Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
BleepingComputer informuje, że badacz bezpieczeństwa opublikował działający proof-of-concept (PoC) dla podatności CVE-2026-37182, nazywanej „RedSun", w Windows Defender — kolejnego po BlueHammer zero-daya w tym samym produkcie. Luka umożliwia lokalną eskalację uprawnień do poziomu SYSTEM, co oznacza, że atakujący, który uzyskał już dostęp do systemu (np. przez phishing), może natychmiast przejąć nad nim pełną kontrolę. Kod PoC trafił na GitHub po tym, gdy badacz poczuł się zignorowany przez Microsoft — to powtórzenie scenariusza z BlueHammer. Organizacje powinny wdrożyć dostępną łatkę bez czekania na rutynowy cykl aktualizacji — przy publicznym PoC atakujący mają gotowe narzędzie.
Źródło: BleepingComputer [EN]
CySecurity News opisuje nową funkcję wprowadzaną przez Microsoft do platformy Windows — Secure Boot Status Monitoring — która ma na bieżąco monitorować integralność łańcucha bootowania i alertować o próbach manipulacji oprogramowaniem układowym UEFI lub podmianach bootloadera. Ataki na Secure Boot (takie jak BlackLotus z 2023 r.) pozwalają malware na przeżycie reinstalacji systemu operacyjnego, bo są osadzone głębiej niż Windows. Nowa funkcja ma umożliwić działom IT wykrycie takich prób zanim dojdzie do pełnego kompromitowania systemu. To szczególnie istotne dla środowisk korporacyjnych, gdzie komputery pracownicze są poza bezpośrednim nadzorem administratorów.
Źródło: CySecurity News [EN]
Infosecurity24 informuje, że sejmowa komisja ds. służb specjalnych pozytywnie oceniła działania Agencji Bezpieczeństwa Wewnętrznego w zakresie rozpoznania radioelektronicznego za ubiegły rok. Komisja podkreśliła rosnące znaczenie tych kompetencji w kontekście zidentyfikowanych operacji hybrydowych Rosji i Białorusi na terytorium Polski. Rozpoznanie radioelektroniczne obejmuje przechwytywanie i analizę emisji elektromagnetycznych — zarówno komunikacji, jak i sygnałów nawigacyjnych używanych przez wrogich aktorów. W obliczu fali cyberataków i spraw szpiegowskich, które wyszły na jaw w ostatnich tygodniach, parlamentarna kontrola nad tymi zdolnościami nabiera szczególnego znaczenia.
Źródło: Infosecurity24 [PL]
Infosecurity24 opisuje projekt NIB MC (Narodowa Infrastruktura Bezpieczeństwa — Moduł Komunikacyjny) — inicjatywę budowy krajowego, autonomicznego systemu łączności kryzysowej, który ma działać niezależnie od komercyjnych sieci telekomunikacyjnych w przypadku ataku cybernetycznego lub fizycznego na infrastrukturę operatorów. Projekt odpowiada na realne ryzyko: ataki na węzły BGP, podmorskie kable i stacje bazowe telekomunikacyjne mogą odciąć instytucje publiczne od siebie nawzajem w momencie najpoważniejszego kryzysu. System ma być oparty na technologiach szyfrowania end-to-end i być dostępny dla służb mundurowych, ratowniczych i zarządzania kryzysowego. To jeden z najważniejszych projektów infrastruktury bezpieczeństwa realizowanych przez Polskę w odpowiedzi na rosnące zagrożenie hybrydowe.
Źródło: Infosecurity24 [PL]
BleepingComputer opisuje atak, w którym hakerzy łączą dwie techniki: exploitowanie luki CVE-2026-39987 (podatność na zdalne wykonanie kodu w środowisku Marimo, używanym do tworzenia interaktywnych notebooków Python) z dystrybucją malware NKAbuse za pośrednictwem platformy Hugging Face — popularnego repozytorium modeli AI. NKAbuse to wielofunkcyjny implant backdoor umożliwiający zdalny dostęp, exfiltrację danych i ataki DDoS. Używanie Hugging Face jako „niewinnej" platformy do hostingu malware to nowa technika — pliki modeli AI mogą zawierać dowolne dane binarne, a platforma cieszy się ogólnym zaufaniem w środowisku ML/AI. Podatność Marimo była aktywnie eksploatowana w ciągu godzin od ujawnienia CVE.
Źródło: BleepingComputer [EN]
Security Affairs informuje, że Cookeville Regional Medical Center w stanie Tennessee potwierdził naruszenie bezpieczeństwa danych, które dotknęło 337 917 osób. Wśród skradzionych danych znajdowały się informacje medyczne pacjentów, numery ubezpieczenia społecznego oraz dane kontaktowe. Atak na sektor ochrony zdrowia w USA jest szczególnie groźny — dane medyczne mają wieloletnią wartość dla oszustów ubezpieczeniowych i nie mogą być „zmienione" jak hasło. Incydent jest kolejnym w długiej serii ataków na szpitale i systemy opieki zdrowotnej, które od lat są jednym z najczęściej atakowanych sektorów przez grupy ransomware i finansowo motywowanych cyberprzestępców.
Źródło: Security Affairs [EN]
HackRead opisuje odkrycie nowego infostealera o nazwie cGrabber, dystrybuowanego przez złośliwe pliki ZIP hostowane na GitHubie — platformie, której pliki są powszechnie traktowane jako bezpieczne i często nie są skanowane przez narzędzia bezpieczeństwa. Malware celuje w kradzież danych przeglądarek (hasła, cookies, dane kart płatniczych), portfeli kryptowalutowych i tokenów sesji Discord. Kod jest relatywnie prosty, ale skuteczny — jego obserwacja w ekosystemie GitHub sugeruje, że atakujący celowo wybierają platformy cieszące się domyślnym zaufaniem środowisk developerskich. To ostrzeżenie dla programistów: nawet linki do GitHub wymagają weryfikacji autora i zawartości przed uruchomieniem.
Źródło: HackRead [EN]
CRN analizuje coraz powszechniejszą praktykę „wielkiego resetu haseł" — masowego wymuszania przez firmy zmiany wszystkich haseł po incydentach bezpieczeństwa lub jako prewencja. Badania pokazują jednak, że wymuszone resety haseł przynoszą efekt odwrotny do zamierzonego: użytkownicy tworzą słabsze hasła lub stosują przewidywalne schematy (np. stare hasło + numer). Artykuł wskazuje, że rzeczywistą ochroną jest kombinacja uwierzytelniania wieloskładnikowego (MFA) i haseł menedżerów — a nie częste zmiany. Dla działów IT to ważna lekcja: nie każda polityka bezpieczeństwa, która wydaje się logiczna, przekłada się na lepsze zachowania użytkowników.
Źródło: CRN [PL]
Benchmark.pl publikuje przystępne omówienie dwóch podstawowych typów portfeli kryptowalutowych: hot wallet (podłączony do internetu) i cold wallet (fizyczne urządzenie offline). Hot wallety są wygodne, ale podatne na ataki hakerskie, phishing i złośliwe oprogramowanie — zdecydowana większość kradzieży kryptowalut dotyczy właśnie środków trzymanych online. Cold wallety (np. Ledger, Trezor) są znacznie bezpieczniejsze, ale wymagają zabezpieczenia fizycznego urządzenia i frazy seed — ich utrata oznacza trwałą utratę środków. Artykuł jest szczególnie aktualny po ostatnich przypadkach fałszywych aplikacji Ledger Live w App Store i wzroście ataków na portfele kryptowalutowe.
Źródło: Benchmark.pl [PL]
HelpNetSecurity opisuje nowe badania ujawniające podatność AirTagów Apple na atak przekaźnikowy (relay attack), który umożliwia manipulowanie podawaną lokalizacją urządzenia. Technika polega na przechwytywaniu sygnału Bluetooth AirTaga w jednym miejscu i retransmitowaniu go z innego — co może prowadzić do błędnego śledzenia lokalizacji np. bagażu. Zagrożenie ma podwójny charakter: ochrona prywatności (pozorne ukrycie rzeczywistej lokalizacji śledzonego przedmiotu lub osoby) i bezpieczeństwo (fałszywe alerty lub ukrycie włamania). Apple sieć Find My opiera się na anonimowych urządzeniach w pobliżu — co czyni ją z natury podatną na tego typu manipulacje.
Źródło: HelpNetSecurity [EN]
Infosecurity Magazine opisuje badania dotyczące techniki „APK malformation" — celowego tworzenia niepoprawnych, ale działających plików APK na Androida, które są akceptowane przez środowisko uruchomieniowe, ale omijają skanery bezpieczeństwa. Atakujący tworzą paczki APK z niestandardowymi nagłówkami, zduplikowanymi sekcjami lub celowymi błędami parsowania, które skaner traktuje jako „nieobsługiwany format" zamiast zidentyfikować złośliwy kod. Technika jest szczególnie groźna w kontekście sklepów z aplikacjami third-party oraz sideloadingu — czyli instalowania aplikacji spoza oficjalnego Play Store. Google aktywnie pracuje nad poprawą narzędzi do detekcji, ale wyścig zbrojeń między deweloperami malware a skanerami trwa bez końca.
Źródło: Infosecurity Magazine [EN]
CySecurity News informuje o aktywnym skanowaniu internetu w poszukiwaniu podatnych serwerów TrueConf — korporacyjnego systemu wideokonferencji używanego przez wiele organizacji rządowych i biznesowych, szczególnie w Rosji i Europie Wschodniej. Odkryta podatność zero-day umożliwia nieautoryzowany dostęp do systemu bez logowania. TrueConf jest używany przez instytucje publiczne jako lokalna alternatywa dla Zoom czy Teams — co czyni go szczególnie atrakcyjnym celem dla służb wywiadowczych. Administratorzy powinni natychmiast odizolować serwery TrueConf od publicznego internetu lub wdrożyć dostępne łatki, o ile są już dostępne.
Źródło: CySecurity News [EN]
CySecurity News analizuje rosnący trend, w którym grupy ransomware celowo atakują systemy backupu przed zaszyfrowaniem danych produkcyjnych. Narzędzia takie jak Veeam, Acronis czy BackupExec mają znane podatności — a grupy jak Black Basta, RansomHub i Interlock systematycznie szukają ich w zaatakowanych sieciach zanim wystrzelą główny payload. Artykuł wskazuje, że strategia „3-2-1" (trzy kopie, dwa nośniki, jedna offsite) jest nadal dobra, ale kopia musi być immutable (niezmieniana) i odizolowana od sieci — inaczej ransomware po prostu ją zaszyfruje razem z resztą danych. Dla małych i średnich firm to szczególnie ważne ostrzeżenie przed fałszywym poczuciem bezpieczeństwa.
Źródło: CySecurity News [EN]
Dark Reading opisuje rosnące wyzwanie wdrożenia uwierzytelniania wieloskładnikowego (MFA) poza tradycyjnymi komputerami — w urządzeniach IoT, systemach OT/SCADA, robotach i urządzeniach medycznych. Klasyczne metody (SMS, aplikacje TOTP) są niedostosowane do urządzeń bez ekranu i klawiatury. Nowe podejścia obejmują certyfikaty kryptograficzne TPM, uwierzytelnianie sprzętowe przez klucze FIDO2 i techniki biometrii behawioralnej. Brak MFA na urządzeniach OT był wielokrotnie exploitowany przez grupy APT — artykuł wskazuje kierunki, w których zmierza rynek bezpieczeństwa tych zagrożonych środowisk.
Źródło: Dark Reading [EN]
CyberDefence24 opisuje sytuację polskiej infrastruktury kolejowej w kontekście bezpieczeństwa łączności. Standard GSM-R (kolejowy system radiokomunikacji), który miał zostać zastąpiony przez FRMCS (Future Railway Mobile Communication System) oparty na sieci 5G, nie zostanie wdrożony w Polsce na dużą skalę w planowanej perspektywie. Obecna infrastruktura GSM-R jest starzejąca się i podatna na zakłócenia radioelektroniczne — co w kontekście udokumentowanych rosyjskich operacji zagłuszania GPS i zakłócania łączności wojskowej w Polsce stanowi realne zagrożenie dla bezpieczeństwa ruchu kolejowego. Artykuł wskazuje, że koleje jako infrastruktura krytyczna wymagają pilnego planu modernizacji łączności odpornej na zagłuszanie.
Źródło: CyberDefence24 [PL]
SecurityWeek publikuje opinionated piece analizujący fundamentalną słabość rządowych strategii cyberobrony: brak strukturalnej współpracy z sektorem prywatnym, który posiada zdecydowaną większość infrastruktury krytycznej, danych wywiadowczych o zagrożeniach i talentów technicznych. Argumentacja opiera się na obserwacji, że w czasie gdy rząd USA dyskutuje o budżetach i regulacjach, to prywatne firmy jak CrowdStrike, Google, Microsoft i Mandiant de facto prowadzą operacyjną obronę cyberprzestrzeni. Autor postuluje formalne mechanizmy wymiany threat intelligence, wspólne ćwiczenia i klarowne ramy prawne dla prywatnych operacji defensywnych. W Europie analogiczne problemy dotyczą relacji między ENISA, krajowymi CERT-ami a korporacyjnymi zespołami SOC.
Źródło: SecurityWeek [EN]
📅 Zestawienie obejmuje artykuły opublikowane ogólnodostępnych serwisach w dniu 16-17 kwietnia 2026 r. ⚠️ Materiał ma charakter informacyjny i edukacyjny.
