Archiwa: SIEM - Strona 26 z 61 - Security Bez Tabu

Krytyczna luka w ConnectWise ScreenConnect (CVE-2026-3564). Ryzyko przejęcia sesji wymaga natychmiastowej aktualizacji

Cybersecurity news

Wprowadzenie do problemu / definicja

W marcu 2026 roku ujawniono krytyczną podatność w platformie ConnectWise ScreenConnect, oznaczoną jako CVE-2026-3564. Problem dotyczy mechanizmu uwierzytelniania i wynika z nieprawidłowej weryfikacji podpisu kryptograficznego, co może umożliwić zdalne przejęcie zaufanej sesji przez nieautoryzowanego atakującego bez interakcji użytkownika.

ScreenConnect jest szeroko wykorzystywany przez dostawców usług zarządzanych, działy IT oraz integratorów do zdalnego wsparcia i administracji urządzeniami. Z tego powodu każda krytyczna luka w tym produkcie przekłada się bezpośrednio na ryzyko operacyjne i bezpieczeństwo środowisk produkcyjnych.

W skrócie

CVE-2026-3564 dotyczy wszystkich wersji ScreenConnect wcześniejszych niż 26.1. Luka pozwala zdalnemu, nieuwierzytelnionemu napastnikowi nadużyć materiał kryptograficzny ASP.NET machine keys w celu sfałszowania zaufanego uwierzytelnienia i przejęcia sesji.

  • Podatne są wersje wcześniejsze niż 26.1.
  • Największe ryzyko dotyczy instalacji on-premises i self-hosted.
  • Producent udostępnił poprawkę i zaktualizował własne instancje chmurowe.
  • Administratorzy powinni pilnie wdrożyć aktualizację i przeanalizować logi.

Kontekst / historia

ScreenConnect od lat pozostaje jednym z kluczowych narzędzi zdalnego dostępu w środowiskach administracyjnych i serwisowych. Rozwiązania klasy RMM i remote access są jednak szczególnie atrakcyjne dla cyberprzestępców, ponieważ ich kompromitacja może zapewnić szeroki dostęp do stacji roboczych, serwerów i kont uprzywilejowanych.

W przypadku CVE-2026-3564 wskazano, że wcześniejsze wersje ScreenConnect przechowywały unikalne klucze ASP.NET dla instancji w plikach konfiguracyjnych serwera. W określonych warunkach materiał ten mógł zostać pozyskany, a następnie wykorzystany do nieuprawnionego uwierzytelnienia sesji. Doniesienia o próbach nadużywania ujawnionego materiału kluczy dodatkowo podnoszą priorytet działań po stronie obrońców.

Wersja 26.1, opublikowana w połowie marca 2026 roku, wprowadza mechanizmy wzmacniające bezpieczeństwo obsługi kluczy kryptograficznych, w tym bezpieczniejsze przechowywanie, zarządzanie oraz uproszczoną regenerację materiału kryptograficznego.

Analiza techniczna

Podatność sklasyfikowano jako improper verification of cryptographic signature. W praktyce oznacza to, że zaufanie do tokenów lub artefaktów sesyjnych mogło zostać naruszone, jeśli atakujący wszedł w posiadanie odpowiedniego materiału kryptograficznego wykorzystywanego przez aplikację ASP.NET.

Przykładowy scenariusz ataku można opisać następująco:

  • napastnik pozyskuje klucze machine keys przypisane do instancji ScreenConnect,
  • wykorzystuje je do wygenerowania lub podrobienia zaufanych elementów uwierzytelniających,
  • serwer akceptuje przygotowane dane jako poprawne,
  • w rezultacie dochodzi do przejęcia aktywnej lub logicznie zaufanej sesji.

Znaczenie tej luki rośnie ze względu na charakter samego produktu. Po przejęciu sesji atakujący może wykonywać działania administracyjne w konsoli, inicjować połączenia zdalne do zarządzanych endpointów, uruchamiać polecenia, instalować złośliwe oprogramowanie albo modyfikować konfigurację środowiska. W organizacjach korzystających z ScreenConnect do zdalnego wsparcia użytkowników skutkiem może być szybkie rozszerzenie kompromitacji na kolejne systemy.

Konsekwencje / ryzyko

Najpoważniejszą konsekwencją CVE-2026-3564 jest naruszenie zaufania do sesji administracyjnych w ScreenConnect. W zależności od architektury wdrożenia i poziomu uprawnień skutki mogą być bardzo rozległe.

  • nieautoryzowany dostęp do konsoli administracyjnej,
  • przejęcie połączeń do stacji roboczych i serwerów,
  • wykonywanie poleceń z wysokimi uprawnieniami,
  • wdrożenie ransomware lub narzędzi post-exploitation,
  • kradzież danych z urządzeń końcowych,
  • zmiana konfiguracji agentów i mechanizmów zdalnego dostępu,
  • wykorzystanie przejętej instancji jako punktu wyjścia do ruchu lateralnego.

Ryzyko jest szczególnie wysokie w środowiskach MSP oraz w organizacjach obsługujących wielu klientów lub wiele segmentów infrastruktury z jednej centralnej instancji. W takim modelu pojedyncza podatność może uruchomić efekt kaskadowy i doprowadzić do naruszenia wielu odseparowanych środowisk jednocześnie.

Dodatkowym problemem pozostaje ograniczona możliwość szybkiego potwierdzenia kompromitacji, jeśli organizacja nie prowadzi szczegółowej analizy telemetrycznej. Brak jednoznacznych wskaźników nie powinien być traktowany jako dowód braku nadużycia.

Rekomendacje

Podstawowym działaniem obronnym jest natychmiastowa aktualizacja wszystkich instancji on-premises i self-hosted do wersji 26.1 lub nowszej. W środowiskach o wysokiej krytyczności operacyjnej aktualizacja powinna zostać połączona z przeglądem integralności instancji oraz analizą dzienników zdarzeń.

  • zaktualizować ScreenConnect do najnowszej wspieranej wersji,
  • zregenerować materiał kryptograficzny instancji, jeśli istnieje podejrzenie ekspozycji kluczy lub konfiguracji,
  • przeanalizować logi pod kątem nietypowych zdarzeń uwierzytelniania i nieoczekiwanych działań administracyjnych,
  • sprawdzić, czy nie wystąpiły nieautoryzowane sesje do endpointów,
  • ograniczyć dostęp do plików konfiguracyjnych, kopii zapasowych, eksportów konfiguracji i historycznych snapshotów,
  • zweryfikować uprawnienia na poziomie serwera i samej instancji,
  • dopuścić wyłącznie zaufane i aktualne rozszerzenia,
  • skontrolować systemy EDR i SIEM pod kątem oznak wykonania poleceń, nowych usług i instalacji malware.

Warto również potraktować tę podatność jako impuls do szerszego przeglądu architektury bezpieczeństwa narzędzi zdalnego dostępu. Szczególne znaczenie mają segmentacja administracyjna, wieloskładnikowe uwierzytelnianie, ochrona sekretów aplikacyjnych oraz regularne testy procedur reagowania na incydenty.

Podsumowanie

CVE-2026-3564 to krytyczna luka w ConnectWise ScreenConnect, która podważa zaufanie do mechanizmów sesyjnych poprzez możliwość nadużycia materiału kryptograficznego ASP.NET. Nie jest to zwykły błąd aplikacyjny, lecz podatność mogąca bezpośrednio prowadzić do przejęcia zdalnego dostępu i eskalacji incydentu do poziomu całej infrastruktury.

Najważniejszy wniosek dla organizacji jest jednoznaczny: jeśli instancje ScreenConnect nie zostały jeszcze załatane, aktualizacja powinna zostać wdrożona natychmiast, a następnie uzupełniona o przegląd logów, ocenę ekspozycji danych konfiguracyjnych i weryfikację potencjalnych oznak nadużycia.

Źródła

  1. https://www.helpnetsecurity.com/2026/03/20/connectwise-screenconnect-cve-2026-3564/
  2. https://www.connectwise.com/company/trust/advisories
  3. https://www.connectwise.com/company/trust/security-bulletins
  4. https://screenconnect.product.connectwise.com/

Były analityk danych skazany za próbę wymuszenia 2,5 mln USD po kradzieży danych firmowych

Cybersecurity news

Wprowadzenie do problemu / definicja

Incydenty z kategorii insider threat należą do najtrudniejszych wyzwań w cyberbezpieczeństwie, ponieważ sprawca działa z wykorzystaniem legalnie nadanych uprawnień i zna wewnętrzne procesy organizacji. Taki model nadużycia pozwala ominąć część klasycznych mechanizmów wykrywania ataków zewnętrznych i zwiększa ryzyko kradzieży danych, sabotażu lub wymuszenia.

Opisana sprawa pokazuje, że zagrożenie wewnętrzne może bardzo szybko przejść z fazy nadużycia dostępu do realnej presji finansowej wobec firmy. W centrum incydentu znalazły się dane płacowe i dokumenty korporacyjne, które miały zostać wykorzystane jako narzędzie szantażu.

W skrócie

Były kontraktor pracujący jako analityk danych został uznany za winnego próby wymuszenia 2,5 mln USD od firmy technologicznej działającej w modelu SaaS. Według ustaleń wykorzystał dostęp do poufnych danych, skopiował materiały firmowe, a po zakończeniu współpracy groził ich ujawnieniem.

  • Sprawca miał dostęp do danych kadrowo-płacowych i dokumentów korporacyjnych.
  • Po zakończeniu kontraktu rozpoczął kampanię e-mailową o charakterze wymuszeniowym.
  • Żądał 2,5 mln USD w zamian za nieujawnianie skradzionych informacji.
  • W sprawie zabezpieczono urządzenia elektroniczne zawierające materiał dowodowy.

Kontekst / historia

Sprawa dotyczy 27-letniego Camerona Curry’ego, występującego również pod aliasem „Loot”. Celem była firma Brightly Software, dostawca oprogramowania SaaS, wcześniej znany jako SchoolDude. Organizacja obsługuje szeroką bazę klientów i przetwarza znaczące ilości danych operacyjnych oraz administracyjnych, co zwiększa wartość takich zasobów z perspektywy sprawcy.

Istotnym elementem tła był model zatrudnienia kontraktowego oraz świadomość, że sześciomiesięczna umowa nie zostanie przedłużona. Według ustaleń właśnie w tym okresie doszło do pozyskania wrażliwych danych, które następnie miały zostać użyte jako instrument nacisku na organizację.

Z opisu sprawy wynika, że między sierpniem a grudniem 2023 roku miało dojść do skopiowania dokumentów i danych. Dzień po zakończeniu kontraktu rozpoczęła się kampania wymuszeniowa prowadzona za pomocą wiadomości e-mail kierowanych do pracowników firmy.

Analiza techniczna

Z technicznego punktu widzenia nie był to klasyczny cyberatak polegający na przełamaniu zabezpieczeń zewnętrznych. Kluczową rolę odegrało nadużycie autoryzowanego dostępu, czyli scenariusz szczególnie trudny do wykrycia bez rozwiniętych mechanizmów monitoringu behawioralnego oraz kontroli eksportu danych.

Sprawca miał posiadać dostęp do danych płacowych oraz dokumentacji korporacyjnej, co może wskazywać na zbyt szeroki zakres uprawnień względem realnych potrzeb biznesowych. Taki przypadek dobrze ilustruje ryzyko wynikające z naruszenia zasady najmniejszych przywilejów, zwłaszcza w środowiskach, gdzie kontraktorzy otrzymują dostęp do wrażliwych systemów.

W kampanii wymuszeniowej wykorzystano wiadomości e-mail oraz załączniki zawierające fragmenty danych i zrzuty arkuszy kalkulacyjnych. Tego typu działanie odpowiada modelowi proof of possession, w którym sprawca pokazuje próbkę skradzionych informacji, aby uwiarygodnić groźby i zwiększyć presję na ofiarę.

Ważnym aspektem było także wykorzystanie argumentu regulacyjnego. W wiadomościach miały pojawić się groźby eskalacji sprawy do organu nadzoru, co pokazuje, że współczesne wymuszenia coraz częściej łączą ryzyko ujawnienia danych z presją prawną, reputacyjną i organizacyjną.

Dodatkowo przewinął się wątek płatności w Bitcoinie. Nawet jeśli przekazana kwota była znacznie niższa od żądanej sumy, sama transakcja kryptowalutowa mogła stanowić istotny ślad dowodowy w dalszej analizie śledczej.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem tego rodzaju incydentu jest naruszenie poufności danych pracowniczych. Ujawnienie informacji kadrowych i płacowych może prowadzić do dalszych nadużyć, takich jak spear phishing, kradzież tożsamości, oszustwa socjotechniczne czy wykorzystanie wiedzy o strukturze organizacji do kolejnych ataków.

Drugim wymiarem ryzyka są skutki operacyjne i reputacyjne. Nawet bez pełnej publikacji danych firma musi uruchomić działania kryzysowe, obejmujące analizę śledczą, wsparcie prawne, ocenę obowiązków notyfikacyjnych oraz komunikację z pracownikami i interesariuszami.

Trzeci obszar to niewystarczający offboarding. Jeżeli organizacja nie ogranicza dostępu odpowiednio wcześnie, nie monitoruje nietypowych eksportów danych lub nie stosuje dodatkowych kontroli wobec kont kontraktowych, tworzy się okno podatności możliwe do wykorzystania przed zakończeniem współpracy.

Rekomendacje

Organizacje powinny ograniczać dostęp do danych HR, płacowych i korporacyjnych zgodnie z zasadą najmniejszych przywilejów. Szczególnie ważne jest rozdzielenie uprawnień według roli, czasu dostępu oraz uzasadnionej potrzeby biznesowej.

  • Wdrożenie kontroli DLP dla wrażliwych dokumentów i arkuszy kalkulacyjnych.
  • Monitorowanie masowych odczytów, pobrań i eksportów danych z systemów HR oraz finansowych.
  • Stosowanie UEBA i korelacji zdarzeń w SIEM do wykrywania anomalii charakterystycznych dla insider threat.
  • Automatyczne wycofywanie uprawnień, unieważnianie sesji i reset tokenów przy zakończeniu współpracy.
  • Przegląd aktywności użytkownika w ostatnich tygodniach przed odejściem z organizacji.
  • Przygotowanie procedur reagowania na scenariusze data theft i data extortion.

W praktyce szczególnej uwagi wymagają osoby, które wiedzą wcześniej o rozwiązaniu lub nieprzedłużeniu umowy. To moment podwyższonego ryzyka, w którym monitoring dostępu i szybkie działania administracyjne powinny być priorytetem.

Podsumowanie

Sprawa skazania byłego analityka danych za próbę wymuszenia wobec Brightly Software stanowi wyraźne ostrzeżenie dla organizacji przetwarzających dane wrażliwe. Nie doszło tu do klasycznego włamania z zewnątrz, lecz do wykorzystania legalnego dostępu przez osobę znającą środowisko i procesy firmy.

Najważniejszy wniosek jest praktyczny: skuteczna obrona przed insider threat wymaga połączenia ścisłej kontroli dostępu, monitoringu anomalii, dojrzałego offboardingu oraz gotowości do reagowania na wymuszenia oparte na kradzieży danych. W nowoczesnych organizacjach SaaS bezpieczeństwo musi obejmować nie tylko ochronę przed intruzami z internetu, ale również nadużycia zaufania wewnątrz firmy.

Źródła

  1. BleepingComputer — Ex-data analyst stole company data in $2.5M extortion scheme — https://www.bleepingcomputer.com/news/security/data-analyst-found-guilty-of-extorting-brightly-software-of-25-million/
  2. DocumentCloud — Indictment materials referenced in the case — https://www.documentcloud.org/
  3. Brightly Software — Company information — https://www.brightlysoftware.com/

CISA nakazuje pilne łatanie krytycznej luki w Cisco Secure FMC wykorzystywanej w atakach ransomware

Cybersecurity news

Wprowadzenie do problemu / definicja

Amerykańska agencja CISA wydała pilne zalecenie dotyczące aktualizacji systemów Cisco Secure Firewall Management Center wykorzystywanych przez instytucje federalne. Powodem jest krytyczna podatność CVE-2026-20131, która umożliwia zdalne wykonanie kodu bez uwierzytelnienia i z uprawnieniami roota. Problem dotyczy interfejsu zarządzania WWW, a więc jednego z najbardziej wrażliwych elementów środowiska bezpieczeństwa sieciowego.

Dla organizacji korzystających z centralnego zarządzania zaporami i politykami bezpieczeństwa oznacza to realne ryzyko przejęcia kontroli nad kluczową warstwą administracyjną. Tego typu luka nie stanowi wyłącznie problemu pojedynczego serwera, lecz potencjalny punkt wejścia do szerszej kompromitacji infrastruktury.

W skrócie

CVE-2026-20131 to podatność typu RCE w Cisco Secure FMC wynikająca z niebezpiecznej deserializacji danych dostarczanych przez użytkownika. Atakujący może przesłać specjalnie przygotowany obiekt Java do interfejsu zarządzania i doprowadzić do wykonania własnego kodu.

  • Luka ma maksymalny poziom krytyczności.
  • Nie wymaga uwierzytelnienia.
  • Pozwala na wykonanie kodu z uprawnieniami roota.
  • Poprawki zostały opublikowane 4 marca 2026 roku.
  • 18 marca 2026 roku potwierdzono aktywne wykorzystywanie podatności.
  • CISA dodała błąd do katalogu Known Exploited Vulnerabilities i wyznaczyła termin remediacji do 22 marca 2026 roku dla agencji federalnych.

Kontekst / historia

Cisco Secure FMC to centralna platforma administracyjna dla wielu kluczowych funkcji bezpieczeństwa, w tym zapór sieciowych, systemów IPS, kontroli aplikacji, filtrowania URL i mechanizmów ochrony przed malware. Z tego powodu skuteczne przejęcie takiego systemu może przełożyć się na utratę kontroli nad znaczną częścią zabezpieczeń organizacji.

Producent ujawnił podatność na początku marca 2026 roku, podkreślając brak skutecznych obejść i konieczność instalacji aktualizacji. Sytuacja szybko eskalowała, gdy pojawiły się informacje o rzeczywistym wykorzystaniu luki w atakach, w tym przez operatorów ransomware Interlock. To nadało incydentowi charakter zero-day, ponieważ podatność była wykorzystywana jeszcze przed publicznym ujawnieniem i wydaniem poprawek.

Analiza techniczna

Źródłem problemu jest niebezpieczna deserializacja danych wejściowych w formacie Java. W praktyce aplikacja przetwarza strumień bajtów pochodzący od użytkownika w sposób, który może doprowadzić do uruchomienia złośliwego kodu kontrolowanego przez napastnika. Jeśli interfejs WWW jest dostępny z sieci, przeciwnik nie potrzebuje poprawnych poświadczeń, aby podjąć próbę ataku.

Najgroźniejsze w tej luce jest połączenie trzech czynników: zdalnego wektora ataku, braku konieczności uwierzytelnienia oraz wykonania kodu z najwyższymi uprawnieniami. Taki zestaw cech oznacza bardzo niski próg wejścia dla napastnika i bardzo wysokie konsekwencje dla ofiary. W przypadku platformy zarządzającej urządzeniami bezpieczeństwa może to umożliwić manipulację politykami ochrony, obserwację ruchu, przygotowanie kolejnych etapów intruzji lub utrzymanie trwałego dostępu.

Dodatkowo ujawniono, że grupa Interlock wykorzystywała CVE-2026-20131 od końca stycznia 2026 roku, czyli na długo przed publicznym ogłoszeniem problemu. To sugeruje, że podatność była elementem dojrzałych operacji ofensywnych, a nie jedynie oportunistycznych prób wykorzystania po publikacji łatek.

Konsekwencje / ryzyko

Ryzyko związane z CVE-2026-20131 należy ocenić jako krytyczne. Cisco Secure FMC pełni funkcję centralnego punktu zarządzania, dlatego jego kompromitacja może wywołać efekt domina w całym środowisku bezpieczeństwa. Udany atak może prowadzić do przejęcia warstwy administracyjnej, osłabienia inspekcji ruchu, modyfikacji reguł zapór i utraty integralności polityk ochronnych.

Włączenie tej podatności do łańcucha ataków ransomware dodatkowo zwiększa ryzyko biznesowe. Organizacje muszą brać pod uwagę możliwość przestojów operacyjnych, zakłócenia dostępności usług, kosztownego reagowania incydentowego, a także skutków regulacyjnych i reputacyjnych. Szczególne zagrożenie dotyczy podmiotów, które udostępniają interfejsy zarządcze z sieci publicznej lub nie prowadzą ciągłego monitorowania zmian administracyjnych.

Rekomendacje

Organizacje korzystające z Cisco Secure FMC powinny w pierwszej kolejności ustalić, czy posiadają podatne wersje oprogramowania, a następnie niezwłocznie wdrożyć dostępne poprawki bezpieczeństwa. Jeśli szybkie łatanie nie jest możliwe, należy ograniczyć ekspozycję interfejsu zarządzania lub czasowo wyłączyć podatny system z użycia.

Równolegle warto przeprowadzić przegląd logów i zdarzeń bezpieczeństwa pod kątem oznak kompromitacji. Szczególną uwagę należy zwrócić na nietypowe żądania HTTP kierowane do panelu administracyjnego, nieautoryzowane zmiany konfiguracji, podejrzane procesy Java, nowe zadania administracyjne oraz ruch pochodzący z nieznanych adresów IP.

  • Natychmiast zainstalować poprawki dostarczone przez Cisco.
  • Ograniczyć dostęp do interfejsów administracyjnych wyłącznie do wydzielonych sieci zarządczych.
  • Wdrożyć segmentację i listy ACL dla systemów zarządzania.
  • Monitorować zdarzenia administracyjne w systemach SIEM.
  • Przeprowadzić threat hunting pod kątem śladów wykorzystania luki.
  • Przygotować procedurę awaryjnego odłączenia centralnych narzędzi zarządzania.

Jeśli istnieje podejrzenie wcześniejszego wykorzystania błędu, samo wdrożenie łatki nie powinno być traktowane jako pełne rozwiązanie problemu. Konieczna jest analiza śledcza, weryfikacja trwałości dostępu napastnika oraz sprawdzenie, czy nie doszło do zmian w politykach bezpieczeństwa lub instalacji dodatkowych komponentów w środowisku.

Podsumowanie

CVE-2026-20131 to podatność o najwyższym priorytecie operacyjnym: krytyczna, aktywnie wykorzystywana i dotycząca systemu centralnego dla zarządzania bezpieczeństwem sieciowym. Połączenie zdalnego wykonania kodu, braku uwierzytelnienia i uprawnień roota sprawia, że luka stanowi bezpośrednie zagrożenie dla organizacji korzystających z Cisco Secure FMC.

Decyzja CISA o narzuceniu bardzo krótkiego terminu na remediację potwierdza wagę problemu. Dla zespołów bezpieczeństwa oznacza to konieczność natychmiastowego łatania, ograniczenia ekspozycji usług zarządczych oraz sprawdzenia, czy środowisko nie zostało już naruszone.

Źródła

  1. CISA orders feds to patch max-severity Cisco flaw by Sunday — https://www.bleepingcomputer.com/news/security/cisa-orders-feds-to-patch-max-severity-cisco-flaw-by-sunday/
  2. Cisco Security Advisory: Cisco Secure Firewall Management Center Software Remote Code Execution Vulnerability — https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-rce-NKhnULJh
  3. Ransomware gang exploits Cisco flaw in zero-day attacks since January — https://www.bleepingcomputer.com/news/security/interlock-ransomware-exploited-secure-fmc-flaw-in-zero-day-attacks-since-january/

Ceros wzmacnia kontrolę nad Claude Code: nowa warstwa bezpieczeństwa dla agentów AI

Cybersecurity news

Wprowadzenie do problemu / definicja

Rosnąca popularność agentów AI wspierających programistów zmienia model ryzyka w organizacjach. Narzędzia takie jak Claude Code nie pełnią już wyłącznie roli asystenta konwersacyjnego, ale działają jako aktywni agenci wykonujący operacje na lokalnej stacji roboczej użytkownika. W praktyce oznacza to możliwość odczytu plików, uruchamiania poleceń systemowych, korzystania z interfejsów API i łączenia się z dodatkowymi usługami integracyjnymi.

Z perspektywy bezpieczeństwa kluczowe jest to, że agent AI dziedziczy uprawnienia użytkownika, który go uruchamia. Może więc uzyskać dostęp do repozytoriów kodu, sekretów, kluczy SSH, danych konfiguracyjnych czy nawet środowisk produkcyjnych. Ceros jest pozycjonowany jako warstwa kontroli i obserwowalności, której celem jest objęcie nadzorem lokalnych działań wykonywanych przez Claude Code.

W skrócie

Ceros to rozwiązanie zaprojektowane jako warstwa zaufania dla agentów AI uruchamianych na urządzeniach deweloperskich. Jego zadaniem jest monitorowanie aktywności Claude Code oraz egzekwowanie polityk bezpieczeństwa w czasie rzeczywistym.

  • Zapewnia widoczność działań agenta na stacji roboczej.
  • Umożliwia blokowanie lub ograniczanie wybranych operacji jeszcze przed ich wykonaniem.
  • Tworzy kryptograficznie chroniony ślad audytowy.
  • Rozszerza kontrolę na lokalne narzędzia, połączenia MCP i stan bezpieczeństwa urządzenia.

Kontekst / historia

Tradycyjne programy bezpieczeństwa były budowane wokół użytkowników, aplikacji, kont serwisowych i ruchu sieciowego. Mechanizmy takie jak EDR, SIEM, CASB czy DLP dobrze sprawdzają się wtedy, gdy zdarzenie jest już widoczne na poziomie systemowym albo sieciowym.

Problem pojawia się, gdy agent AI działa lokalnie i korzysta z narzędzi dostępnych na urządzeniu użytkownika. W takim modelu aktywność może wyglądać jak zwykła praca programisty, mimo że w rzeczywistości została wykonana przez agenta. Powstaje więc luka kontrolna pomiędzy momentem wykonania działania a chwilą, gdy zdarzenie stanie się widoczne dla centralnych systemów bezpieczeństwa.

Wraz z wdrażaniem agentowych narzędzi AI do zespołów inżynieryjnych rośnie znaczenie mechanizmów governance, rozliczalności i audytu. Jest to szczególnie istotne dla organizacji podlegających wymogom regulacyjnym i kontraktowym, które muszą jednoznacznie wykazać, kto, kiedy i w jakim kontekście wykonał określone operacje.

Analiza techniczna

Według opisu rozwiązania Ceros działa bezpośrednio na stacji roboczej dewelopera i uruchamia Claude Code w kontrolowanym kontekście. Taki model pozwala obserwować aktywność agenta jeszcze zanim skutki jego działań staną się widoczne poza urządzeniem. To istotna różnica względem narzędzi bazujących wyłącznie na monitorowaniu sieci lub bram API.

Platforma ma gromadzić informacje o stanie urządzenia, takie jak system operacyjny, wersja jądra, status szyfrowania dysku, Secure Boot oraz aktywność ochrony endpointu. Dodatkowo rejestrowane ma być pełne drzewo procesów prowadzących do uruchomienia Claude Code wraz z hashami binariów. Taki zestaw danych ułatwia analizę incydentów i ocenę integralności łańcucha zaufania.

Jednym z najważniejszych elementów jest widoczność wywołań narzędzi. Jeśli użytkownik zada agentowi pozornie niewinne pytanie, model może zainicjować wykonanie komendy systemowej. Ceros ma ujawniać, jakie narzędzia są dostępne dla agenta, jakie polecenia zostały faktycznie uruchomione, z jakimi argumentami i z jakim rezultatem.

Szczególne znaczenie mają serwery MCP, czyli integracje umożliwiające agentowi dostęp do dodatkowych usług i źródeł danych. Mogą one obejmować komunikatory, pocztę, bazy danych, wewnętrzne API czy zasoby infrastruktury. Z punktu widzenia bezpieczeństwa każdy taki serwer stanowi kolejną ścieżkę dostępu do danych i funkcji biznesowych. Ceros ma zapewniać ich inwentaryzację, śledzenie pierwszego wykrycia, przypisanie do konkretnych urządzeń oraz status zatwierdzenia.

Warstwa polityk ma działać runtime’owo, a więc przed wykonaniem operacji. Dzięki temu możliwe jest nie tylko monitorowanie działań, ale również ich blokowanie. Przykładowe scenariusze obejmują dopuszczanie wyłącznie zatwierdzonych serwerów MCP, blokowanie użycia powłoki Bash czy ograniczanie dostępu do plików poza katalogiem projektu.

Istotnym elementem jest także ciągła ocena stanu bezpieczeństwa urządzenia. Jeśli organizacja wymaga aktywnego szyfrowania dysku i uruchomionej ochrony endpointu, sesja agenta może zostać ograniczona lub zablokowana w momencie niespełnienia tych wymagań. Oznacza to przejście od jednorazowej weryfikacji do ciągłej walidacji ryzyka.

Na potrzeby zgodności i audytu Ceros akcentuje niezmienność logów. Wpisy mają być podpisywane kryptograficznie kluczem powiązanym sprzętowo jeszcze przed opuszczeniem urządzenia. Taki mechanizm zwiększa wiarygodność materiału dowodowego i utrudnia manipulację zapisami audytowymi.

Konsekwencje / ryzyko

Najważniejszym ryzykiem związanym z agentami AI w środowisku deweloperskim jest zatarcie granicy między zapytaniem użytkownika a wykonaniem uprzywilejowanej operacji. Każda interakcja z agentem może przełożyć się na realne działania na systemie, plikach lub usługach zewnętrznych.

Ryzyko obejmuje kilka obszarów:

  • nieautoryzowaną ekspozycję danych lokalnych, takich jak pliki projektowe, tokeny i sekrety,
  • uruchamianie poleceń systemowych prowadzących do naruszenia integralności środowiska,
  • rozszerzenie powierzchni ataku przez niekontrolowane integracje MCP,
  • trudności z rozliczalnością działań wykonywanych przez agenta w imieniu użytkownika.

Dla działów compliance szczególnie problematyczny jest brak jednoznacznego rozróżnienia między aktywnością człowieka a operacjami wykonanymi przez agenta. Bez precyzyjnego śladu audytowego analiza incydentów i wykazanie zgodności z regulacjami stają się znacznie trudniejsze.

Rekomendacje

Organizacje wdrażające agentów AI do procesów programistycznych powinny traktować je jako nową klasę tożsamości operacyjnej, a nie jedynie narzędzie zwiększające produktywność. Oznacza to konieczność objęcia ich politykami bezpieczeństwa, monitoringiem i formalnym procesem zatwierdzania integracji.

  • Zidentyfikować zespoły korzystające z agentów kodujących oraz ich rzeczywiste uprawnienia.
  • Wdrożyć zasadę najmniejszych uprawnień na poziomie stacji roboczej, sekretów i dostępu do środowisk.
  • Utworzyć listę dozwolonych integracji MCP i blokować połączenia niezatwierdzone.
  • Ograniczyć możliwość wykonywania poleceń powłoki oraz dostęp do wrażliwych ścieżek systemowych.
  • Powiązać sesję agenta z potwierdzoną tożsamością użytkownika i stanem bezpieczeństwa urządzenia.
  • Zapewnić logowanie pełnej sekwencji działań agenta w sposób odporny na manipulację.

Z perspektywy SOC i zespołów reagowania na incydenty kluczowe jest wdrożenie telemetryki pozwalającej odtworzyć całą ścieżkę działania — od promptu, przez wywołania narzędzi, aż po wynik operacji. Tylko wtedy możliwe będzie skuteczne dochodzenie i korelacja z innymi źródłami danych bezpieczeństwa.

Podsumowanie

Agenci AI tacy jak Claude Code wprowadzają nowy model ryzyka, ponieważ działają lokalnie, korzystają z uprawnień użytkownika i często wyprzedzają tradycyjne mechanizmy kontroli oparte na obserwacji ruchu sieciowego. W efekcie bezpieczeństwo musi przesunąć punkt ciężkości z samego monitorowania komunikacji na analizę intencji, kontekstu wykonania i narzędzi używanych przez agenta.

Ceros został przedstawiony jako rozwiązanie adresujące tę lukę poprzez połączenie widoczności, egzekwowania polityk i kryptograficznie zabezpieczonego audytu. Niezależnie od wyboru konkretnej platformy jedno jest jasne: organizacje muszą budować kontrolę nad agentami AI na poziomie endpointu, tożsamości, integracji i dowodów audytowych.

Źródła

  1. The Hacker News — https://thehackernews.com/2026/03/how-ceros-gives-security-teams.html
  2. Anthropic Documentation — Claude Code Overview — https://docs.anthropic.com/
  3. Beyond Identity — Ceros / AI Trust Layer — https://www.beyondidentity.com/

Krytyczna luka w ScreenConnect może ułatwić przejęcie sesji i eskalację uprawnień

Cybersecurity news

Wprowadzenie do problemu / definicja

ScreenConnect to popularna platforma do zdalnego dostępu i administracji, szeroko wykorzystywana przez zespoły IT, dostawców usług zarządzanych oraz działy wsparcia technicznego. Najnowsza podatność oznaczona jako CVE-2026-3564 dotyczy sposobu przechowywania kluczy maszynowych używanych do ochrony i walidacji danych sesyjnych, co stwarza poważne ryzyko dla bezpieczeństwa instancji on-premise.

Problem ma charakter krytyczny, ponieważ ujawnienie materiału kryptograficznego może umożliwić nieautoryzowane operacje w obrębie aplikacji, w tym przejęcie aktywnych sesji, fałszowanie zaufanych danych oraz potencjalną eskalację uprawnień.

W skrócie

Podatność CVE-2026-3564 otrzymała ocenę CVSS 9.0 i dotyczy wersji ScreenConnect wcześniejszych niż 26.1. Sedno problemu polega na tym, że wcześniejsze wydania przechowywały unikalne klucze maszynowe instancji w plikach konfiguracyjnych serwera, co w określonych scenariuszach mogło prowadzić do ich wycieku.

  • Dotknięte są wersje ScreenConnect starsze niż 26.1.
  • Największe ryzyko dotyczy wdrożeń lokalnych.
  • Producent wprowadził w wersji 26.1 szyfrowane przechowywanie i zarządzanie kluczami.
  • Środowiska chmurowe zostały zabezpieczone po stronie dostawcy.

Kontekst / historia

Podatności związane z kluczami maszynowymi ASP.NET od lat są uznawane za szczególnie niebezpieczne. Tego typu klucze odpowiadają za podpisywanie i walidację różnych danych chronionych przez aplikację, takich jak tokeny, wartości sesyjne oraz inne struktury wykorzystywane do utrzymania zaufania pomiędzy klientem a serwerem.

Jeżeli taki materiał kryptograficzny zostanie ujawniony, napastnik może próbować tworzyć lub modyfikować dane w sposób akceptowany przez aplikację jako prawidłowy. W przypadku ScreenConnect producent wskazał, że wcześniejsze wersje przechowywały unikalne klucze instancji w konfiguracji serwera, co nie oznacza automatycznie zdalnego kompromitowania każdej instalacji, ale wyraźnie zwiększa ryzyko w razie naruszenia hosta, wycieku kopii zapasowych albo błędnej konfiguracji uprawnień.

Analiza techniczna

CVE-2026-3564 została sklasyfikowana pod CWE-347, czyli niewłaściwą weryfikacją podpisu kryptograficznego. W praktyce problem nie ogranicza się do samego algorytmu, lecz dotyczy ochrony sekretów wykorzystywanych do generowania i walidacji danych, którym aplikacja ufa.

W architekturze opartej na ASP.NET klucze maszynowe stanowią podstawę integralności i autentyczności chronionych danych. Jeśli atakujący zdobędzie taki klucz, może próbować generować poprawnie podpisane wartości albo modyfikować istniejące struktury tak, aby serwer uznał je za legalne. W kontekście ScreenConnect może to prowadzić do uzyskania nieautoryzowanego dostępu do funkcji administracyjnych, przejęcia aktywnych sesji lub wykonywania działań w imieniu uprawnionego użytkownika.

Kluczowym problemem wcześniejszych wersji było przechowywanie tego materiału w plikach konfiguracyjnych serwera. Taki model staje się niebezpieczny zwłaszcza wtedy, gdy dochodzi do częściowej kompromitacji hosta, wycieku backupów, nadmiernych uprawnień do katalogów aplikacji lub wtórnego dostępu po innym incydencie bezpieczeństwa. Wersja 26.1 zmienia ten model, wprowadzając szyfrowane przechowywanie i zarządzanie kluczami maszynowymi, co znacząco utrudnia ich praktyczne wykorzystanie po przejęciu plików konfiguracyjnych.

Konsekwencje / ryzyko

Z perspektywy obronnej największe ryzyko dotyczy środowisk on-premise, gdzie ScreenConnect pełni rolę uprzywilejowanego narzędzia administracyjnego. Kompromitacja takiego systemu może mieć efekt kaskadowy i otworzyć drogę do dalszej penetracji infrastruktury.

  • przejęcie aktywnych sesji zdalnych,
  • eskalacja uprawnień w obrębie instancji,
  • lateral movement do innych systemów,
  • nadużycie kont administracyjnych,
  • wdrożenie ransomware lub utrwalenie obecności napastnika.

Ryzyko rośnie szczególnie w organizacjach, które przechowują backupy konfiguracji w słabo chronionych lokalizacjach, nie ograniczają dostępu do plików aplikacyjnych, opóźniają aktualizacje lub nie monitorują logów pod kątem nietypowej aktywności sesyjnej.

Rekomendacje

Najważniejszym działaniem jest niezwłoczna aktualizacja wszystkich instalacji on-premise do ScreenConnect 26.1 lub nowszej wspieranej wersji. W praktyce organizacje powinny potraktować tę zmianę priorytetowo, zwłaszcza jeśli serwer jest dostępny z internetu lub obsługuje krytyczne procesy administracyjne.

  • zweryfikować wersję wszystkich instancji ScreenConnect,
  • przeprowadzić pilną aktualizację środowisk lokalnych,
  • ograniczyć dostęp do plików konfiguracyjnych, katalogów aplikacji i kopii zapasowych,
  • sprawdzić, czy backupy nie zawierają wrażliwego materiału dostępnego dla nieuprawnionych kont,
  • przeanalizować logi pod kątem nietypowych logowań, zmian uprawnień i anomalii sesyjnych,
  • skontrolować konta administracyjne zgodnie z zasadą najmniejszych uprawnień,
  • rozważyć rotację powiązanych sekretów oraz przegląd ekspozycji serwera,
  • wdrożyć dodatkowe reguły detekcji w SIEM i EDR.

W środowiskach o podwyższonym poziomie zagrożenia warto również przeprowadzić przegląd oznak potencjalnej kompromitacji z ostatnich tygodni lub miesięcy, zwłaszcza jeśli serwer współdzielił infrastrukturę z innymi systemami o niższym poziomie zaufania.

Podsumowanie

CVE-2026-3564 pokazuje, że bezpieczeństwo aplikacji zależy nie tylko od logiki biznesowej i ochrony sieciowej, ale również od właściwego zabezpieczenia materiału kryptograficznego. W przypadku ScreenConnect problem z przechowywaniem kluczy maszynowych mógł prowadzić do nadużyć związanych z walidacją danych sesyjnych, a w konsekwencji do przejęcia kontroli nad instancją.

Dla organizacji korzystających z instalacji lokalnych oznacza to konieczność pilnej aktualizacji, przeglądu dostępu do konfiguracji i backupów oraz wzmożonego monitorowania nieautoryzowanej aktywności. To przykład podatności, której skutki mogą być znacznie poważniejsze niż sugeruje sam mechanizm techniczny, ponieważ dotyczy narzędzia o wysokim poziomie uprzywilejowania w środowisku IT.

Źródła

  1. Critical ScreenConnect Vulnerability Exposes Machine Keys — https://www.securityweek.com/critical-screenconnect-vulnerability-exposes-machine-keys/
  2. ScreenConnect 26.1 Security Hardening — https://www.connectwise.com/company/trust/security-bulletins/2026-03-17-screenconnect-bulletin
  3. CVE-2026-3564 — https://www.cve.org/CVERecord?id=CVE-2026-3564
  4. CWE-347: Improper Verification of Cryptographic Signature — https://cwe.mitre.org/data/definitions/347.html
  5. CVSS v3.1 Specification Document — https://www.first.org/cvss/v3-1/specification-document

EDR Killers i BYOVD: jak cyberprzestępcy wyłączają ochronę endpointów przed atakiem ransomware

Cybersecurity news

Wprowadzenie do problemu / definicja

EDR killery to wyspecjalizowane narzędzia wykorzystywane przez operatorów ransomware do neutralizowania rozwiązań klasy Endpoint Detection and Response jeszcze przed uruchomieniem właściwego szyfratora. Coraz częściej opierają się one na technice BYOVD, czyli Bring Your Own Vulnerable Driver, polegającej na załadowaniu legalnie podpisanego, ale podatnego sterownika i wykorzystaniu jego błędów do uzyskania uprzywilejowanego dostępu w jądrze systemu.

To podejście zmienia sposób prowadzenia współczesnych ataków. Zamiast koncentrować się wyłącznie na ukrywaniu malware, przestępcy próbują najpierw osłabić lub całkowicie wyłączyć mechanizmy ochronne, aby ostatni etap ataku przebiegał bez zakłóceń i z minimalną widocznością dla zespołów bezpieczeństwa.

W skrócie

Najnowsze analizy pokazują, że znacząca część aktywnie obserwowanych EDR killerów wykorzystuje technikę BYOVD. Atakujący sięgają po dziesiątki legalnie podpisanych, lecz podatnych sterowników, aby uzyskać uprawnienia ring 0, kończyć procesy ochronne, wyłączać callbacki bezpieczeństwa i sabotować działanie produktów EDR oraz AV.

  • EDR killery stały się odrębnym etapem łańcucha ataku ransomware.
  • BYOVD pozwala nadużyć zaufanych sterowników zamiast ładować własny niepodpisany kod jądra.
  • Rynek obejmuje publiczne proof-of-concepty, zamknięte narzędzia grup ransomware i modele komercyjne typu usługa.
  • Obok wariantów BYOVD rośnie znaczenie narzędzi bezsterownikowych oraz nadużywanych anty-rootkitów.

Kontekst / historia

W nowoczesnych operacjach ransomware EDR killer przestał być dodatkiem, a stał się wyspecjalizowanym komponentem ofensywnym. Dla operatorów oznacza to prostszy model działania: zamiast stale modyfikować szyfrator pod kątem unikania detekcji, mogą wdrożyć osobne narzędzie służące do czasowego lub trwałego wyłączenia ochrony tuż przed szyfrowaniem danych.

Rozwój tego segmentu odbywa się wielotorowo. Część grup projektuje własne killery na użytek wewnętrzny, część bazuje na publicznie dostępnych kodach PoC i jedynie je rozwija, a inni korzystają z gotowych narzędzi kupowanych w podziemiu. W efekcie ten sam podatny sterownik może pojawiać się w wielu niespokrewnionych kampaniach, a konkretne narzędzie może zmieniać wykorzystywany driver bez zmiany głównej logiki ataku.

To zjawisko osłabia wartość prostych wskaźników kompromitacji. Sama obecność określonego sterownika nie musi już wskazywać na konkretną grupę, ponieważ komponenty są współdzielone, przepakowywane i wielokrotnie adaptowane przez różne podmioty.

Analiza techniczna

Technika BYOVD wykorzystuje słabość modelu zaufania do podpisanych sterowników. Atakujący dostarcza legalny moduł jądra, który mimo ważnego podpisu zawiera znane podatności. Po załadowaniu sterownika komponent działający w przestrzeni użytkownika komunikuje się z nim zwykle przez interfejsy I/O control, wymuszając operacje niedozwolone z poziomu zwykłego procesu.

W praktyce celem takich działań jest uzyskanie możliwości wykonywania operacji na poziomie jądra, a następnie sabotaż zabezpieczeń lokalnych. Dzięki temu przestępca może wyłączyć ochronę bez konieczności pisania własnego sterownika lub przełamywania mechanizmów podpisu kodu.

  • kończenie procesów agentów EDR i AV,
  • zatrzymywanie usług ochronnych,
  • wyłączanie callbacków jądra odpowiedzialnych za monitorowanie aktywności,
  • manipulowanie pamięcią i strukturami systemowymi,
  • obniżanie widoczności działań szyfratora i utrudnianie reakcji obronnej.

Badacze opisują kilka dominujących modeli rozwoju EDR killerów. Pierwszy opiera się na zamkniętych implementacjach tworzonych przez konkretne grupy. Drugi polega na modyfikowaniu publicznych proof-of-conceptów, często przez zmianę listy celów, obfuskację lub kosmetyczne korekty kodu. Trzeci model to komercjalizacja, w której gotowe narzędzia są oferowane afiliantom jako produkt lub usługa.

Coraz większe znaczenie mają też rozwiązania driverless, które nie muszą ładować sterownika do systemu. Zamiast bezpośrednio ingerować w jądro, zakłócają telemetrię, zawieszają procesy agentów lub blokują ich komunikację z backendem bezpieczeństwa. Dla obrońców oznacza to konieczność wyjścia poza klasyczne monitorowanie ładowania driverów.

Osobną kategorię stanowią legalne anty-rootkity i narzędzia administracyjne nadużywane ofensywnie. Dla mniej zaawansowanych operatorów to atrakcyjna droga, ponieważ umożliwia osiągnięcie wysokiego poziomu uprzywilejowania bez kosztownego developmentu własnych komponentów.

Konsekwencje / ryzyko

EDR killery są szczególnie niebezpieczne, ponieważ uderzają w samą warstwę detekcji i odpowiedzi. Jeśli produkt ochronny zostanie skutecznie wyłączony tuż przed szyfrowaniem, organizacja traci widoczność końcowej fazy incydentu, a okno na reakcję dramatycznie się zawęża. Nawet dojrzałe środowiska bezpieczeństwa mogą w takiej sytuacji utracić możliwość automatycznego zablokowania ataku.

Dodatkowym problemem jest niski próg wejścia. Publiczne repozytoria PoC, gotowe moduły eksploatacyjne i rosnąca komercjalizacja sprawiają, że efekty wymagające dawniej zaawansowanej wiedzy o jądrze systemu Windows stają się osiągalne dla szerszego grona aktorów. To zwiększa skalę zagrożenia oraz przyspiesza adaptację nowych technik przez kolejne grupy ransomware.

  • ten sam podatny sterownik może być używany przez wiele niezależnych narzędzi,
  • atakujący mogą szybko wymieniać driver bez zmiany głównej logiki ataku,
  • techniki unikania detekcji są przenoszone z szyfratorów do wyspecjalizowanych komponentów wyłączających ochronę.

W praktyce oznacza to, że blokada pojedynczego narzędzia lub jednej próbki sterownika nie rozwiązuje problemu. Obrona musi obejmować wzorce zachowań, kontrolę integralności ochrony oraz korelację sygnałów z wielu źródeł telemetrycznych.

Rekomendacje

Organizacje powinny traktować EDR killery jako przewidywalny element współczesnych ataków ransomware, a nie jako rzadką anomalię. Skuteczna strategia obrony powinna łączyć prewencję, monitoring i gotowość operacyjną do szybkiej izolacji systemów, na których wykryto oznaki sabotażu mechanizmów ochronnych.

  • wdrożyć polityki blokowania znanych podatnych sterowników i regularnie aktualizować denylisty,
  • monitorować instalację nowych sterowników oraz nietypowe operacje na usługach systemowych,
  • wykrywać użycie narzędzi administracyjnych wobec procesów i usług ochronnych,
  • alarmować na próby uruchamiania systemu w trybie awaryjnym w nietypowym kontekście,
  • analizować nagłe zaniki telemetrii i anomalie w komunikacji agentów EDR z backendem,
  • ograniczać uprawnienia administracyjne oraz wzmacniać kontrolę dostępu uprzywilejowanego,
  • stosować segmentację, kopie zapasowe offline i procedury szybkiej izolacji hostów,
  • korelować dane z EDR, SIEM, logów systemowych, kontroli sterowników i ruchu sieciowego.

Warto również zakładać, że atakujący może testować kilka różnych killerów podczas jednego incydentu. Dlatego obrona nie powinna skupiać się wyłącznie na końcowej fazie szyfrowania, lecz obejmować cały cykl życia ataku: od początkowego dostępu, przez eskalację uprawnień i ruch boczny, aż po próby wyłączenia mechanizmów ochronnych.

Podsumowanie

EDR killery wykorzystujące BYOVD pokazują wyraźną zmianę paradygmatu w operacjach ransomware. Zamiast wyłącznie ukrywać złośliwe oprogramowanie, cyberprzestępcy coraz częściej eliminują warstwę ochronną bezpośrednio przed realizacją celu. Skala zjawiska, dostępność publicznych PoC i rozwój komercyjnych usług sprawiają, że zagrożenie jest jednocześnie technicznie zaawansowane i szeroko dostępne.

Dla zespołów bezpieczeństwa oznacza to konieczność wzmocnienia kontroli nad sterownikami, monitorowania prób sabotażu produktów ochronnych oraz budowy wielowarstwowej architektury detekcji odpornej na wyłączanie lokalnych agentów. W realiach współczesnych kampanii ransomware odporność na EDR killery staje się jednym z kluczowych warunków skutecznej obrony.

Źródła

Kradzież poświadczeń dominuje w cyberatakach. Przestępcy częściej logują się, niż włamują

Cybersecurity news

Wprowadzenie do problemu / definicja

Współczesne cyberataki coraz rzadziej polegają wyłącznie na technicznym przełamywaniu zabezpieczeń. Coraz częściej napastnicy uzyskują dostęp do środowisk firmowych przy użyciu legalnych danych uwierzytelniających, takich jak loginy, hasła, tokeny sesyjne czy pliki cookie. Z perspektywy wielu narzędzi bezpieczeństwa taka aktywność wygląda jak zwykłe, autoryzowane logowanie, co znacząco utrudnia szybkie wykrycie incydentu.

Tożsamość cyfrowa stała się dziś jednym z najcenniejszych zasobów w organizacji. Gdy atakujący przejmuje konto użytkownika lub administratora, może ominąć część klasycznych mechanizmów ochronnych i wejść do środowiska bez wzbudzania natychmiastowych podejrzeń.

W skrócie

  • W 2025 roku wyraźnie wzrosła skala kradzieży poświadczeń i wykorzystania legalnych logowań jako wektora początkowego dostępu.
  • Szczególnie cenne dla przestępców są dane do systemów IAM, VPN, usług chmurowych, poczty oraz narzędzi administracyjnych.
  • Dużą rolę odgrywają infostealery, combo listy oraz przejmowanie aktywnych sesji z użyciem ciasteczek.
  • Sam mechanizm MFA nie zawsze wystarcza, jeśli organizacja nie kontroluje kontekstu sesji i stanu urządzenia.
  • Obrona musi coraz mocniej koncentrować się na tożsamości, ryzyku logowania i ciągłym monitorowaniu sesji.

Kontekst / historia

Przez wiele lat centrum uwagi w cyberbezpieczeństwie stanowiły exploity, luki w oprogramowaniu i ochrona perymetru. Wraz z popularyzacją usług SaaS, pracy zdalnej, federacji tożsamości oraz synchronizacji danych logowania w przeglądarkach środek ciężkości przesunął się jednak na konta użytkowników i administratorów.

Analizy opublikowane w marcu 2026 roku wskazują, że w 2025 roku w obiegu znalazły się ogromne zbiory skradzionych poświadczeń, a skala kompromitacji wyraźnie wzrosła szczególnie w drugiej połowie roku. Dane te potwierdzają, że rynek handlu dostępem i tożsamością osiągnął wysoki poziom dojrzałości operacyjnej, a przestępcy coraz częściej wybierają metodę „zaloguj się zamiast się włamywać”.

Trend ten wpisuje się w wcześniejsze ustalenia branżowe, zgodnie z którymi nadużycie skradzionych danych dostępowych pozostaje jednym z najważniejszych sposobów uzyskiwania początkowego dostępu, zwłaszcza w incydentach ransomware, atakach na usługi zdalnego dostępu i oszustwach ukierunkowanych na pocztę elektroniczną.

Analiza techniczna

Obecna fala ataków opiera się na kilku uzupełniających się mechanizmach. Jednym z najważniejszych są infostealery, czyli złośliwe programy przechwytujące hasła zapisane w przeglądarkach, dane formularzy, tokeny, historię logowań oraz artefakty sesyjne. Po zainfekowaniu urządzenia zebrane informacje trafiają do logów sprzedawanych lub wymienianych w podziemnym ekosystemie cyberprzestępczym.

Kolejnym elementem są combo listy, czyli zestawy danych uwierzytelniających agregowane z wielu źródeł: wcześniejszych wycieków, phishingu, malware oraz przejętych baz kont. Umożliwiają one masowe testowanie loginów i haseł wobec usług SSO, VPN, skrzynek pocztowych i platform chmurowych.

Szczególnie groźne jest przejmowanie aktywnych sesji. Jeżeli wraz z poświadczeniami napastnik zdobędzie ważne ciasteczka sesyjne, może odtworzyć zalogowaną sesję użytkownika bez konieczności ponownego podawania hasła. W praktyce oznacza to możliwość obejścia części wdrożeń MFA, zwłaszcza tam, gdzie organizacja nie analizuje ryzyka sesji, urządzenia, lokalizacji i zachowania użytkownika.

Dla przestępców najwyższą wartość mają konta dające szeroki dostęp operacyjny. Dotyczy to przede wszystkim systemów zarządzania tożsamością, korporacyjnych VPN, narzędzi RMM, usług bezpieczeństwa, konsol chmurowych i poczty. Przejęcie takich tożsamości umożliwia eskalację uprawnień, ruch lateralny, wyłączenie części zabezpieczeń i utrzymanie trwałego dostępu.

Skuteczność tych działań zwiększają także automatyzacja i model malware-as-a-service. Gotowe zestawy phishingowe, zautomatyzowane testowanie danych oraz socjotechnika wspierana przez generatywną AI obniżają próg wejścia dla mniej zaawansowanych grup i zwiększają skalę kampanii.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem tego trendu jest osłabienie skuteczności klasycznego modelu obrony skoncentrowanego na perymetrze. Jeżeli przeciwnik korzysta z poprawnych danych logowania, wiele tradycyjnych mechanizmów detekcji może nie uznać takiej aktywności za jednoznacznie złośliwą.

Dla organizacji oznacza to wzrost ryzyka cichego przejęcia kont uprzywilejowanych, przejęcia poczty, oszustw BEC, wycieku danych i ataków ransomware poprzedzonych legalnym logowaniem do usług zdalnego dostępu. Dodatkowym zagrożeniem jest możliwość ataku na łańcuch dostaw poprzez dostawców MSP i narzędzia administracyjne.

Istotnym problemem pozostaje również przenikanie ryzyka z urządzeń prywatnych lub słabiej zarządzanych do środowiska firmowego. W modelu pracy hybrydowej kompromitacja użytkownika poza organizacją może bezpośrednio przełożyć się na bezpieczeństwo systemów korporacyjnych.

Rekomendacje

Organizacje powinny przesunąć punkt ciężkości z samego procesu logowania na ciągłe monitorowanie tożsamości, ryzyka i kontekstu sesji. Ochrona kont musi dziś obejmować nie tylko hasło i drugi składnik, ale również ocenę zachowania użytkownika, urządzenia i warunków dostępu.

W pierwszej kolejności warto wdrożyć phishing-resistant MFA, zwłaszcza rozwiązania oparte na FIDO2 lub kluczach sprzętowych. To nie eliminuje całego ryzyka, ale znacząco utrudnia przejęcie kont przez klasyczny phishing i część ataków pośrednich.

Drugim ważnym krokiem jest stosowanie dostępu warunkowego, który uwzględnia stan urządzenia, lokalizację, reputację sesji, nietypowe zachowanie oraz ocenę ryzyka logowania. Samo MFA bez analizy kontekstu nie jest już wystarczającą odpowiedzią na dzisiejszy krajobraz zagrożeń.

Niezbędne jest też monitorowanie wycieków poświadczeń, logów infostealerów oraz zewnętrznej ekspozycji tożsamości. Reakcja na kompromitację powinna obejmować szybki reset haseł, unieważnienie sesji, rotację tokenów, blokadę dostępu i analizę aktywności po incydencie.

  • wdrażać phishing-resistant MFA i klucze sprzętowe dla kont krytycznych,
  • ograniczać przechowywanie haseł i tokenów w przeglądarkach,
  • wymuszać użycie zarządzanych urządzeń do dostępu do systemów o wysokiej krytyczności,
  • skracać czas życia sesji i tokenów,
  • wdrażać detekcję przejęć sesji,
  • chronić konta administratorów IAM, SIEM, EDR i RMM jako zasoby najwyższej klasy,
  • regularnie przeglądać konta nieużywane, nadmiarowe i uprzywilejowane,
  • prowadzić szkolenia przeciw phishingowi, vishingowi i podszywaniu się pod partnerów biznesowych.

Podsumowanie

Krajobraz zagrożeń pokazuje jednoznacznie, że tożsamość stała się główną powierzchnią ataku. Zamiast forsować zabezpieczenia, cyberprzestępcy coraz częściej wykorzystują skradzione poświadczenia i aktywne sesje, aby dostać się do środowiska szybko, cicho i w sposób trudny do odróżnienia od legalnej aktywności.

Dla zespołów bezpieczeństwa oznacza to konieczność zmiany podejścia. Skuteczna obrona wymaga dziś odporności tożsamości, kontroli sesji, monitorowania ryzyka logowania i szybkiej reakcji na nadużycie legalnego dostępu.

Źródła

  1. Dark Reading – More Attackers Are Logging In, Not Breaking In
    https://www.darkreading.com/identity-access-management-security/more-attackers-logging-in-not-breaking-in
  2. Verizon – 2025 Data Breach Investigations Report
    https://www.verizon.com/business/resources/reports/dbir/
  3. Verizon – Verizon’s 2025 Data Breach Investigations Report: Alarming surge in cyberattacks through third-parties
    https://www.verizon.com/about/news/2025-data-breach-investigations-report
  4. ASIS International – 1.8 Billion Credentials Stolen in the First Half of 2025—an 800% Increase
    https://www.asisonline.org/security-management-magazine/latest-news/today-in-security/2025/august/flashpoint-midyear-report-2025/
  5. Verizon Business – Credential stuffing attacks: 2025 DBIR research
    https://www.verizon.com/business/resources/articles/credential-stuffing-attacks-2025-dbir-research/