualizuj listy blokad w EDR.
  • User awareness: szybki komunikat do użytkowników o NIEKOPIOWANIU poleceń z pop-upów/stron „naprawczych”.

4) Testy kontrolne (Purple Team)

  • W bezpiecznym labie sprawdź, czy finger.exe w ogóle „wyjdzie” na Internet w Twojej sieci (explicit vs transparent proxy).
  • Wygeneruj kontrolowany ruch do hosta testowego na TCP/79 i upewnij się, że alertują: EDR (proc creation), NDR/IDS (port 79), SIEM (korelacja).
  • Przejrzyj atakowy playbook ClickFix z bloga Microsoft — od symulacji malvertising po ręczne wykonanie komendy — i dopasuj własne kontrolki.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • Wcześniej ClickFix częściej polegał na powershell/bitsadmin/certutil czy „curl w PowerShell” — dziś widzimy „egzotyczne” kanały jak Finger. To obniża skuteczność sygnatur i allowlist tworzonych „pod modne TTP”.
  • W przeciwieństwie do bitsadmin lub curl, finger.exe jest rzadko używany w środowiskach korporacyjnych, więc jego anomalia jest bardziej oczywista, ale jednocześnie bywa nieprzefiltrowany w egress.
  • Jako LOLBIN finger.exe pozostaje w tym samym koszyku co inne narzędzia „żyjące na systemie”, ale ma sztywny port 79 i brak proxy-awareness, co daje zarówno wektor obejścia, jak i łatwy wskaźnik do blokady.

Podsumowanie / kluczowe wnioski

  • ClickFix nadal rośnie — powrót do Finger/TCP 79 to sprytne wykorzystanie niszy. Zablokuj 79/tcp, zabroń finger.exe, dołóż telemetrię i hunting na anomalie LOLBIN.
  • Wprowadź kontrolki procesowe (AppLocker/WDAC), korelację proces→sieć, oraz edukację użytkowników przeciwko „kopiuj–wklej”.
  • Od dziś: deny 79/tcp, alert na finger.exe, review egress i proxy, zapytania w SIEM — gotowce masz wyżej.

Źródła / bibliografia

  • SANS ISC Diary — Finger.exe & ClickFix (port 79, brak proxy-awareness, użycie w ClickFix). (SANS Internet Storm Center)
  • Microsoft Security Blog — ClickFix: łańcuch ataku, socjotechnika i obejście zabezpieczeń. (Microsoft)
  • BleepingComputer — nadużycie Finger w kampaniach ClickFix (2025-11). (BleepingComputer)
  • RFC 1288 — specyfikacja protokołu Finger (TCP/79). (IETF Datatracker)
  • LOLBAS — strona Finger.exe (LOLBIN, lokalizacje, detekcje). (lolbas-project.github.io)

Microsoft Patch Tuesday — listopad 2025. Zero-day w jądrze Windows (CVE-2025-62215), krytyczne RCE (GDI+) i poprawki dla Office, SQL, WSL

Wprowadzenie do problemu / definicja luki

Microsoft opublikował listopadowy pakiet poprawek zabezpieczeń obejmujący 63 luki (CVE) w Windows i komponentach ekosystemu (Office, Edge (Chromium), Azure Monitor Agent, Dynamics 365, Hyper-V, SQL Server, WSLg itd.). Wśród nich znajduje się jeden zero-day aktywnie wykorzystywanyCVE-2025-62215 (eskalacja uprawnień w jądrze Windows), a także kilka krytycznych RCE (m.in. GDI+ CVE-2025-60724) oraz podatności dotykających workflow deweloperskich i rozszerzeń z obszaru Copilot/Agentic AI.

W skrócie

  • Skala: 63 CVE (wg ZDI/Tenable). 4–5 CVE ocenionych jako Critical, reszta Important.
  • Zero-day: CVE-2025-62215Windows Kernel EoP (wyścig zdarzeń/race condition). Wymaga lokalnego dostępu, ale często łączony z RCE w łańcuchu ataku. Priorytet 1 do patchowania.
  • Krytyczne RCE:
    • CVE-2025-60724 (GDI+)CVSS 9.8, możliwa zdalna eksploatacja przez przetwarzanie specjalnie spreparowanych plików/metafili; ryzyko dla usług parsujących dokumenty bez interakcji użytkownika.
    • CVE-2025-62199 (Office) – RCE; „Preview Pane jako wektor” (ostrożnie: Microsoft wskazuje wymaganą interakcję użytkownika).
  • Inne istotne: Azure Monitor Agent RCE (CVE-2025-59504), WSLg RCE (CVE-2025-62220), DirectX/CLFS EoP, podatności CoPilot/Agentic AI (RCE/SFB, np. CVE-2025-62222).
  • Produkcyjne wskazówki: szybkie wdrożenie aktualizacji, czasowe wyłączenie Preview Pane w Outlook/Explorer, izolacja pracy z plikami Office, aktualizacja AMA/WSLg z linii poleceń, kontrola polityk makr i niepodpisanych rozszerzeń VS/VS Code. (Dowody w sekcjach niżej).

Kontekst / historia / powiązania

W październiku 2025 Microsoft łatał rekordowe 172 luki, w tym kilka aktywnie wykorzystywanych. Listopad przynosi wyraźne uspokojenie liczby CVE, ale charakter błędów (kernel EoP, GDI+ 9.8, Office/Preview Pane, elementy chmury/agentów) sprawia, że ich priorytet operacyjny pozostaje wysoki. Różne serwisy raportują rozbieżne liczby (63/66/68/80) – wynika to m.in. z uwzględniania/nie uwzględniania CVE chromium/Edge, komponentów zewnętrznych i aktualizacji dokumentacyjnych. Najbardziej spójne i techniczne podsumowania dla adminów publikują ZDI i Tenable – w tym materiale opieramy się głównie na nich oraz na przeglądzie Briana Krebsa.

Analiza techniczna / szczegóły luki

1) Zero-day: CVE-2025-62215 — Windows Kernel EoP (race condition)

  • Typ: Elevation of Privilege (lokalne, wymaga uwierzytelnienia).
  • Opis: warunek wyścigu w jądrze Windows, pozwalający atakującemu „wygrać” przełączenie stanu i uzyskać SYSTEM.
  • Zastosowanie w praktyce: łączone z RCE (phishing/dokument/serwis www) → post-exploitation: trwała eskalacja i obejście EDR przez uruchamianie implantów z uprawnieniami jądra/procesu krytycznego.
  • Status: aktywnie wykorzystywana w środowisku (zero-day). CVSS v3: 7.0, Important (niska zdalność, wysoka waga po połączeniu).

Wskazówka laboratoryjna (blue team): w telemetrii EDR szukaj anomalii w przełączaniu integrities (Low/Medium → SYSTEM), nietypowych uchwytów do urządzeń jądra i „daisy-chain” tuż po uruchomieniu niepodpisanego binarium z katalogów tymczasowych.

2) CVE-2025-60724 — GDI+ RCE (CVSS 9.8)

  • Wektor: przetwarzanie specjalnie spreparowanych metafili/obrazów (GDI+).
  • Ryzyko: potencjalna eksploatacja bez interakcji po stronie usług, które parsują dokumenty (np. previewer, usługi konwersji/ekstrakcji metadanych, serwerowe procesory plików).
  • Dlaczego istotne: GDI+ bywa bramką do RCE w aplikacjach serwerowych oraz pecetach skanujących pliki przychodzące (DLP, AV, indeksowanie).

Higiena: sandboxing parserów dokumentów i ograniczenie uprawnień kont usługowych wykonujących podgląd/konwersję.

3) CVE-2025-62199 — Microsoft Office RCE (Preview Pane)

  • Fakt kluczowy: Preview Pane wskazany jako wektor; jednocześnie Microsoft opisuje wymóg interakcji użytkownika (niespójność noty). Praktycznie: rozważ wyłączenie podglądu w Outlook/Explorer do czasu wdrożenia poprawek.

GPO (wyłączenie podglądu w Outlook):

Windows Registry Editor Version 5.00
; Outlook – wyłącz okienko podglądu
[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Preferences]
"ReadingPaneOptions"=dword:00000000

(W środowiskach korporacyjnych preferuj ADMX/Group Policy zamiast pojedynczych wpisów rejestru.)

4) Azure Monitor Agent (AMA) — RCE (CVE-2025-59504)

  • Charakter: nieuwierzytelnione RCE możliwe do wywołania z sieci przy podatnej konfiguracji.
  • Znaczenie: AMA jest szeroko stosowany w zbieraniu logów/telemetrii; kompromitacja może dać pivot do zasobów IaaS/serwerów hybrydowych.
  • Działanie: aktualizacja agenta i walidacja ekspozycji portów.

Aktualizacja AMA z linii poleceń (Windows):

# Aktualizacja rozszerzenia Azure Monitor Agent na VM z Azure (Az module)
$vm = Get-AzVM -Name "prod-app-01" -ResourceGroupName "RG-Prod"
Set-AzVMExtension -ResourceGroupName $vm.ResourceGroupName -VMName $vm.Name `
  -Name "AzureMonitorWindowsAgent" -Publisher "Microsoft.Azure.Monitor" `
  -Type "AzureMonitorWindowsAgent" -TypeHandlerVersion "1.29" -AutoUpgradeMinorVersion $true

5) WSLg — Windows Subsystem for Linux GUI RCE (CVE-2025-62220)

  • Opis: RCE w komponencie GUI WSL. Wymaga interakcji użytkownika (otwarcie przygotowanego pliku/akcji).
  • Patchowanie: aktualizacja WSL z poziomu wiersza poleceń (poza klasycznym Windows Update).

Aktualizacja WSL:

wsl.exe --update
wsl.exe --status

6) DirectX / CLFS — kolejne EoP

  • DirectX (EoP) i CLFS (EoP): historycznie CLFS bywało wielokrotnie wykorzystywane przez ransomware i APT do podniesienia uprawnień. Nie są oznaczone jako „exploited”, ale to wysoki priorytet twardnienia.

7) Copilot / Agentic AI / VS Code — RCE i SFB (np. CVE-2025-62222)

  • Trend: pierwsze wzmianki o lukach określanych jako dotyczące „Agentic AI” i integracji narzędzi deweloperskich.
  • Ryzyko: remote code execution na repozytoriach ofiary połączone ze spoofingiem/prompt-injection i niewystarczającą walidacją wygenerowanych artefaktów.
  • Reakcja: wymuś review i podpisywanie rozszerzeń/agentów, ogranicz automatyczne wykonywanie skryptów generowanych przez narzędzia asystujące.

Praktyczne konsekwencje / ryzyko

  • Łańcuchy ataku „phish → RCE → kernel EoP”: CVE-2025-62199 (Office/Preview Pane) lub CVE-2025-60724 (GDI+) daje inicjalny kod, CVE-2025-62215 zapewnia SYSTEM i trwałość.
  • Ryzyko serwerowe: serwisy przetwarzające pliki (skanery, konwertery, DLP, podglądy) narażone na GDI+ 9.8; hosty z AMA eksponowane na sieć — RCE bez auth.
  • DevSecOps: IDE/VS/VS Code i rozszerzenia Copilot/Agentic AI — nowy wektor: supply-chain w procesie developerskim.

Rekomendacje operacyjne / co zrobić teraz

1) Patch management (priorytet A — 24/48 h):

  • Windows/Office/SQL/WSLg/AMA na wszystkich hostach. Zacznij od systemów z ekspozycją internetową oraz stacjach z wysokim ryzykiem (helpdesk, finanse, GRC).

2) Twardnienie pod „Preview Pane”:

  • Tymczasowo wyłącz Preview Pane (Outlook/Explorer) polityką.
  • Zastosuj MOTW enforcement i politykę blokady makr z Internetu. (Microsoft od miesięcy promuje ten kierunek).
  • Włącz Protected View i otwieranie w trybie „Application Guard for Office”, jeśli licencje pozwalają.

3) Segmentacja parserów i usług plikowych:

  • Sandboxy dla serwisów podglądu/przetwarzania dokumentów; AppContainer/WDAC na hostach skanujących.
  • Uruchamiaj parsery na kontach niskoprzywilejowych z ograniczonym dostępem do sieci.

4) WSLg i AMA:

  • WSL: wsl.exe --update w zadaniu harmonogramu po patchach OS.
  • AMA: zaktualizuj rozszerzenie na VM w Azure i zweryfikuj reguły NSG — AMA nie powinien być bezpośrednio osiągalny z Internetu.

5) Dev tooling (VS/VS Code/Copilot):

  • Wymuś Allow-listę rozszerzeń, podpisy i minimalne wersje; odetnij uruchamianie skryptów z nieufnych źródeł (Set-ExecutionPolicy AllSigned).
  • Edukuj devów o prompt-injection i zasadzie „review przed run”.

6) Detections/telemetria (przykłady KQL/PowerShell):

  • Wzorzec EoP po RCE (pliki tymczasowe → SYSTEM) – Microsoft Defender for Endpoint (KQL):
DeviceProcessEvents
| where InitiatingProcessIntegrityLevel in ("Low","Medium")
| where ProcessIntegrityLevel == "System"
| where Timestamp > ago(3d)
| summarize count(), any(ProcessCommandLine) by DeviceName, InitiatingProcessFileName, ProcessName
  • Podejrzane preview/parsowanie plików Office:
DeviceFileEvents
| where Timestamp > ago(3d)
| where FileName matches regex @"\.(docx|xlsx|rtf|emf|wmf)$"
| where InitiatingProcessFileName in ("splwow64.exe","mspreview.exe","prevhost.exe","outlook.exe")
| summarize count() by DeviceName, InitiatingProcessFileName, FileName
  • Odnalezienie stacji z włączonym okienkiem podglądu (Outlook) – zapytanie PowerShell/Remoting, raport do CSV:
$computers = Get-ADComputer -Filter * | Select-Object -Expand Name
$results = foreach($c in $computers){
  Invoke-Command -ComputerName $c -ScriptBlock {
    Get-ItemProperty -Path "HKCU:\Software\Microsoft\Office\16.0\Outlook\Preferences" `
      -Name ReadingPaneOptions -ErrorAction SilentlyContinue
  } | Select-Object PSComputerName, ReadingPaneOptions
}
$results | Export-Csv .\outlook_previewpane_status.csv -NoTypeInformation

Różnice / porównania z innymi przypadkami

  • Mniej CVE vs. październik 2025, ale większa „jakość” ryzyka: zero-day w kernelu, GDI+ 9.8, łańcuchy z Office/Preview i elementy agentów/AI.
  • Rozbieżności liczby CVE (63 vs. 66/68/80) wynikają z liczenia komponentów Chromium, Edge, czasem Adobe lub dokumentowanych wcześniej poprawek; dla operacji patchowania najwierniejsze bywają listy ZDI/Tenable zsynchronizowane z MSRC.

Podsumowanie / kluczowe wnioski

  1. Patchuj teraz – szczególnie systemy narażone i stacje użytkowników wysokiego ryzyka. CVE-2025-62215 (kernel EoP) jest aktywnie wykorzystywana i często domyka łańcuch po RCE.
  2. Zamknij Preview Pane i ogranicz otwieranie dokumentów zewnętrznych do czasu pełnego wdrożenia łatek. Office RCE (CVE-2025-62199) i GDI+ (CVE-2025-60724) to realne wektory.
  3. Zaktualizuj AMA i WSLg osobno, przejrzyj ekspozycję usług i uprawnienia kont serwisowych.
  4. Ucywilizuj narzędzia Dev (VS/VS Code/Copilot/Agentic AI): allow-listy, podpisy, zasada „review przed run”, egzekwuj AllSigned.

Źródła / bibliografia

  • Brian Krebs, „Microsoft Patch Tuesday, November 2025 Edition” — przegląd miesiąca i kontekst wdrożeniowy. (Krebs on Security)
  • Zero Day Initiative (Trend Micro), „The November 2025 Security Update Review” — lista CVE, omówienia GDI+/Office/AMA/WSLg/Agentic AI, wskazanie zero-day CVE-2025-62215. (Zero Day Initiative)
  • Tenable, „Microsoft’s November 2025 Patch Tuesday Addresses 63 CVEs (CVE-2025-62215)” — metryki i zestawienie dotkniętych komponentów. (Tenable®)
  • BleepingComputer, „Microsoft November 2025 Patch Tuesday fixes 1 zero-day, 63 flaws” — potwierdzenie skali i statusu 0-day. (BleepingComputer)
  • SANS Internet Storm Center, „Microsoft Patch Tuesday for November 2025” — ujęcie operacyjne i komentarz do krytycznych poprawek. (SANS Internet Storm Center)

Windows 10: aktualizacja ESU KB5068781 może kończyć się błędem 0x800f0922 — co się dzieje i jak reagować

Wprowadzenie do problemu / definicja luki

Microsoft potwierdził, że listopadowa aktualizacja bezpieczeństwa Windows 10 w ramach ESU — KB5068781 — może nie instalować się na części urządzeń firmowych, kończąc się błędem 0x800f0922 (CBS_E_INSTALLERS_FAILED). Problem ma dotyczyć komputerów aktywowanych poprzez Windows Subscription Activation (WSA) zarządzane z Microsoft 365 Admin Center. Na dziś producent bada sprawę i nie opublikował obejścia (workaroundu).

W skrócie

  • Kogo dotyczy? Wybrane urządzenia z Windows 10 22H2 objęte Extended Security Updates (ESU) i aktywowane subskrypcyjnie (WSA) z Microsoft 365 Admin Center. Instalacja KB5068781 może się wycofywać z kodem 0x800f0922.
  • Status producenta: Problem potwierdzony, w trakcie dochodzenia, brak obejścia.
  • Kiedy wydano KB5068781? 11 listopada 2025 r., jako pierwszą aktualizację ESU dla Windows 10.
  • Powiązane zmiany: Równolegle Microsoft wypuścił KB5071959 (out-of-band) naprawiający proces rejestracji do ESU (inną usterkę, sprzed wydania KB5068781). To nie jest naprawa błędu 0x800f0922, ale warto o niej wiedzieć w kontekście enrolmentu do ESU.

Kontekst / historia / powiązania

Windows 10 zakończył standardowe wsparcie 14 października 2025 r., a Microsoft uruchomił program ESU (w tym wariant bezpłatny na rok w określonych regionach/ścieżkach) zapewniający jeszcze poprawki bezpieczeństwa. Pierwszym pakietem w tym cyklu dla Windows 10 22H2 jest KB5068781. Chwilę wcześniej Microsoft publikował KB5071959 — aktualizację poza harmonogramem, która naprawia problemy z samą rejestracją/enrolmentem do ESU (m.in. błędy kreatora zapisu). To inny wątek niż bieżący błąd 0x800f0922 przy instalacji KB5068781.

Analiza techniczna / szczegóły usterki

Symptom: instalator KB5068781 przebiega, po restarcie następuje rollback i w Windows Update widzimy 0x800f0922. W dziennikach CBS.log błąd mapuje się do CBS_E_INSTALLERS_FAILED.

Zakres: Microsoft wskazuje, że przypadłość jest izolowana do urządzeń aktywowanych przez Windows Subscription Activation (WSA) z poziomu Microsoft 365 Admin Center. WSA to mechanizm “step-up” licencjonowania (np. z Pro do Enterprise) oparty o przypisanie subskrypcji w Entra ID/M365, bez klasycznej aktywacji KMS/MAK.

Co to oznacza technicznie?
Aktualizacja LCU (KB5068781) instaluje także sklejony SSU (KB5068780). Błąd 0x800f0922 to kod generowany przez komponent CBS, gdy jedna z faz instalacji/konfiguracji pakietu kończy się niepowodzeniem. W opisywanym case’ie Microsoft zawęża problem do interakcji z mechanizmem subskrypcyjnej aktywacji Windows, a nie do klasycznych przyczyn 0x800f0922 (np. brak miejsca w System Reserved, problemy z .NET czy brak łączności do WU/WSUS). Na dziś producent nie publikuje obejścia, jedynie status “investigating”.

Praktyczne konsekwencje / ryzyko

  • Brak łatek bezpieczeństwa z 11.2025 na części floty = zwiększona powierzchnia ataku (ESU zawiera poprawki na świeże CVE). Priorytetem jest kontrola ekspozycji i tymczasowe zabezpieczenia tam, gdzie deployment utknął.
  • Ryzyko niespójności zgodności (compliance) — urządzenia niezgodne z polityką patchowania mogą wywołać alerty w audytach.
  • Potencjalne opóźnienia w ring-based deployment — konieczność pauzy/holda dla segmentu WSA.

Rekomendacje operacyjne / co zrobić teraz

1) Natychmiastowe działania “higieniczne”

  1. Zidentyfikuj wpływ – odfiltruj urządzenia z Windows Subscription Activation: # Czy urządzenie jest Enterprise via Subscription Activation? (Get-ComputerInfo).WindowsEditionId slmgr /dlv # W Event Viewer sprawdź aktywację: Applications and Services Logs > Microsoft > Windows > Security-SPP
  2. Oznacz ring “on hold” dla WSA-aktywnych urządzeń względem KB5068781, utrzymując rollout na maszynach bez WSA (o ile brak incydentów). Polityka WSUS/WUfB: tymczasowy safeguard hold dla danej grupy.
  3. Wymuś instalację SSU/LCU w poprawnej kolejności (jeśli stosujesz obrazy offline/WSUS Catalog). KB5068781 zawiera SSU (KB5068780), ale przy serwisowaniu obrazów offline zwróć uwagę na wymagania w sekcji “How to get this update”.

2) Walidacja enrolmentu ESU (osobny wątek, ale ważny)

  • Upewnij się, że enrolment ESU jest zakończony sukcesem. Jeśli wcześniej miałeś błąd kreatora zapisu do ESU: zastosuj KB5071959 (OOB) — dotyczy rejestracji, nie naprawia błędu 0x800f0922 przy instalacji KB5068781.

3) Diagnostyka na hostach dotkniętych 0x800f0922 (playbook)

Uwaga: to nie są oficjalne obejścia bieżącej usterki WSA→KB5068781, ale dobra praktyka diagnostyczna przy 0x800f0922 i aktualizacjach LCU.

  • Zbierz logi do analizy: # CBS, DISM, WindowsUpdate, Setup md C:\Temp\WUlogs copy C:\Windows\Logs\CBS\CBS.log C:\Temp\WUlogs\ Get-WinEvent -LogName "Setup" -MaxEvents 200 | Export-Csv C:\Temp\WUlogs\Setup.csv -NoTypeInformation Get-WinEvent -LogName "Microsoft-Windows-WindowsUpdateClient/Operational" -MaxEvents 500 | Export-Csv C:\Temp\WUlogs\WUClient.csv -NoTypeInformation
  • Weryfikacja łączności do usług MS (proxy/SSL inspection):
    • Zezwól na wymagane end-pointy aktualizacji i CRL, szczególnie jeśli w środowisku jest TLS inspection. (Microsoft podkreśla znaczenie łańcucha certyfikatów/CRL przy SSU/LCU.)
  • Reset komponentów Windows Update (bezpieczne): net stop wuauserv net stop bits net stop cryptsvc ren C:\Windows\SoftwareDistribution SoftwareDistribution.bak ren C:\Windows\System32\catroot2 catroot2.bak net start cryptsvc net start bits net start wuauserv
  • Sprawdzenie i naprawa komponentów systemowych: DISM /Online /Cleanup-Image /RestoreHealth sfc /scannow
  • Test instalacji z Microsoft Update Catalog (poza WUfB/WSUS), tylko na pilotażu: # Przykład: instalacja ręczna pobranego .msu wusa.exe C:\Temp\windows10.0-kb5068781-x64_*.msu /quiet /norestart

4) Tymczasowe polityki zabezpieczające, jeśli host nie łapie łatki 11/2025

  • Zwiększ twardość konfiguracji:
    • Wymuś ASR rules, atak-surface reduction (MDfE/Defender for Endpoint).
    • Włącz/zaostrz Controlled Folder Access, Smart App Control lub AppLocker/WDAC gdzie to możliwe.
    • Zaostrzone blokady makr i WDAC/Applocker w stacjach o podwyższonym ryzyku.
  • Segmentacja: ogranicz dostęp z hostów niezałatanych do systemów krytycznych (ZTA/Conditional Access).
  • Telemetria i detekcje: dodatkowe alerty na LSA Protection, Credential Guard, WinRM/PowerShell Remoting i anomalia w procesach instalatora.

5) Komunikacja i change management

  • Zgłoś wyjątek patchowania z uzasadnieniem (vendor-confirmed issue) i planem aktualizacji zaraz po opublikowaniu poprawki przez MS.
  • Ustal monitoring: reguły, które wyłapią pojawienie się “Resolved KB” w karcie aktualizacji KB5068781 / Release Health.

Różnice / porównania z innymi przypadkami (0x800f0922)

Klasyczny 0x800f0922 w historii Windows bywał skutkiem m.in.:

  • Za małej partycji System Reserved (brak miejsca na instalację komponentów),
  • Problemów z .NET Framework podczas konfiguracji,
  • Braku łączności do WU/WSUS lub punktów CRL (proxy/inspection),
  • Uszkodzonych zadań Harmonogramu utrudniających konfigurację pakietu.

W bieżącym incydencie Microsoft jednoznacznie wskazuje na urządzenia z WSA (aktywowane subskrypcyjnie z M365 Admin Center). To zawęża troubleshooting i odróżnia przypadek od “typowego” 0x800f0922.

Podsumowanie / kluczowe wnioski

  • KB5068781 (ESU, 11.2025) może nie instalować się na części urządzeń firmowych i zwracać 0x800f0922. Dotyczy aktywacji WSA (M365 Admin Center). Brak obejścia, Microsoft prowadzi analizę.
  • Zatrzymaj rollout dla ringów WSA, utrzymaj łatanie pozostałych maszyn, wzmocnij kontrole kompensacyjne i monitoruj kartę KB pod kątem “Resolved KB”.
  • Pamiętaj o oddzielnym wątku enrolmentu do ESU — tu pomóc może KB5071959 (OOB), ale nie rozwiązuje omawianego błędu instalacji.

Źródła / bibliografia

  1. Microsoft Support — KB5068781 (Windows 10 22H2, 11.11.2025) — sekcja Known issues (0x800f0922; WSA/M365 Admin Center; status “investigating”). (Microsoft Support)
  2. BleepingComputer — potwierdzenie problemu, relacje administratorów, kontekst ESU. (BleepingComputer)
  3. Microsoft Learn — Windows Subscription Activation (WSA) — definicja i sposób działania aktywacji subskrypcyjnej. (Microsoft Learn)
  4. Microsoft Support — KB5071959 (Out-of-band) — naprawa problemów enrolmentu ESU (osobny wątek). (Microsoft Support)

Utrzymuj obserwację karty KB5068781/Release Health. Gdy Microsoft opublikuje “Resolved KB” lub obejście, wdrożenie na ringach WSA można wznowić zgodnie z polityką organizacji.

SSA Holdings (Amarillo, TX) — incydent naruszenia danych z 15 września 2025 r.: co wiemy, ryzyko dla poszkodowanych i działania obronne

Wprowadzenie do problemu / definicja luki

SSA Holdings, LLC — podmiot z Amarillo (Teksas), działający jako apteka (m.in. „Amarillo Pharmacy”) — poinformował organy nadzorcze o incydencie bezpieczeństwa, w którym nieuprawniona osoba uzyskała dostęp do systemów i 15 września 2025 r. skopiowała pliki firmy. Analiza danych zakończyła się 24 października 2025 r., a zgłoszenie do prokuratora generalnego stanu Kalifornia opublikowano 13 listopada 2025 r. W listach do osób poszkodowanych spółka oferuje bezpłatny pakiet monitoringu tożsamości od Kroll. Źródła urzędowe potwierdzają daty i zakres reakcji, natomiast precyzyjny katalog atrybutów danych różni się w zależności od adresata powiadomienia.

W skrócie

  • Data zdarzenia: 15.09.2025 (skopiowanie plików po uzyskaniu dostępu do systemów).
  • Potwierdzenie obecności danych osobowych w plikach: 24.10.2025.
  • Zgłoszenie/regulatory: wpis w rejestrze naruszeń CA AG z datą publikacji 13.11.2025.
  • Profil firmy: podmiot medyczny/apteczny z Amarillo, TX (NPI z adresem 6010 S Western St, Amarillo).
  • Typy danych: listy notyfikacyjne używają placeholdera („<>”), co oznacza, że zakres różni się per odbiorca; źródła branżowe wskazują m.in. nazwiska i numery SSN (informacja wtórna, nie z listu urzędowego).
  • Wsparcie dla poszkodowanych: monitoring tożsamości Kroll (kredytowy, ubezpieczenie do 1 mln USD, konsultacje, odzyskiwanie tożsamości).

Kontekst / historia / powiązania

W 2025 r. sektor ochrony zdrowia i usług okołomedycznych pozostaje jednym z najczęściej atakowanych — z uwagi na wysoką wartość danych PII/PHI i rozproszoną infrastrukturę. Choć SSA Holdings formalnie nie ujawnił publicznie pełnej listy atrybutów, charakter działalności (apteka/świadczenia farmaceutyczne) i wzorce incydentów w branży zwiększają prawdopodobieństwo obecności w plikach danych identyfikacyjnych o wysokiej wrażliwości (np. SSN). Rejestr CA AG potwierdza harmonogram incydentu i notyfikacji, co jest zgodne z typowym cyklem IR (containment → forensics/triage → data mining → notyfikacje).

Uwaga o skali: serwis branżowy ClaimDepot podaje, że w samym Teksasie powiadomienia otrzymało 1 639 osób. To liczba wtórna (nie z dokumentu urzędowego) i może ulec zmianie w miarę aktualizacji rejestrów stanowych.

Analiza techniczna / szczegóły luki

List notyfikacyjny zdradza kilka kluczowych faktów o przebiegu incydentu:

  1. Nieuprawniony dostęp do „niektórych systemów” i aktywne skopiowanie plików jednego dnia (15.09). To silnie wskazuje na exfiltrację plikową po wcześniejszej kompromitacji konta/usługi (np. VPN, RDP, M365, serwer plików, EHR/PM). 2) Brak wzmianki o szyfrowaniu/ransomware w liście (co zwykle jest akcentowane), a nacisk na „acquired copies of certain files” sugeruje scenariusz data theft bez destrukcji. 3) Po zdarzeniu wdrożono monitoring tożsamości — organizacje często decydują się na tę ofertę, gdy w wektorze mogły znaleźć się SSN/PII.

Co mogło zawieść? (hipotezy IR oparte na wzorcach branżowych)

  • Kompromitacja poświadczeń (phishing MFA-fatigue, infostealer, reuse haseł) i pivot na zasoby plikowe.
  • Błędy w kontrolach DLP i brak reguł anomalii dla hurtowego kopiowania danych z udziałami SMB/SharePoint.
  • Niedomknięte EDR/telemetria dla serwerów plików (słabsza widoczność na NAS).
  • Brak segmentacji między strefą biurową a systemami przetwarzającymi dane wrażliwe.

Co sprawdzić w śledztwie (checklista Blue Team)

  • Korelacja logów AD/Entra ID (logon patterns, Impossible Travel, liczba tokenów refresh).
  • SMB telemetry/Windows Security/FSRM: duże wolumeny ReadFile/Create/Copy w krótkim oknie.
  • M365/Azure: FileDownloaded, SearchQueryPerformed, eDiscovery/Export.
  • VPN/NAC: niecodzienne ASN, profile urządzeń, brak zgodności postur.
  • EDR: procesy narzędzi do archiwizacji (7z, rar, winzip), skrypty PowerShell z Compress-Archive, nietypowe ścieżki temp.

Przykładowa reguła Sigma (wykrywanie masowego kopiowania do archiwum ZIP na hostach Windows):

title: Suspicious Bulk File Compression
id: 2b4a3f6c-8a1c-4f1f-9e3f-ssa-holdings-zip
status: experimental
logsource:
  product: windows
  category: process_creation
detection:
  sel_parent:
    ParentImage|endswith:
      - '\cmd.exe'
      - '\powershell.exe'
  sel_proc:
    Image|endswith:
      - '\7z.exe'
      - '\7za.exe'
      - '\winzip64.exe'
      - '\powershell.exe'
    CommandLine|contains:
      - 'Compress-Archive'
      - '.zip'
  condition: sel_parent and sel_proc
fields:
  - CommandLine
  - ParentCommandLine
  - Image
falsepositives:
  - Admin/backup tasks
level: high

Przykładowe kwerendy KQL (M365/Azure Audit)

AuditLogs
| where TimeGenerated between (datetime(2025-09-15) .. datetime(2025-09-16))
| where OperationName in ("FileDownloaded", "SearchQueryPerformed", "ExportCreated")
| summarize count(), FirstEvent=min(TimeGenerated), LastEvent=max(TimeGenerated) by UserId, OperationName, ClientIP

Praktyczne konsekwencje / ryzyko

  • Ryzyko kradzieży tożsamości (otwieranie kont kredytowych, fraud podatkowy), zwłaszcza jeśli wśród atrybutów były SSN — na co wskazują doniesienia branżowe.
  • Spear phishing/Smishing z użyciem prawdziwych danych identyfikacyjnych.
  • Wejście danych do obiegu brokerskiego (sprzedaż paczek PII w dark/neon).
  • Ryzyko wtórnych ataków na świadczeniodawców/ubezpieczycieli, jeśli w plikach znalazły się identyfikatory pacjentów (tu brak oficjalnego potwierdzenia typu PHI w rejestrze CA).

Rekomendacje operacyjne / co zrobić teraz

Dla osób poszkodowanych (praktyka + „gotowe komendy”)

  1. Włącz monitoring Kroll z listu notyfikacyjnego (adres portalu i numer członkowski w piśmie).
  2. Zamrożenie kredytu („security freeze”) w 3 biurach (Equifax, Experian, TransUnion).
  3. Alerty oszustwa (fraud alert) i ciągły przegląd raportów (AnnualCreditReport).
  4. Blokady kont w SSA („my Social Security”) i bankowości — jeżeli obserwujesz anomalię.
  5. Zachowaj kopię korespondencji — przydatne przy ewentualnych roszczeniach.

Przykładowe komendy do szybkiej weryfikacji wycieków haseł (lokalnie, bez ich ujawniania; Pwned Passwords k-Anonimity):

# Mac/Linux: sprawdź SHA1 hasła w k-anonimity (nie wysyłaj pełnego hash)
read -s -p "Hasło: " P; echo -n $P | shasum | awk '{print toupper($1)}' | \
  awk '{print substr($0,1,5)" "substr($0,6)}' | \
  while read prefix rest; do curl -s https://api.pwnedpasswords.com/range/$prefix | grep -i $rest; done

Dla zespołów bezpieczeństwa SSA Holdings (lub podmiotów podobnych)

  • EDR na serwerach plików / NAS telemetry + blokady exfilu (DLP, FSRM quotas, deny archive tools).
  • MFA odporne na phishing (FIDO2/Passkeys), kontrola sesji i re-autoryzacja przy dostępie do danych wrażliwych.
  • Segmentacja sieci (oddzielne strefy dla systemów z danymi wrażliwymi).
  • Honeytokens/Honeyfiles w kluczowych udziałach; alert na odczyt.
  • Playbook IR z krokami: izolacja hosta, rotacja tajemnic, przeszukanie wskaźników exfiltracji, retencja logów ≥ 180 dni.
  • Ciągłe testy scenariuszowe (purple team) pod kątem „stealth exfiltration” (SMB → archiwizacja → HTTPS put).

Przykładowa reguła Zeek (anomalie objętościowe SMB/HTTP) — szkic:

event file_over_new_connection(f: fa_file) {
  if ( f$source == "SMB" && f$info?$totalsize && f$info$totalsize > 500*1024*1024 )
    NOTICE([$note=Notice::INFO, $msg=fmt("Large SMB read: %s bytes", f$info$totalsize)]);
}

Różnice / porównania z innymi przypadkami

  • „Copy-out without crypto” vs. klasyczny ransomware: brak wzmianek o szyfrowaniu i przestojach produkcyjnych — scenariusz bliższy cichym kradzieżom danych (low-noise) niż głośnym kampaniom szyfrującym.
  • Sektor medyczny/apteczny — nawet gdy zgłoszenie nie mówi wprost o PHI, profil działalności zwiększa wagę danych i skutki regulacyjne. Zgłoszenie w CA AG potwierdza typowy cykl „data mining → notyfikacje”.

Podsumowanie / kluczowe wnioski

  • Incydent w SSA Holdings miał charakter exfiltracji plikowej 15.09.2025; 24.10.2025 potwierdzono obecność danych osobowych; 13.11.2025 opublikowano wpis w rejestrze CA. Firma oferuje monitoring Kroll. Zakres danych różni się per osoba; źródła branżowe sygnalizują m.in. SSN. Wdrożenie MFA odpornych na phishing, segmentacji i detekcji exfiltracji jest kluczowe, podobnie jak security freeze i monitoring kredytowy po stronie osób poszkodowanych.

Źródła / bibliografia

  • List notyfikacyjny SSA Holdings złożony u Prokuratora Generalnego Kalifornii (PDF). Potwierdza datę incydentu, datę zakończenia analizy i ofertę Kroll.
  • Rejestr naruszeń danych — Office of the Attorney General, California (pozycja „SSA Holdings, LLC” z datami 09/15/2025 i 11/13/2025). (California Attorney General)
  • Rejestr NPI (Centers for Medicare & Medicaid Services) — profil „SSA HOLDINGS LLC / Amarillo, TX”. Potwierdza naturę podmiotu i adres. (npiregistry.cms.hhs.gov)
  • ClaimDepot — notatka o naruszeniu SSA Holdings, w tym liczba 1 639 powiadomień w Teksasie oraz wzmianka o SSN (źródło wtórne, nieurzędowe). (Claim Depot)

#StopRansomware: Akira – aktualizacja 13.11.2025. Nowe TTP, wektory wejścia przez SonicWall i ataki na Nutanix AHV

Wprowadzenie do problemu / definicja luki

13 listopada 2025 r. opublikowano zaktualizowaną wspólną poradę (#StopRansomware) dot. grupy Akira. Dokument (AA24-109A) ostrzega o pilnym zagrożeniu dla infrastruktury krytycznej, nowych technikach oraz wskaźnikach kompromitacji (IOC). Najistotniejszy wątek: wejście przez urządzenia VPN (szczególnie SonicWall, CVE-2024-40766) i rozszerzenie szyfrowania na maszyny wirtualne Nutanix AHV, obok już znanych ataków na VMware ESXi/Hyper-V.

W skrócie

  • Wejście: nadużycie urządzeń VPN (m.in. SonicWall, CVE-2024-40766), podatnych usług/urządzeń brzegowych, nie-MFA, spearphishing, hasła wyciekłe/wypryskiwane (password spraying).
  • Rozszerzenie celu: pierwsze potwierdzone szyfrowanie dysków Nutanix AHV (czerwiec 2025).
  • TTP: nltest do odkrywania domen, Impacket/wmiexec, zdalne narzędzia (AnyDesk/LogMeIn), wyłączanie EDR, BYOVD/terminowanie AV.
  • Skala zysków: ~244,17 mln USD do IX 2025 r. (zgłoszenia śledcze FBI).

Kontekst / historia / powiązania

Akira działa co najmniej od marca 2023 r., początkowo Windows + rozszerzenie .akira, potem Megazord (Rust, rozszerzenie .powerranges) oraz Akira_v2; cele na wielu kontynentach i sektorach (produkcja, edukacja, IT, zdrowie, finanse, F&A). Autorzy łączą Akirę z aliasami Storm-1567/Howling Scorpius/Punk Spider/Gold Sahara i możliwymi koneksjami do upadłej Conti.

Od połowy 2025 r. obserwowano kampanię przeciw SonicWall SSL VPN – potwierdzoną też przez CERT-y/branżę (ACSC/ASD, vendor SonicWall, analizy Darktrace/Arctic Wolf).

Analiza techniczna / szczegóły luki

Wejście (Initial Access)

  • VPN bez MFA i znane CVE w produktach sieciowych, w tym Cisco (np. CVE-2020-3259, CVE-2023-20269), oraz SonicWall CVE-2024-40766. Dodatkowo Veeam (CVE-2023-27532, CVE-2024-40711). Często password spraying (np. SharpDomainSpray), RDP, kradzież poświadczeń, a także SSH przez router z publicznym IP.

Przykładowe zapisy do detekcji (Sigma, logon VPN SonicWall – event nieudany/udany z nietypowego ASN/geo):

title: SonicWall SSLVPN Suspicious Geo ASN Login
logsource:
  product: sonicwall
  service: sslvpn
detection:
  selection:
    outcome: success
  filter_geo:
    src_country|contains:
      - 'CN'
      - 'RU'
      - 'BR'
  condition: selection and filter_geo
level: medium
tags: [attack.t1110, initial-access]

Wykonanie (Execution)

  • Częste użycie VBScript do wykonywania poleceń i automatyzacji.

Trwałość / Ruch rozpoznawczy

  • Tworzenie nowych kont domenowych (spotykana nazwa itadm), Kerberoasting, zrzut LSASS (Mimikatz/LaZagne), skanowanie (SoftPerfect/Advanced IP Scanner/NetScan), polecenia net oraz nltest /dclist, nltest /DOMAIN_TRUSTS.

Szybki „hunt” w Windows (PowerShell):

# Nowo utworzeni członkowie Domain Admins w 7d
Get-ADGroupMember "Domain Admins" |
  ForEach-Object { Get-ADUser $_ -Properties whenCreated } |
  Where-Object { $_.whenCreated -gt (Get-Date).AddDays(-7) } |
  Select-Object Name, SamAccountName, whenCreated

# Artefakty net/nltest w PowerShell Operational (ID 4104/4103) i Security 4688
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688} -MaxEvents 5000 |
  Where-Object {$_.Message -match 'nltest|net.exe'}

Unikanie obrony / Lateral Movement

  • PowerTool + podatny sterownik (BYOVD) do zabijania procesów AV/EDR (m.in. wyłączenie Defendera), nadużycie AnyDesk/LogMeIn, Impacket wmiexec.py, odinstalowanie EDR przed szyfrowaniem.

Szyfrowanie / Wpływ na wirtualizację

  • Po ESXi/Hyper-V, czerwiec 2025: szyfrowanie dysków VM Nutanix AHV – istotna zmiana dla środowisk HCI.

Praktyczne konsekwencje / ryzyko

  • Urządzenia brzegowe (SonicWall) stają się „jednym kliknięciem” do sieci wewnętrznej – nawet z MFA (doniesienia o przejętych seedach OTP/artefaktach pozwalających omijać MFA). Uderza to w model „MFA-i-po-sprawie”.
  • Wirtualizacja: przejście z ESXi/Hyper-V na Nutanix AHV rozszerza powierzchnię ataku i podnosi koszt RTO/RPO przy incydencie.
  • Utrudniona detekcja przez nadużycie legalnych narzędzi, wyłączanie EDR i użycie Impacket w ruchu bocznym.

Rekomendacje operacyjne / co zrobić teraz

  1. Natychmiast załataj i utwardź SonicWall (CVE-2024-40766), zresetuj poświadczenia SSL VPN, rozważ rotację/ponowną rejestrację sekretów OTP/MFA; zaktualizuj do najnowszego SonicOS 7.3.x, zastosuj zalecenia producenta.
  2. Wymuś phishing-resistant MFA (FIDO2/WebAuthn) oraz blokady po wielu nieudanych próbach; ogranicz wskazówki haseł, nie wymuszaj zbyt częstych zmian (zgodnie z NIST), ale wymuś rotację po incydencie VPN.
  3. Segmentacja i zasada najmniejszych uprawnień (kontrola przepływów, izolacja serwerów zarządzania hipernadzorcą/backupem).
  4. Kopie offline + testy odtwarzania (szczególnie VM AHV/ESXi/Hyper-V i repozytoria Veeam).
  5. Monitoring anomalii sieciowych i EDR: wykrywaj nltest/net, wmiexec/Impacket, instalacje AnyDesk/LogMeIn, próby deinstalacji EDR. (Patrz sekcja „hunt”.)
  6. Blokuj narzędzia BYOVD (wdrożenia HVCI/Blocklist sterowników Microsoft, AppControl), monitoruj ładowanie nietypowych sterowników (Sysmon ID 6).
  7. Dodatkowe źródła IOC i ATT&CK mapping – pobierz STIX z aktualizacji AA24-109A i wprowadź do SIEM/SOAR.

Przykładowe reguły (Sysmon/Sigma) – Impacket & nltest:

title: Impacket WMIExec Child Of Python
logsource: { product: windows, service: sysmon }
detection:
  sel1: { EventID: 1, ParentImage|endswith: '\python.exe', Image|endswith: '\wmic.exe' }
  sel2: { EventID: 3, DestinationPort: 135 }  # DCOM
  condition: sel1 or sel2
level: high
tags: [attack.t1047, lateral-movement]

---
title: Domain Discovery with nltest
logsource: { product: windows, service: security }
detection:
  sel: { EventID: 4688, NewProcessName|endswith: '\nltest.exe' }
  condition: sel
level: medium
tags: [attack.t1018,t1482]

Przykładowe zapory/SDN – ogranicz RDP/SMB/WMI do stref adminów:

# Linux nftables - blokuj SMB z podsieci użytkowników do serwerów
nft add rule inet filter forward ip saddr 10.20.0.0/16 ip daddr 10.30.10.0/24 tcp dport {445,139} drop

Różnice / porównania z innymi przypadkami

  • LockBit/ALPHV długo stawiały głównie na ESXi/Hyper-V; Akira jako jedna z pierwszych operacji potwierdzenie ataków na Nutanix AHV, co wymusza aktualizację playbooków IR/BCP dla HCI.
  • Akcent na SonicWall SSL VPN – rzadziej spotykany tak skoncentrowany wektor u konkurencyjnych grup w 2025 r.; zbieżne ostrzeżenia rządowe (ACSC) i vendor.

Podsumowanie / kluczowe wnioski

  1. Brzeg (VPN) to główna brama – łataj i rotuj sekrety. 2) AHV jest już na celowniku – ćwicz odtwarzanie VM poza hipernadzorcą. 3) Detekcja TTP (Impacket/nltest/AnyDesk) i ochrona przed BYOVD muszą być obowiązkowym elementem. 4) Wdróż MFA odporne na phishing i egzekwuj najmniejsze uprawnienia. 5) Pobierz i wprowadź IOC z AA24-109A (STIX).

Źródła / bibliografia

  1. FBI/CISA/DC3/HHS/EC3/NCSC-NL i in., #StopRansomware: Akira Ransomware – aktualizacja 13.11.2025 (AA24-109A). Zawiera TTP/IOC, MITRE ATT&CK i zalecenia.
  2. CISA – strona poradnika AA24-109A (mirror + opis aktualizacji). (CISA)
  3. ACSC/ASD – alert dot. aktywnej eksploatacji CVE-2024-40766 (SonicWall) i powiązania z Akirą. (Cyber.gov.au)
  4. SonicWall – komunikat producenta nt. zagrożeń dla Gen7 i SSLVPN oraz działań naprawczych. (SonicWall)
  5. BleepingComputer – wzmianka o szyfrowaniu Nutanix AHV przez Akirę (potwierdzenie trendu z AA24-109A). (BleepingComputer)

Policja rozbija infrastrukturę Rhadamanthys, VenomRAT i botnetu Elysium (Operation Endgame)

Wprowadzenie do problemu / definicja luki

W dniach 10–14 listopada 2025 r. międzynarodowe służby ścigania przeprowadziły kolejną fazę Operation Endgame, wymierzoną w trzy istotne elementy ekosystemu cyberprzestępczego: Rhadamanthys (info-stealer), VenomRAT (RAT) oraz Elysium (botnet/infrastruktura C2). W wyniku działań przejęto 20 domen, zakłócono lub wyłączono 1 025 serwerów C2, przeszukano 11 lokalizacji oraz aresztowano kluczowego podejrzanego w Grecji powiązanego z VenomRAT. Organy ścigania podkreślają skalę szkód: setki tysięcy zainfekowanych komputerów i kilka milionów skradzionych poświadczeń, w tym dostęp do >100 000 portfeli kryptowalutowych ofiar.

W skrócie

  • Co się wydarzyło: skoordynowany takedown infrastruktury trzech rodzin malware (C2/domeny/serwery, przeszukania, areszt).
  • Kluczowe liczby: 1 025 serwerów, 20 domen, 11 przeszukań; jedna osoba zatrzymana (Grecja, 3 listopada 2025 r.).
  • Kogo to dotyczy: ofiary info-stealera Rhadamanthys, zdalnych przejęć przez VenomRAT i urządzeń wpiętych do botnetu Elysium; przedsiębiorstwa z USA/DE/UK/NL miały największą koncentrację C2 dla Rhadamanthys wg Black Lotus Labs.
  • Dlaczego to ważne: ogranicza zdolność przestępców do monetyzacji danych uwierzytelniających i utrudnia kampanie ransomware (Endgame celuje w łańcuch dostaw cyberprzestępczości).

Kontekst / historia / powiązania

Operation Endgame to seria skoordynowanych akcji (2024–2025) ukierunkowanych na loader’y, botnety i zaplecze C2 dla gangów ransomware. Wcześniejsze etapy obejmowały m.in. zakłócenie IcedID, Bumblebee, Pikabot, TrickBot, SystemBC i innych, a łączne przejęcia środków sięgają dziesiątek milionów euro. Najnowsza tura („Endgame 3.0”) rozszerza presję na stealery i RAT-y, czyli narzędzia do inicjalnego dostępu i kradzieży tożsamości.

Analiza techniczna / szczegóły luki

Rhadamanthys (info-stealer, MaaS)

  • Funkcje: kradzież haseł/cookies/tokenów, danych przeglądarek i portfeli krypto; panele webowe (MaaS) oraz rozległa sieć C2.
  • Skala: wg Lumen Black Lotus Labs średnio ~300 aktywnych serwerów C2 dziennie (szczyt 535 w X.2025); >60% C2 było niewidocznych w VirusTotal, co tłumaczyło dużą liczbę ofiar. W październiku 2025 r. wykrywano średnio >4 000 unikalnych IP ofiar dziennie.
  • Obserwacje powiązane z takedownem: utrata dostępu do paneli przez klientów MaaS; baner przejęcia na serwisach Rhadamanthys.

VenomRAT (Remote Access Trojan)

  • Funkcje: keylogging, zdalne sterowanie, kradzież kluczy API i danych portfeli, możliwość nadużywania kamery/mikrofonu; sprzedawany w modelu subskrypcyjnym.
  • Egzekucja prawa: areszt głównego podejrzanego w Atenach 3 listopada 2025 r. – z zabezpieczeniem kodu źródłowego, materiałów promocyjnych i portfeli krypto; śledztwo prowadzone m.in. przez Francję i USA.

Elysium (botnet/infrastruktura)

  • Rola: infrastruktura pośrednicząca w C2 i dystrybucji ładunków, ułatwiająca pivoting i ukrywanie prawdziwych paneli.
  • Efekt operacji: odcięcie węzłów C2 i domen wykorzystywanych do zarządzania zainfekowanymi hostami.

Skala szkód i dowody

  • Setki tysięcy zainfekowanych urządzeń, miliony poświadczeń; dostęp do >100 000 portfeli krypto ofiar (jeszcze nieopróżnionych). Dane o ofiarach trafiają do serwisów powiadamiających (NL CheckYourHack / Have I Been Pwned).

Praktyczne konsekwencje / ryzyko

  • Krótko- i średnioterminowe: spadek skuteczności bieżących kampanii opartych na tych narzędziach; utrudniona odsprzedaż świeżych dumpów credentiali; chwilowa redukcja spam/runów loaderów.
  • Długoterminowe: rekonfiguracja ekosystemu – migracja aktorów do innych MaaS/RAT, odtwarzanie C2 w nowych AS/hostingach, rebranding malware. Historia pokazuje, że po takedownach następuje odbudowa w 2–8 tygodni, ale z kosztami dla przestępców (skasowane panele, utrata bazy klientów, utrata reputacji). (Wniosek na podstawie trendów opisanych w raportach Endgame z 2024–2025).
  • Ryzyko wtórne: dane ofiar pozostają w obiegu (combo-listy, logi), więc account takeover i fraudy są nadal możliwe – konieczne są rotacje haseł i monitorowanie sesji.

Rekomendacje operacyjne / co zrobić teraz

1) Weryfikacja ekspozycji i kont ofiar

  • Sprawdź, czy adresy e-mail/urządzenia użytkowników figurowały w dumpach Endgame:
    • NL CheckYourHack (zestaw „November 2025 – Endgame (Rhadamanthys)”).
    • Have I Been Pwned (jeśli partnerstwo obejmuje dane z tej fazy).

2) Hunting sieciowy – artefakty C2/infostealer

Poniżej przykładowe, bezpieczne zapytania do SIEM (dostosuj do swojego telemetry):

Sigma (proxy/DNS) – podejrzane panele Rhadamanthys/Elysium

title: Suspicious Panel Access Potentially Related to Info-Stealer C2
logsource: { category: proxy }
detection:
  selection:
    cs-method|endswith: '/gate'  # często używane ścieżki paneli
    cs-host|re: '(?i)(admin|panel|login)[\.-].*'
  condition: selection
falsepositives: high
level: medium

Zeek – anomalia JA3/JA3S (RAT/Stealer)

# przykładowe pivoty na niestandardowe zestawy szyfrów
cat ssl.log | zeek-cut id.resp_p ja3 | awk '{count[$2]++} END {for (j in count) if (count[j]>50) print j, count[j]}' | sort -nr

Suricata – heurystyka POST do świeżo zarejestrowanych domen

alert http any any -> $EXTERNAL_NET any (msg:"Heuristic exfil via recent domain"; http.method; content:"POST"; nocase; pcre:"/Host:\s([a-z0-9-]+\.)+[a-z]{2,}$/Hi"; threshold: type both, track by_dst, count 50, seconds 60; classtype:policy; sid:4000011; rev:1;)

3) Endpoint & przeglądarki – detekcja i czyszczenie

  • Windows (PowerShell): sprawdź typowe lokalizacje persistencji (Run Keys, Startup, Scheduled Tasks) oraz nietypowe rozszerzenia w %AppData%:
# Autoruns - klucze Run
Get-ItemProperty 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Run','HKLM:\...\Run' | Format-List
# Zaplanowane zadania z nieznanych ścieżek
Get-ScheduledTask | ? {$_.TaskPath -notmatch '\\Microsoft\\'} | Select TaskName, TaskPath
# Nietypowe pliki w AppData
Get-ChildItem "$env:APPDATA" -Recurse -ErrorAction SilentlyContinue | ? {$_.Extension -in ".tmp",".dat",".log",".scr",".cmd",".vbs",".js"}
  • Przeglądarki: wymuś unieważnienie tokenów (SSO/OAuth), wylogowanie sesji i rotację haseł menedżerów przeglądarek.

4) IAM & konta uprzywilejowane

  • Reset haseł (wymuś aktualizację po następnym logowaniu), MFA-reset dla użytkowników z podejrzaną telemetrią logowania.
  • Blokuj logowanie „impossible travel”, włącz step-up MFA przy ryzyku średnim/wysokim (Conditional Access).

5) Hardening i prewencja

  • Attachment Sandboxing i link rewriting w secure email gateway (stealery często startują od phishu).
  • AppLocker/WDAC – blokowanie uruchomień z %AppData%, %Temp%, %ProgramData%.
  • EDR: reguły na mass credential access (LSASS handle open, DPAPI blob access, enumeracja profili przeglądarek).

6) Komunikacja z użytkownikami

  • Wyślij jasny komunikat do pracowników: możliwa ekspozycja haseł i cookies; opisz proces rotacji i weryfikacji urządzeń.

Różnice / porównania z innymi przypadkami

  • Qakbot (2023) i TrickBot/Emotet (wcześniej) – silny efekt chwilowy, ale nastąpiła reassembly innej infrastruktury. Endgame od 2024 r. uderza systemowo w łańcuch dostaw (loadery, serwery, panele, domeny) zamiast pojedynczej rodziny – to zwiększa koszt odbudowy.
  • W bieżącej turze nowością jest połączenie takedownu z publiczną weryfikacją ofiar (CheckYourHack/HIBP) i aresztem developera RAT, co utrudnia utrzymanie produktu MaaS.

Podsumowanie / kluczowe wnioski

  • Endgame 3.0 to znaczący cios w kradzież tożsamości i zdalne przejęcia (Rhadamanthys/VenomRAT) oraz w zaplecze C2 (Elysium).
  • Efekty dla obrońców są realne, ale tymczasowe, jeśli nie nastąpi rotacja poświadczeń, unieważnienie sesji i wzmacnianie kontroli dostępu.
  • Wykorzystaj okno czasowe po takedownie, by wyczyścić środowisko i podnieść próg wejścia dla kolejnych kampanii.

Źródła / bibliografia

  1. BleepingComputer – przegląd akcji (1 025 serwerów, 20 domen, areszt 3 XI 2025) i kontekst Rhadamanthys. (BleepingComputer)
  2. Europol – oficjalny komunikat: „End of the game for cybercrime infrastructure” (liczby, zakres, areszt). (Europol)
  3. Eurojust – szczegóły prawne/operacyjne, liczby i informacja o portfelach krypto. (Eurojust)
  4. SecurityWeek – podsumowanie „Operation Endgame 3.0”, tło przeszukań i techniczne skutki. (SecurityWeek)
  5. Reuters – informacja o areszcie w Grecji i szerszym kontekście Endgame (maj 2025 oraz nowa tura). (Reuters)

Firefox 145 i Chrome 142 łatają luki o wysokiej wadze — co dokładnie naprawiono i jak szybko się zabezpieczyć

Wprowadzenie do problemu / definicja luki

11–12 listopada 2025 r. Mozilla i Google opublikowały stabilne aktualizacje przeglądarek Firefox 145 oraz Chrome 142, które usuwają istotne podatności bezpieczeństwa.

  • Chrome 142.0.7444.162/.163 (Windows), .162 (macOS/Linux) naprawia błąd w silniku V8 sklasyfikowany jako „high” (CVE-2025-13042).
  • Firefox 145 łata 16 podatności, w tym 9 o wysokiej wadze, głównie w obszarach Graphics/WebGPU, WebAssembly i JS JIT; część błędów to problemy z warunkami brzegowymi i wyścigiem, a także zbiorcze błędy bezpieczeństwa pamięci (CVE-2025-13021…13027).

Dodatkowo Firefox 145 wprowadza rozszerzone mechanizmy anty-fingerprinting, które znacząco utrudniają śledzenie użytkowników.

W skrócie

  • Chrome 142: jedna poprawka bezpieczeństwa „high” w V8 (CVE-2025-13042). Aktualizacja jest niewielka, ale ważna.
  • Firefox 145: 16 łatek, z czego 9 „high”; pięć dotyczy WebGPU (warunki brzegowe), jedna to race condition w grafice, jedna podatność w WebAssembly, jedna JIT miscompilation, plus zbiorcze błędy bezpieczeństwa pamięci.
  • Prywatność: nowe zabezpieczenia Firefoksa przeciw fingerprintingowi (na starcie w trybach Private/ETP Strict), istotnie ograniczają unikatowość odcisku przeglądarki.

Kontekst / historia / powiązania

Firefox od kilku wersji intensywnie rozwija WebGPU oraz równolegle twarde zabezpieczenia prywatności (ETP, Total Cookie Protection, anti-fingerprinting). W wydaniu 145 te dwa wątki „spotykają się”: z jednej strony naprawy błędów renderera, z drugiej — kolejne warstwy utrudniające identyfikację urządzenia.
Chrome cyklicznie dostarcza szybkie poprawki V8; nawet pojedyncza łatka „high” bywa krytyczna ze względu na ryzyko zdalnej eksploatacji przez złośliwy JS.

Analiza techniczna / szczegóły luki

Chrome 142 (V8)

  • CVE-2025-13042 – Inappropriate implementation in V8 (High): błąd implementacyjny w silniku JavaScript. Google ogranicza szczegóły do czasu szerokiego wdrożenia aktualizacji (standardowa praktyka), ale klasa ta często umożliwia DoS lub nawet remote code execution w kontekście renderera przy odpowiednio spreparowanym skrypcie. Wersje: 142.0.7444.162/.163 (Windows), .162 (macOS/Linux).

Firefox 145 (pakiet poprawek)

Najważniejsze elementy z MFSA 2025-87:

  • WebGPU / Graphics – incorrect boundary conditions (High): CVE-2025-13021, -13022, -13025 oraz dwa przypadki z potencjałem sandbox escape (CVE-2025-13023, -13026). Problemy z walidacją zakresów i granic buforów/tekstur mogą prowadzić do naruszenia pamięci.
  • Race condition w Graphics (High): CVE-2025-13012 — typowa klasa błędu deterministycznie trudna do reprodukcji, ale ryzykowna w kontekście równoległego przetwarzania grafiki.
  • WebAssembly (High): CVE-2025-13016 — nieprawidłowe warunki brzegowe w komponencie WebAssembly. Może skutkować niepoprawnymi odwołaniami do pamięci.
  • JS JIT miscompilation (High): CVE-2025-13024 — błąd kompilatora JIT może generować nieprawidłowy kod maszynowy, potencjalnie umożliwiając obejście mechanizmów bezpieczeństwa.
  • Memory safety bugs (High): CVE-2025-13027 — zbiorcza kategoria błędów bezpieczeństwa pamięci naprawiona w 145 (dotyczy też Thunderbird 145).

Uwaga: Mozilla i Google nie raportują na dziś potwierdzonych ataków „in the wild” dla wymienionych CVE, ale okno na odwrócenie łat (patch diffing) jest realne — szybka aktualizacja ma znaczenie.

Prywatność w Firefox 145

Nowe zabezpieczenia anty-fingerprinting standaryzują i/lub szumią część sygnałów identyfikacyjnych (m.in. rozdzielczość, czcionki, wskaźniki sprzętowe), obniżając odsetek unikatowych odcisków przeglądarki w testach Mozilli; startowo w Private Browsing i ETP Strict, z planem rozszerzeń.

Praktyczne konsekwencje / ryzyko

  • Ryzyko zdalne przez zawartość web: klasy V8/WebGPU/WebAssembly/JIT to typowy wektor przez złośliwy JS/WebGPU/WASM uruchamiany przy samej wizycie na stronie.
  • Escape’y z piaskownicy (CVE-2025-13023/-13026) zwiększają konsekwencje udanego ataku na renderer (potencjalnie dostęp do zasobów systemowych użytkownika).
  • Łatwość weaponizacji: po publikacji binarek i commitów rośnie ryzyko stworzenia PoC na bazie różnic w kodzie (diff). W praktyce okno kilku–kilkunastu dni to czas najwyższego ryzyka dla niezałatanych środowisk.

Rekomendacje operacyjne / co zrobić teraz

1) Pilna aktualizacja (end-user i fleet)

GUI:

  • Chrome: Menu → Help → About Google Chrome (uruchomi auto-update).
  • Firefox: Menu → Pomoc → O programie Firefox.

CLI (pojedyncze stacje):

# Windows (winget)
winget upgrade --id Google.Chrome --source winget
winget upgrade --id Mozilla.Firefox --source winget
# macOS (Homebrew)
brew update && brew upgrade --cask google-chrome firefox
# Ubuntu/Debian (repozytoria producentów)
sudo apt-get update
sudo apt-get install --only-upgrade google-chrome-stable firefox
# RHEL/Fedora
sudo dnf upgrade google-chrome-stable firefox

2) Weryfikacja wersji w organizacji

Windows/PowerShell (skan szybki):

# Chrome
Get-ItemProperty "HKLM:\Software\Microsoft\Windows\CurrentVersion\Uninstall\Google Chrome" -ErrorAction SilentlyContinue |
  Select-Object DisplayVersion

# Firefox (64-bit)
Get-ItemProperty "HKLM:\Software\Mozilla\Mozilla Firefox" -ErrorAction SilentlyContinue |
  Select-Object CurrentVersion

macOS (Chrome/Firefox):

# Chrome
defaults read "/Applications/Google Chrome.app/Contents/Info.plist" CFBundleShortVersionString
# Firefox
defaults read "/Applications/Firefox.app/Contents/Info.plist" CFBundleShortVersionString

Linux (wersje):

google-chrome --version
firefox --version

3) Polityki enterprise — wymuś auto-update i wersje docelowe

  • Chrome: użyj szablonów ADMX/Intune, ustaw AutoUpdateCheckPeriodMinutes, UpdateDefault i (opcjonalnie) TargetVersionPrefix zgodny z 142.0.7444.
  • Firefox: zarządzaj przez GPO / policies.json (Firefox for Enterprise). Dokumentacja: egzekwowanie polityk i dystrybucja w środowiskach korporacyjnych.

4) Obejścia ryzyka (opcjonalnie, tymczasowo — do czasu pełnego patchowania)

Tylko jeśli musisz utrzymać ekspozycję do czasu rollout’u aktualizacji.

Firefox — ogranicz WebGPU:

  • Ręcznie (pojedynczy host): about:config → ustaw dom.webgpu.enabled=false.
  • Enterprise: dystrybuuj preferencję poprzez policies.json/GPO (Preference/Policies).
    To ogranicza funkcjonalność WebGPU, lecz redukuje powierzchnię ataku z klas „incorrect boundary conditions”/„sandbox escape”. (Preferencja jest znana i używana do sterowania WebGPU).

Chrome: brak sensownego obejścia dla błędu w V8 poza szybką aktualizacją i twardymi zasadami przeglądania (uBO/NoScript, izolacja profili o podwyższonym ryzyku).

5) Monitoring / detekcja

  • EDR/SIEM: flaguj nowe procesy przeglądarki uruchamiane z nietypowymi argumentami, podejrzane child-processy (np. droppery spoza katalogów profilu), anomalia w bibliotekach GPU/ANGLE/WASM.
  • Hunt: krótkie okna czasowe wzrostu crashy w procesach renderera po wejściu na tę samą stronę mogą wskazywać na próby DoS/wykrywanie wersji.

Różnice / porównania z innymi przypadkami

  • Jedna „high” w Chrome vs. wiele „high” w Firefox: tu Firefox ma większą liczbę łatek, ale to odzwierciedla intensywny rozwój WebGPU/JIT — komponentów historycznie „wrażliwych”. Nie oznacza automatycznie, że Firefox jest „mniej bezpieczny”, raczej że zwiększono pokrycie fuzzingiem i twardo łata się powierzchnię ataku.
  • Prywatność: Firefox 145 przynosi wymierne wzmocnienia anty-fingerprinting (niedostępne w takim kształcie w Chrome), co dla organizacji privacy-by-design ma realną wartość.

Podsumowanie / kluczowe wnioski

  1. Zaktualizuj natychmiast do Chrome 142 i Firefox 145; nawet pojedyncza łatka V8 „high” jest krytyczna operacyjnie.
  2. Firefox 145 zamyka szereg luk w WebGPU/WASM/JIT; dwie z nich mają potencjał sandbox escape — to ważny powód do szybkiego rollout’u.
  3. Dodatkowy plus: lepsza prywatność w Firefox 145 dzięki nowym zabezpieczeniom anty-fingerprinting (na starcie w Private/ETP Strict).

Źródła / bibliografia

  • Chrome Releases – Stable Channel Update for Desktop (11 listopada 2025): wersje i CVE-2025-13042. (Chrome Releases)
  • Mozilla Foundation Security Advisory MFSA 2025-87Security Vulnerabilities fixed in Firefox 145 (lista CVE). (Mozilla)
  • Firefox 145 – Release Notes (nowości/funkcje). (firefox.com)
  • Mozilla Blog – Firefox expands fingerprinting protections (opis nowych zabezpieczeń prywatności). (Mozilla Blog)
  • SecurityWeek – przegląd aktualizacji Chrome 142 i Firefox 145 (kontekst rynkowy). (SecurityWeek)