Știri
Știri din categoria Securitate cibernetică
Microsoft a livrat actualizările de securitate din aprilie pentru Windows 10 și 11, iar pachetul aduce schimbări care pot reduce riscul de phishing prin fișiere Remote Desktop și poate limita trecerile neașteptate în modul de recuperare BitLocker după update-uri de Secure Boot, potrivit WinFuture. Actualizările sunt recomandate tuturor utilizatorilor și vizează atât închiderea de vulnerabilități, cât și corecții de fiabilitate.
Update-urile sunt disponibile pentru versiunile încă suportate complet din Windows 11 și pentru utilizatorii Windows 10 aflați în programul ESU (Extended Security Updates – actualizări de securitate extinse, contra cost, după încheierea suportului standard). Pachetele pot fi instalate prin Windows Update, prin Microsoft Update Catalog sau prin Windows Server Update Services (WSUS), canalul folosit frecvent în companii pentru distribuția controlată a actualizărilor.
Un element comun în acest Patch Tuesday este zona Secure Boot (mecanismul care verifică integritatea procesului de pornire a sistemului). În Windows Security poate apărea statusul actualizărilor de certificate Secure Boot, însă îmbunătățirile sunt dezactivate implicit pe dispozitive comerciale și pe servere.
Tot în această zonă, update-urile urmăresc să reducă situațiile în care un dispozitiv ajunge în modul de recuperare BitLocker după instalarea actualizărilor Secure Boot. În plus, pachetele de calitate includ „date de direcționare” mai fiabile pentru a extinde acoperirea dispozitivelor care pot primi automat noile certificate Secure Boot, dar într-un mod gradual, după ce sistemul „demonstrează” suficient de multe instalări reușite de update-uri.
Pe partea de protecție împotriva phishing-ului, Remote Desktop primește un comportament mai strict la deschiderea fișierelor.rdp: înainte de conectare sunt afișate setările cerute, fiecare fiind dezactivată implicit, iar la prima deschidere pe un dispozitiv apare și o avertizare de securitate unică.
WinFuture listează actualizările pentru principalele ramuri:
Pentru verificarea rapidă a build-ului instalat, publicația recomandă comanda „WinVer” (Windows + R → „winver”). Mai notează că, la începutul distribuției, articolele KB pot să nu fie imediat accesibile, dar update-urile apar în Microsoft Update Catalog.
În Windows 10 22H2, una dintre corecțiile evidențiate vizează probleme de autentificare în aplicații cu cont Microsoft, unde putea apărea mesajul „No internet” chiar și cu conexiune funcțională, blocând accesul la servicii Microsoft și aplicații precum Teams.
În Windows 11 24H2/25H2, update-ul include și îmbunătățiri de fiabilitate pentru SMB Compression peste QUIC (un protocol de transport bazat pe UDP), cu scopul de a reduce timeout-urile. Tot aici este menționată remedierea unui „known issue” care putea face să eșueze resetarea PC-ului („Păstrează fișierele mele” / „Elimină tot”) după un hotpatch de securitate din martie 2026.
Separat, este menționat și un Servicing Stack Update pentru Windows 11 (SSU – componenta care instalează update-urile), care urmărește să mențină stabilitatea mecanismului de actualizare.
Materialul indică faptul că Microsoft a adresat vulnerabilități care includ, între altele, Applocker (filter driver),.NET Framework, GitHub Copilot și Visual Studio Code, Windows File Server, kernel-ul Windows, serviciul de mapare a dispozitivelor, precum și mai multe vulnerabilități în Office. Pentru detalii complete, trimiterea este către Security Update Guide.
În practică, pentru organizații, combinația dintre întărirea fluxului Remote Desktop și ajustările din zona Secure Boot/BitLocker poate însemna mai puține incidente generate de fișiere.rdp malițioase și mai puține întreruperi operaționale după update-uri, însă efectul depinde de configurarea și politicile de administrare din fiecare mediu.
Recomandate
Microsoft a retras discret o postare în care susținea că Windows 11 nu are nevoie de antivirus terț , după ce mesajul a stârnit controverse, potrivit IT之家 . Articolul, publicat în aprilie pe site-ul „Windows Learning Center”, nu mai este accesibil, iar vechiul URL redirecționează către pagina principală a platformei; compania nu a oferit, până acum, o explicație publică pentru eliminare. Postarea avea titlul „Cel mai bun antivirus din 2026: protecția încorporată în Windows de care ai nevoie” și argumenta că funcțiile incluse în Windows 11, în special Microsoft Defender , ar fi suficiente pentru „marea majoritate” a utilizatorilor, sugerând că instalarea unei soluții terțe nu este necesară în scenarii obișnuite. Ce spunea Microsoft că acoperă protecția integrată În materialul retras, Microsoft descria un set de componente de securitate incluse în Windows 11, între care: Microsoft Defender Antivirus; Microsoft Defender SmartScreen (filtrare pentru site-uri și descărcări suspecte); Smart App Control (control suplimentar asupra aplicațiilor); mecanisme native de protecție împotriva ransomware (atacuri de tip „criptare pentru răscumpărare”). Mesajul central era că, dacă utilizatorii păstrează protecțiile implicite activate, își actualizează regulat sistemul și sunt prudenți la descărcarea de software, Defender și SmartScreen pot acoperi o parte importantă din riscurile uzuale: fișiere malițioase, site-uri de tip phishing și instalatoare nesigure. Cronologia dispariției și lipsa unei explicații oficiale Conform aceleiași surse, organizația de testare AV-Comparatives a urmărit existența postării și indică faptul că textul a fost publicat inițial la 9 aprilie 2026 și era încă accesibil cel puțin la 11 mai. În schimb, arhivele Internet Archive arată că, până la 24 mai, articolul dispăruse de pe site. Microsoft nu a comunicat public motivul retragerii, deși eliminarea a venit după reacții critice din partea utilizatorilor. De ce contează pentru utilizatori și companii Din perspectivă operațională, mesajul inițial al Microsoft putea influența decizia de a păstra sau nu un antivirus terț pe stații de lucru, mai ales în rândul utilizatorilor obișnuiți. În același timp, compania recunoștea în text că nevoia de soluții suplimentare depinde de scenariul de utilizare și de funcții extra, menționând explicit situații precum: administrarea unitară a mai multor dispozitive într-un mediu de companie; utilizarea unui dispozitiv partajat în familie; servicii suplimentare precum monitorizarea identității sau control parental. Microsoft avertiza, totodată, că instalarea mai multor instrumente de securitate poate crește activitatea în fundal și complexitatea sistemului, cu potențial impact asupra performanței, recomandând alegerea „în funcție de nevoile reale”. [...]
Microsoft avertizează că o campanie țintită folosește resetarea parolei ca să preia conturi , iar riscul operațional pentru companii este că atacatorii pot scoate rapid date din Microsoft 365 și pot ajunge în medii de producție din Azure, potrivit TechRadar . Gruparea numită Storm-2949 abuzează fluxul de „ Self‑Service Password Reset” (SSPR) din ecosistemul Microsoft, susține un raport al Microsoft Defender Security Research Team. În mod normal, când un angajat apasă „Forgot my password”, sistemul trimite o solicitare de autentificare multifactor (MFA) pe un dispozitiv secundar înregistrat; după aprobare, utilizatorul își poate seta o parolă nouă. În atacurile descrise, actorii identifică ținta, obțin numărul de telefon și adresa de e-mail folosită la autentificare, inițiază resetarea parolei și, în paralel, sună victima. Se prezintă drept tehnicieni IT și o conving să aprobe solicitarea MFA, ceea ce le permite să seteze o parolă nouă, să scoată utilizatorul din cont și să exfiltreze date. Microsoft Threat Intelligence caracterizează campania drept „metodică, sofisticată și multistrat”, cu ținte în aplicații Microsoft 365, servicii de găzduire de fișiere și medii de producție găzduite în Azure. „Într-un caz, Storm-2949 a folosit interfața web OneDrive pentru a descărca mii de fișiere într-o singură acțiune către propria infrastructură”, a transmis Microsoft. „Acest tipar de furt de date s-a repetat în toate conturile compromise, probabil deoarece identități diferite aveau acces la foldere și directoare partajate diferite.” Ce recomandă Microsoft pentru a reduce riscul în Azure și Microsoft 365 Recomandările vizează în principal limitarea privilegiilor și creșterea capacității de audit/monitorizare în Azure: limitarea permisiunilor Azure RBAC (control al accesului pe bază de roluri); păstrarea logurilor din Azure Key Vault timp de un an; reducerea accesului la Key Vault și restricționarea accesului public la „vault”-uri; folosirea opțiunilor de protecție a datelor în Azure Storage; monitorizarea operațiunilor de administrare Azure cu risc ridicat. Pentru organizații, mesajul practic este că resetarea parolei și aprobarea MFA pot deveni o „poartă” de intrare dacă procesele de suport IT și controalele de acces nu sunt suficient de stricte, iar logarea și monitorizarea nu permit detectarea rapidă a descărcărilor masive sau a operațiunilor sensibile. (Detalii suplimentare despre incident și indicatori tehnici apar în raportul Microsoft, dar TechRadar nu publică în material o listă completă de astfel de indicatori.) [...]
Cele trei „megabănci” din Japonia primesc acces controlat la un nou model OpenAI pentru apărare cibernetică , într-un aranjament care tratează inteligența artificială de vârf ca infrastructură critică și nu ca produs de larg consum, potrivit The Next Web . Modelul, numit GPT-5.5-Cyber , ar urma să ajungă la MUFG Bank, Sumitomo Mitsui Banking Corporation (SMBC) și Mizuho Bank printr-un program al OpenAI denumit „ Trusted Access for Cyber ”, conceput să ofere cele mai capabile instrumente doar „apărătorilor verificați” (instituții evaluate și validate ca utilizatori legitimi). De ce contează: „pază la intrare” pentru un instrument cu dublă utilizare Logica programului este una de restricționare a accesului: un model suficient de bun pentru a identifica vulnerabilități „la scară” devine periculos dacă ajunge la actori rău-intenționați. În consecință, accesul este raționalizat către organizații care pot fi verificate, într-o încercare de a reduce riscul ca aceleași capabilități să fie folosite pentru atacuri. Publicația notează explicit tensiunea de fond: modelele care pot face atacurile cibernetice mai ieftine și mai ușor de rulat sunt, în același timp, instrumente valoroase pentru apărare — iar aici sunt livrate deliberat către cei care apără. Componenta guvernamentală: nu doar un contract comercial Înțelegerea nu ar fi fost negociată exclusiv la nivel tehnic sau comercial. Ministrul japonez al finanțelor, Satsuki Katayama, și secretarul Trezoreriei SUA, Scott Bessent, ar fi fost implicați direct în discuțiile care au deschis colaborarea, ceea ce îi dă și caracterul unei înțelegeri „guvern-la-guvern”, nu doar al unui acord de furnizare. În această interpretare, Tokyo ar „achiziționa” capabilități de apărare cibernetică similar cu modul în care ar procura o altă capabilitate strategică. Context: o coaliție public-privată și competiție între laboratoare americane Acordul se înscrie într-un demers mai amplu: la mijlocul lunii mai, Japonia a creat un grup de lucru public-privat privind riscurile cibernetice legate de inteligența artificială, care reunește marile bănci, Banca Japoniei și entități locale ale unor laboratoare de AI de top. Acest grup vizează riscurile unei noi clase de sisteme orientate spre găsirea vulnerabilităților, iar printre cele mai discutate este „Claude Mythos” al Anthropic, la care instituții japoneze ar urma, separat, să aibă acces (menționat de The Next Web într-un material distinct: Claude Mythos ). În acest tablou, acordul cu OpenAI este prezentat ca al doilea laborator „de frontieră” care intră în aceeași coaliție defensivă. Riscul operațional: o securitate „în două viteze” în sectorul financiar Deși accesul controlat reduce riscul de abuz, The Next Web atrage atenția asupra unui efect secundar posibil: concentrarea celor mai puternice instrumente defensive în câteva instituții mari poate lăsa restul sistemului financiar — bănci mai mici și startup-uri fintech — într-un dezavantaj tot mai mare. Rezultatul ar putea fi un peisaj de securitate „pe două niveluri”, în care megabăncile sunt mult mai bine protejate, iar ceilalți rămân relativ mai expuși, tocmai din cauza unui program proiectat să țină instrumentele puternice departe de utilizatori nepotriviți. Ce urmează Pe termen scurt, efectul este direct: trei dintre cele mai mari bănci din lume ar urma să folosească un model de AI de vârf pentru a-și întări propriile apărări, printr-un canal de acces verificat, cu implicare guvernamentală în facilitarea acordului. Întrebarea rămasă deschisă, potrivit analizei, este dacă acest tip de distribuție face întregul sistem mai sigur sau doar „părțile” lui cele mai puternice. [...]
Datele de localizare colectate pentru publicitatea online pot deveni o vulnerabilitate operațională pentru armata SUA , după ce Comandamentul Central american a indicat că adversari ar fi folosit astfel de informații comerciale pentru a viza sau supraveghea personal din teatre de operațiuni, fără a oferi exemple concrete, potrivit Biziday . Într-un răspuns datat 14 aprilie și pus la dispoziția Reuters de senatorul democrat Ron Wyden , Comandamentul Central al SUA (CENTCOM) spune că are informații despre „multiple amenințări” legate de exploatarea datelor comerciale de localizare de către adversari, în scopul vizării sau supravegherii militarilor americani. CENTCOM nu detaliază cazuri, dar aria sa de responsabilitate include și regiunea Golfului Persic. De ce contează: din „date pentru reclame” în risc de securitate națională Un grup bipartizan de senatori, inclusiv Wyden, a transmis Pentagonului o scrisoare în care avertizează că datele comerciale de localizare pot fi folosite pentru a identifica locurile unde se adună trupele și tiparele lor de viață. În opinia senatorilor, aceste informații pot fi exploatate pentru atacuri cu rachete, drone și bombe, dar și pentru activități de contrainformații. Parlamentarii susțin că, având în vedere ceea ce oficialii militari ar cunoaște deja despre exploatarea acestor date, Departamentul Apărării ar fi trebuit să acționeze mai devreme și cer măsuri suplimentare de securitate. Ce măsuri propun senatorii pentru reducerea expunerii În scrisoare sunt enumerate mai multe propuneri, orientate spre limitarea colectării și partajării datelor de pe dispozitive: dezactivarea ID-ului unic al dispozitivelor folosit în scop comercial; oprirea automată a partajării locației; folosirea altor browsere decât Google Chrome, pe motiv că ar colecta mai puține date. Reacția Google și lipsa unui punct de vedere al Pentagonului Senatorii critică browsere precum Chrome, despre care afirmă că „sunt construite pentru a colecta și distribui date despre utilizatori”, iar păstrarea lor pe dispozitive guvernamentale ar oferi adversarilor „o armă” împotriva trupelor. Google a transmis, într-un punct de vedere citat de Reuters, că browserul Chrome are „un nivel de securitate de vârf” raportat la standardele industriei și că susține de mult timp măsuri mai ferme împotriva brokerilor de date. Wyden a mai afirmat că sectorul tehnologiei de publicitate ar trebui tratat ca o amenințare la adresa securității naționale. Pentagonul nu a oferit un punct de vedere pentru Reuters, iar senatorii spun că nu au obținut informații suplimentare de la oficialii militari. Context: cum ajung datele de localizare să fie revândute Reuters explică faptul că datele de localizare sunt folosite pe scară largă în publicitatea digitală, o componentă importantă a veniturilor marilor companii de tehnologie. De regulă, datele sunt colectate de dispozitive conectate la internet, aplicații și furnizori de servicii, apoi sunt vândute către „brokeri” (intermediari care agregă și revând date), uneori prin lanțuri complexe de intermediere. Agenția amintește și exemple anterioare de utilizare a unor astfel de date: Wall Street Journal a relatat în 2021 că, în 2016, un contractor a folosit date de localizare disponibile comercial pentru a urmări trupe de operațiuni speciale, iar în 2024 Wired și două agenții germane au analizat miliarde de coordonate de la un broker pentru a detalia mișcări în jurul unor baze și centre de informații americane din Germania. [...]
Cazul unui inginer Google acuzat că a folosit date interne pentru pariuri pe Polymarket ridică miza de reglementare pentru piețele de predicție , printr-o aplicare „în stil bursier” a conceptului de tranzacționare pe informații privilegiate asupra unor contracte de tip derivat, potrivit The Next Web . Procurorii federali din Southern District of New York (SDNY) l-au pus sub acuzare pe Michele Spagnuolo , un inginer Google de securitate a informațiilor, în vârstă de 36 de ani, stabilit în Elveția. Acesta ar fi folosit un instrument intern Google pentru a accesa date nepublice despre tendințele de căutare și ar fi pariat 2,7 milioane de dolari (aprox. 12,2 milioane lei) pe Polymarket, obținând un profit de 1,2 milioane de dolari (aprox. 5,4 milioane lei) din contractele „Google Year-in-Search” pentru 2025. De ce contează: „insider trading” aplicat pe o piață reglementată ca derivat Miza principală a dosarului este cadrul legal folosit de autorități. Polymarket operează cu „contracte de eveniment” (pariuri pe rezultate), care sunt reglementate de Commodity Futures Trading Commission (CFTC) ca derivate, nu de Securities and Exchange Commission (SEC) ca valori mobiliare. În mod tradițional, răspunderea pentru tranzacționare pe informații privilegiate a fost mai ușor de încadrat în regimul piețelor de capital. În acest caz, procurorii ar fi ocolit această limitare folosind legea privind frauda pe mărfuri (commodities fraud), care vizează manipularea și conduita frauduloasă pe orice piață aflată sub supravegherea CFTC. Publicația notează că dosarul SDNY, susținut de o investigație FBI, este cea mai concretă aplicare publică de până acum a unei logici de tip „insider trading” la tranzacții pe o piață de predicție. Cum ar fi funcționat schema, potrivit acuzării Polymarket a rulat la finalul lui 2025 o piață privind cine va conduce clasamentul Google „Year-in-Search”, recapitularea anuală a celor mai căutați termeni și persoane. Procurorii susțin că Spagnuolo ar fi: accesat date interne, nepublice, despre trendurile de căutare; plasat 25 de pariuri printr-un cont numit „AlphaRaccoon”; mizat aproape 1 milion de dolari (aprox. 4,5 milioane lei) că Bianca Censori nu va termina pe primul loc și peste 600.000 de dolari (aprox. 2,7 milioane lei) că Papa Leo XIV nu va termina pe primul loc; luat o poziție „semnificativă” pe artistul D4vd să termine pe primul loc, la o probabilitate aproape de zero, conform prețului din piață. D4vd a câștigat după ce Google a anunțat rezultatele pe 4 decembrie 2025, iar contul „AlphaRaccoon” ar fi încasat profitul. Ulterior, Spagnuolo ar fi eliminat numele „AlphaRaccoon” de pe cont și ar fi mutat câștigurile din portofelul cripto asociat. Capete de acuzare și anchete paralele Spagnuolo este acuzat de fraudă pe mărfuri, fraudă prin mijloace electronice (wire fraud) și spălare de bani. În paralel, CFTC a deschis un caz civil. Este al doilea dosar penal federal legat de tranzacționarea pe Polymarket și primul în care informația folosită ar proveni din interiorul unei mari platforme din Silicon Valley, potrivit articolului. Presiune în creștere asupra piețelor de predicție Dosarul apare într-un context de intensificare a presiunii de reglementare asupra Polymarket și a platformei Kalshi. Publicația menționează că: Comisia de Supraveghere a Camerei Reprezentanților din SUA (House Oversight), condusă de James Comer, a deschis o investigație privind folosirea de informații nepublice de către clienți ai Polymarket și Kalshi; Spania a blocat ambele platforme invocând motive legate de licența de jocuri de noroc; India a blocat formal Polymarket pe 21 mai. Într-un caz anterior, un militar american a fost acuzat că a folosit informații interne pentru a paria pe rezultate politice din Venezuela, obținând aproximativ 400.000 de dolari (aprox. 1,8 milioane lei). Ce urmează Spagnuolo a fost arestat în Elveția și, potrivit informațiilor citate, cooperează cu procesul de extrădare. Google nu a comentat dacă intenționează să inițieze o acțiune civilă împotriva fostului angajat. Pentru Polymarket, întrebarea comercială deschisă este dacă argumentul că „dinamica de preț” rezistă unui număr mic de participanți informați va rămâne credibil în fața unei urmăriri penale de acest tip. Articolul notează că piața „Year-in-Search” ar fi fost suficient de mică încât o poziție de 2,7 milioane de dolari să fie vizibilă în registrul de ordine, iar echipa de supraveghere a platformei nu a explicat public de ce nu ar fi semnalat-o înainte de rezultatele din decembrie 2025. [...]
O nouă tehnică de urmărire, numită FROST , poate permite site-urilor să deducă ce aplicații și pagini sunt deschise pe un dispozitiv, analizând indirect activitatea SSD-ului , potrivit Ars Technica . Miza pentru companii și utilizatori este una operațională: mecanismul folosește JavaScript și o „portiță” de tip canal lateral (side channel), ceea ce înseamnă că poate funcționa fără acces direct la fișierele sistemului, ocolind izolarea normală dintre site-uri. Cum funcționează canalul lateral: latențe de I/O și învățare automată Deși fiecare sistem de fișiere al unui site este „în sandbox” (izolat de alte site-uri și de sistemul dispozitivului), codul JavaScript poate măsura interacțiunile de intrare/ieșire (I/O) cu stocarea. Cercetătorii descriu un scenariu în care atacatorul face citiri aleatorii dintr-un fișier mare stocat în OPFS (Origin Private File System – spațiul de stocare alocat unui site în browser) și urmărește întârzierile (latențele) apărute când SSD-ul este „în competiție” (contention) cu alte activități generate de utilizator. Aceste urme de latență sunt apoi trecute printr-o rețea neuronală convoluțională (un tip de model de învățare profundă folosit la clasificare), antrenată în prealabil, pentru a „amprenta” activitatea utilizatorului și a deduce ce aplicații sau site-uri sunt deschise. Ars Technica notează că autorii folosesc un astfel de model pentru a clasifica urmele noi pe baza celor învățate. Limitări care pot îngreuna atacurile la scară Tehnica are constrângeri practice importante, care pot reduce fezabilitatea la scară largă: fișierul OPFS trebuie să fie „extrem de mare”, probabil de un gigabyte sau mai mult , ceea ce ar putea fi observat de mulți utilizatori; fișierul trebuie să fie stocat pe același SSD folosit de vizitator; de regulă nu e o problemă pentru urmărirea altor site-uri (fișierul e în locația implicită a browserului), dar aplicațiile instalate pe un SSD separat nu ar putea fi detectate în acest fel. Publicația precizează și că nu există indicii că atacuri FROST au fost observate „în sălbăticie” (folosite efectiv împotriva utilizatorilor), la momentul relatării. Ce au testat cercetătorii și ce rămâne neacoperit Cercetătorii au rulat atacul complet pe un Mac cu cip M2. Pe Linux au demonstrat că „primitiva” de bază (măsurarea urmelor de latență ale accesului la SSD din JavaScript) funcționează, dar nu au rulat atacul complet. Unul dintre coautori, Hannes Weissteiner, a transmis prin e-mail că, având performanțe similare ale primitivei între macOS și Linux, se așteaptă performanțe similare și pentru clasificarea completă. Windows nu a fost testat. Măsuri de reducere a riscului: utilizatori și producători de browsere Ca măsură simplă, cercetătorii recomandă închiderea taburilor imediat ce nu mai sunt necesare. Utilizatorii mai avansați pot monitoriza crearea și dimensiunea fișierelor OPFS alocate de site-uri necunoscute. Pentru producătorii de browsere, autorii propun închiderea canalului lateral, inclusiv prin limitarea dimensiunii maxime a fișierelor de acest tip. Lucrarea urmează să fie prezentată în iulie la conferința DIMVA , iar detaliile tehnice sunt descrise în articolul științific menționat de Ars Technica. Pentru context, modelul invocat este o rețea neuronală convoluțională . [...]
