Pomagamy Zrozumieć i Wdrażać Bezpieczeństwo
W codziennej pracy analityka bezpieczeństwa (SOC) umiejętność szybkiego korzystania z wbudowanych poleceń Windows bywa bezcenna. Gdy liczy się czas – na przykład podczas triage incydentu lub szybkiego forensics – dostęp do graficznych narzędzi może być ograniczony, a instalacja dodatkowego oprogramowania niemożliwa.
Czytaj dalej „Windows Commands Dla Analityków Bezpieczeństwa – Pełny Przewodnik Z Przykładami”
CVE-2025-59287 to krytyczna podatność typu Remote Code Execution w Windows Server Update Services (WSUS). Błąd umożliwia zdalne wykonanie kodu bez uwierzytelnienia na serwerze WSUS, skutkując przejęciem go z uprawnieniami SYSTEM. Rdzeniem problemu jest deserializacja niezaufanych danych (CWE-502). Microsoft sklasyfikował podatność bardzo wysoko i opublikował poprawki w październiku 2025 r.
WSUS to zaufany, centralny punkt dystrybucji aktualizacji w sieciach firmowych. Kompromitacja WSUS może dać atakującym wygodny punkt wejścia i lateralnego ruchu oraz wpływ na łańcuch aktualizacji stacji roboczych i serwerów. Po publikacji PoC i szybkiej eskalacji skanowań Microsoft musiał wydać poprawkę out-of-band, a społeczność bezpieczeństwa (m.in. Unit 42, Darktrace) zaczęła raportować realne nadużycia.
W odróżnieniu od licznych błędów w usługach Windows wymagających uwierzytelnienia lub interakcji, CVE-2025-59287 jest bezużytkownikową, sieciową RCE (AV:N/PR:N/UI:N). To plasuje ją bliżej głośnych klas podatności o natychmiastowym wektorze zdalnym, gdzie czas reakcji ma krytyczne znaczenie.
Microsoft wydał awaryjną poprawkę dla Windows Server Update Services (WSUS), która usuwa krytyczną podatność CVE-2025-59287 (zdalne wykonanie kodu przez deserializację niezaufanych danych). Niestety, pierwszy out-of-band patch KB5070881 spowodował u części maszyn Windows Server 2025 wypisanie z kanału Hotpatch (utrata „hotpatch enrollment”), co tymczasowo uniemożliwia stosowanie poprawek bez restartu. Microsoft wstrzymał dystrybucję tego wydania na hosty z Hotpatch i udostępnił bezpieczną poprawkę KB5070893.
Pierwsze informacje o luce pojawiły się 14 października (Patch Tuesday). Po publikacji PoC oraz sygnałach o aktywnej eksploatacji Microsoft wypuścił 23–24 października awaryjne aktualizacje OOB. W krótkim czasie CISA włączyła CVE-2025-59287 do Known Exploited Vulnerabilities i wydała ostrzeżenie z terminem na wdrożenie poprawek w systemach federalnych w USA.
CVE-2025-59287 to błąd deserializacji niezaufanych danych w komponentach raportowania WSUS. Umożliwia on niezalogowanemu napastnikowi zdalne wykonanie kodu z uprawnieniami SYSTEM po sieci, jeżeli serwer WSUS jest osiągalny (typowo TCP 8530/8531). NVD klasyfikuje problem jako CWE-502 z wektorem AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H.
Microsoft potwierdził, że niewielka liczba maszyn Windows Server 2025 zapisanych do Hotpatch otrzymała wadliwy update, po czym straciła status hotpatch enrollment. Skutkiem jest brak hotpatchy w listopadzie i grudniu; takie hosty dostaną standardowe „Monthly Cumulative Updates” z restartem i wrócą na „pociąg” Hotpatch dopiero po styczniowym baseline 2026.
Następnego dnia Microsoft wydał KB5070893 – aktualizację zabezpieczeń dla WSUS, która nie zrywa Hotpatch. Dodatkowo tymczasowo ukryto szczegóły błędów synchronizacji w konsoli WSUS, by zamknąć wektor ataku.
Microsoft Incident Response (DART) opisał nowy backdoor SesameOp, który wykorzystuje OpenAI Assistants API jako kanał command-and-control (C2). To nie jest podatność w OpenAI ani błąd konfiguracji — to nadużycie legalnego interfejsu API w celu ukrycia komunikacji atakujących w „szumie” ruchu do popularnej usługi chmurowej. OpenAI wraz z Microsoftem zidentyfikowali i wyłączyli klucz oraz powiązane konto wykorzystywane przez sprawcę; funkcja Assistants API i tak ma zostać wycofana w sierpniu 2026 r.
Nadużywanie legalnych usług (tzw. LOLBAS/LOLCLOUD) do C2 to trend widoczny od lat (GitHub, Slack, Telegram, Pastebin). W 2025 r. ENISA raportuje nasilenie wykorzystywania narzędzi AI przez grupy APT i cyberprzestępców (od inżynierii społecznej, przez rozwój malware, po ukrywanie operacji). To raczej „turbo-doładowanie” starych technik niż zupełnie nowe zdolności ofensywne.
Składniki i uruchomienie
Netapi64.dll (obfuskacja Eazfuscator.NET), znacznik uruchomienia C:\Windows\Temp\Netapi64.start, mutex jednosesyjny; dekoduje i uruchamia właściwy moduł z pliku kończącego się na .Netapi64..NET OpenAIAgent.Netapi64 — wbrew nazwie nie używa SDK agentów ani modeli, tylko Assistants API do pobierania poleceń i wysyłki wyników jako wiadomości. Konfiguracja z zasobów: OpenAI_API_Key|Dictionary_Key_Name|Proxy; obsługa proxy systemowego, B64 hostnamen. Mutex: „OpenAI APIS”. Protokół C2 przez Assistants API
timeSLEEP z wiadomości (po thread_id|message_id) i pauza wątku,thread_id|message_id, wykonaj w osobnym wątku, usuń wiadomość i assistanta,Wejście do procesu i utrwalenie
.config; w środowisku ofiary działała dodatkowo siatka internal web shelli wspierających orkiestrację. Detekcje Microsoft
api.openai.com. Monitoring & hunting (SOC)
api.openai.com: koreluj proces → host → częstotliwość; zacznij od kwerendy Microsoft (lub odpowiednika w SIEM/NDR). Ustal listę dozwolonych procesów/serwerów korzystających z API OpenAI. C:\Windows\Temp\*Netapi64*. Kontrola dostępu i „egress governance” (IT/SecOps)
IR / odzyskiwanie
C:\Windows\Temp\Netapi64.*, wpisów konfiguracyjnych .config wskazujących AppDomainManager.SesameOp pokazuje, że governance nad ruchem do usług AI i bezpieczeństwo tożsamości API to nowe „must-have” w SOC. Należy inwentaryzować legalne użycia api.openai.com, egzekwować egress allowlisty, szukać behawioralnych anomalii .NET oraz artefaktów na hostach. Dobra współpraca z dostawcami (tu: Microsoft & OpenAI) przyspiesza neutralizację takich nadużyć.
Altualne na dzień 3.11.2025 – Artykuł będzie aktualizowany planowo 2 razy do roku.
Analizy firm z branży cyberbezpieczeństwa (m.in. Mandiant, Rapid7, Recorded Future, MITRE ATT&CK, Palo Alto Unit 42) oraz instytucji rządowych (CISA, FBI) wskazują na listę podatności, które były najczęściej wykorzystywane przez grupy APT oraz cyberprzestępców w latach 2010–2024.
Czytaj dalej „Najczęściej Wykorzystywane Podatności CVE W Atakach Cybernetycznych”
CVE (Common Vulnerabilities and Exposures) to międzynarodowy standard nazewnictwa publicznie znanych luk bezpieczeństwa w oprogramowaniu i sprzęcie. Mówiąc prościej, jest to lista unikatowych identyfikatorów podatności oraz związany z nią system ich katalogowania. Dzięki CVE specjaliści ds. cyberbezpieczeństwa na całym świecie mogą mówić jednym językiem o konkretnych lukach – niezależnie od platformy czy producenta.
Czytaj dalej „CVE – Kompleksowy Przewodnik Po Lukach Bezpieczeństwa”Arctic Wolf Labs ujawniło kampanię cyberszpiegowską przypisywaną grupie UNC6384 (łączonej w doniesieniach z Mustang Panda), która od września do października 2025 r. celowała w placówki dyplomatyczne w Belgii i na Węgrzech, a także w inne podmioty w Europie. Atakujący wykorzystują niezałataną podatność w skrótach Windows (.LNK) – CVE-2025-9491 – aby dostarczać i uruchamiać zdalnego trojana PlugX metodą DLL side-loading z użyciem podpisanych narzędzi Canona.
Trend Micro ZDI ujawniło podatność ZDI-CAN-25373 / CVE-2025-9491 18 marca 2025 r., wskazując na szerokie, realne wykorzystanie przez co najmniej 11 grup sponsorowanych przez państwa jeszcze przed publikacją. Microsoft uznał w marcu, że problem „nie spełnia progu” natychmiastowego serwisowania. W efekcie luka pozostaje bez oficjalnej poprawki, mimo że jest aktywnie nadużywana.
Dla szerszego tła: Google Threat Intelligence już w sierpniu 2025 r. przypisał UNC6384 złożoną kampanię wobec dyplomatów w Azji Południowo-Wschodniej (m.in. tematyka posiedzeń Rady UE), co spina się z obecnym „przeniesieniem” zainteresowań do Europy.
CVE-2025-9491 (UI misrepresentation, CVSS 7.0) dotyczy sposobu, w jaki Windows prezentuje metadane plików .LNK. Specjalnie „spadkowane” białe znaki w polu COMMAND_LINE_ARGUMENTS powodują, że złośliwa komenda jest niewidoczna w interfejsie, choć wykonuje się po uruchomieniu skrótu. Wymagana jest interakcja użytkownika (otwarcie pliku / odwiedzenie przygotowanej strony), jednak trik utrudnia manualną inspekcję.
U UNC6384 łańcuch obejmuje: