Ο Γενικός Εισαγγελέας του Τέξας, Ken Paxton, πρόσθεσε το WhatsApp στη μακρά λίστα εταιρειών που κατηγορεί για παραβίαση της ιδιωτικότητας των πολιτών της πολιτείας, ανακοινώνοντας αγωγή κατά της εφαρμογής ανταλλαγής μηνυμάτων και της μητρικής της εταιρείας, Meta. Η αγωγή υποστηρίζει ότι το WhatsApp εξαπατά τους χρήστες του ισχυριζόμενο ότι προσφέρει κρυπτογράφηση end-to-end, δηλαδή ένα σύστημα που αποκρύπτει το περιεχόμενο των μηνυμάτων από οποιονδήποτε — ακόμα και από την ίδια την εταιρεία — εκτός από τον αποστολέα και τον παραλήπτη.

Τι ισχυρίζεται η αγωγή

Κατατεθειμένη στο δικαστήριο της κομητείας Harrison, η αγωγή ισχυρίζεται ότι το WhatsApp διαφήμιζε ψευδώς την πλατφόρμα του ως ασφαλή και πλήρως κρυπτογραφημένη, ενώ η Meta διατηρεί πρόσβαση σε «σχεδόν όλες» τις ιδιωτικές επικοινωνίες των χρηστών. Σύμφωνα με την εισαγγελία, εργαζόμενοι του WhatsApp μπορούσαν να αποκτήσουν πρόσβαση στις επικοινωνίες των χρηστών, και το περιεχόμενο των μηνυμάτων μπορούσε να ανακτηθεί και να προβληθεί αφού αυτά είχαν αποσταλεί.

Η αγωγή και η σχετική ανακοίνωση του γραφείου Paxton επικαλούνται καταγγελίες πρώην εργαζομένων που ισχυρίζονται ότι η Meta έχει πρόσβαση στα μηνύματα. Παράλληλα, μια έρευνα του ομοσπονδιακού Υπουργείου Εμπορίου για Meta και WhatsApp έκλεισε απότομα νωρίτερα φέτος, αφού ένας ανακριτής της υπηρεσίας έγραψε σε εσωτερικό σημείωμα ότι δεν υπήρχε «κανένα όριο» στον τύπο των μηνυμάτων του WhatsApp που μπορούσαν να προβληθούν, σύμφωνα με δημοσίευμα του Bloomberg.

Η αγωγή κατατέθηκε βάσει του νόμου του Τέξας περί παραπλανητικών εμπορικών πρακτικών (Texas Deceptive Trade Practices Act). Ο Paxton υποστηρίζει ότι η Meta και το WhatsApp παραβίασαν τον νόμο παραπλανώντας συστηματικά τους χρήστες με τους ισχυρισμούς για κρυπτογράφηση. Η αγωγή ζητά μόνιμη απαγόρευση πρόσβασης της εταιρείας στα μηνύματα των χρηστών χωρίς τη συναίνεσή τους, καθώς και πρόστιμο 10.000 δολαρίων για κάθε παράβαση του νόμου προστασίας καταναλωτών.

Η απάντηση της Meta

«Το WhatsApp δεν μπορεί να έχει πρόσβαση στις κρυπτογραφημένες επικοινωνίες των ανθρώπων και οποιαδήποτε υπαινιγμός του αντιθέτου είναι ψευδής», δήλωσε η εκπρόσωπος της Meta, Rachel Holland, απαντώντας στην αγωγή. «Θα παλέψουμε ενάντια σε αυτή την αγωγή συνεχίζοντας να υπερασπιζόμαστε το ισχυρό μας ιστορικό στην προστασία των μηνυμάτων των ανθρώπων.»

Το WhatsApp προσφέρει κρυπτογράφηση end-to-end ως προεπιλογή για όλα τα μηνύματα, κλήσεις, φωτογραφίες, βίντεο και έγγραφα από τον Απρίλιο του 2016. Η κρυπτογράφηση αυτή βασίζεται στο ανοιχτού κώδικα Signal Protocol, που έχει αναπτυχθεί από την Open Whisper Systems και έχει ελεγχθεί ανεξάρτητα από ερευνητές ασφάλειας. Επειδή το πρωτόκολλο είναι ανοιχτού κώδικα, οι ισχυρισμοί κρυπτογράφησης του WhatsApp είναι θεωρητικά ανεξάρτητα επαληθεύσιμοι.

Τι λένε οι ειδικοί κρυπτογραφίας

Ο καθηγητής κρυπτογραφίας του Πανεπιστημίου Johns Hopkins, Matthew Green, δημοσίευσε εκτενή ανάλυση του θέματος. Επισημαίνει ότι, ενώ η κρυπτογράφηση του WhatsApp βασίζεται στο Signal Protocol, ο πραγματικός κώδικας που χρησιμοποιείται δεν είναι ανοιχτού κώδικα και επομένως είναι αδύνατο για ανεξάρτητους ερευνητές να επαληθεύσουν πλήρως τον τρόπο εφαρμογής του.

Ο Green εκτιμά ότι αυτό που πιθανότατα συμβαίνει είναι ότι η «εντολή» που ανατίθεται σε μηχανικούς αφορά την πρόσβαση σε μηνύματα που έχουν αναφερθεί ως καταχρηστικά από χρήστες. Αυτές οι αναφορές αποστέλλονται σε μη κρυπτογραφημένη μορφή — και ο χρήστης ενημερώνεται γι' αυτό — αλλιώς η Meta δεν θα μπορούσε να εξετάσει και να ανταποκριθεί σε αναφορές κατάχρησης.

Ανεξάρτητοι σχολιαστές επισημαίνουν επίσης ότι υπάρχουν συγκεκριμένες εξαιρέσεις στις εγγυήσεις κρυπτογράφησης end-to-end του WhatsApp, όπως ορισμένοι τύποι επιχειρηματικών επικοινωνιών — όταν, για παράδειγμα, μιλάτε μέσω WhatsApp με μια εταιρεία — όπου το περιεχόμενο δεν προστατεύεται με τον ίδιο τρόπο. Πέρα από το περιεχόμενο, άλλες πληροφορίες, γνωστές ως «μεταδεδομένα», όπως αριθμοί τηλεφώνου, με ποιους επικοινωνεί κάποιος, πότε αποστέλλονται μηνύματα, διευθύνσεις IP και μοτίβα χρήσης, ενδέχεται να συλλέγονται ακόμα και όταν το περιεχόμενο παραμένει κρυπτογραφημένο.

Το ιστορικό του Paxton και η πολιτική διάσταση

Η αγωγή κατατέθηκε ενώ ο Paxton διεκδικεί την υποψηφιότητα για τη Ρεπουμπλικανική θέση στη Γερουσία των ΗΠΑ, σε ένα ανταγωνιστικό δεύτερο γύρο εκλογών απέναντι στον εν ενεργεία γερουσιαστή John Cornyn. Η κίνηση αυτή αποτελεί την τελευταία σε μια σειρά νομικών ενεργειών του γραφείου Paxton κατά μεγάλων εταιρειών τεχνολογίας, που τις κατηγορεί για παράνομη συλλογή δεδομένων χρηστών. Στις 11 Μαΐου, ο Paxton μήνυσε το Netflix, κατηγορώντας το ότι συλλέγει δεδομένα χρηστών εν αγνοία τους και τα πουλά σε μεσίτες δεδομένων για στοχευμένες διαφημίσεις.

Το 2024, η Meta συμφώνησε να πληρώσει στο Τέξας 1,4 δισεκατομμύριο δολάρια για να διευθετήσει αγωγή που είχε καταθέσει το γραφείο Paxton το 2022, κατηγορώντας την εταιρεία για χρήση τεχνολογίας αναγνώρισης προσώπου χωρίς τη συγκατάθεση των χρηστών. Πέρυσι, το γραφείο του Γενικού Εισαγγελέα εξασφάλισε επίσης διακανονισμό 1,4 δισεκατομμυρίων δολαρίων με την Google, μετά από αγωγή του 2022 που κατηγορούσε τον τεχνολογικό κολοσσό για συλλογή δεδομένων χρηστών χωρίς τη συγκατάθεσή τους.

Η ευρύτερη εικόνα της ιδιωτικότητας στο οικοσύστημα Meta

Στις 8 Μαΐου 2026, η Meta κατάργησε εντελώς την προαιρετική κρυπτογράφηση end-to-end για τα Direct Messages του Instagram. Χρήστες που είχαν ενεργοποιήσει προηγουμένως αυτή τη λειτουργία ενημερώθηκαν ότι «η κρυπτογράφηση end-to-end στο Instagram δεν υποστηρίζεται πλέον από τις 8 Μαΐου 2026» και προτράπηκαν να κατεβάσουν αντίγραφα των κρυπτογραφημένων συνομιλιών τους πριν από την προθεσμία.

Το WhatsApp παραμένει κρυπτογραφημένο end-to-end για τα μηνύματα μεταξύ χρηστών, ενώ τα Direct Messages του Instagram θα πρέπει πλέον να θεωρούνται αναγνώσιμα από τη Meta και δυνητικά προσβάσιμα σε αρχές επιβολής νόμου, διαφημιστές ή επιτιθέμενους που αποκτούν πρόσβαση στα συστήματα της Meta. Αξίζει επίσης να σημειωθεί ότι τα αντίγραφα ασφαλείας (backups) στο cloud δεν προστατεύονται απαραίτητα με τον ίδιο τρόπο: το WhatsApp προσφέρει κρυπτογραφημένα αντίγραφα ασφαλείας ως επιλογή, αλλά δεν είναι ενεργοποιημένα ως προεπιλογή.

Πηγές

• Ars Technica — Texas AG sues Meta over claims that WhatsApp doesn't provide end-to-end encryption
• Texas Tribune — Texas sues WhatsApp, Meta over alleged privacy violations
• Office of the Texas Attorney General — Landmark Lawsuit Against Meta and WhatsApp
• 9to5Mac — Lawsuit claims WhatsApp encryption is a lie; cryptographer weighs in
• Matthew Green (Johns Hopkins) — WhatsApp Encryption, a Lawsuit, and a Lot of Noise
• Malwarebytes — Meta's confusing new approach to chat privacy

Η Google αποκάλυψε κατά λάθος στοιχεία για ένα αδιόρθωτο κενό ασφαλείας στον πηγαίο κώδικα του Chromium που επιτρέπει την εκτέλεση JavaScript ακόμα και αφού ο χρήστης κλείσει το πρόγραμμα πλοήγησης, ανοίγοντας δυνητικά τον δρόμο για απομακρυσμένη εκτέλεση κώδικα στη συσκευή του θύματος. Η εταιρεία δημοσίευσε — και στη συνέχεια απέσυρε γρήγορα — μια δυνητικά επικίνδυνη αναφορά σφάλματος που αφορά ευπάθεια αρχικά εντοπισμένη το 2022, η οποία παραμένει αδιόρθωτη στον κώδικα του Chromium.

Τι ακριβώς συνέβη

Σύμφωνα με την ερευνήτρια ασφαλείας Lyra Rebane, που εντόπισε πρώτη το σφάλμα πριν από τέσσερα χρόνια, η Google «άνοιξε» την αναφορά σφάλματος χωρίς να αξιολογήσει σωστά τι θα σήμαινε αυτό για τη συνολική ασφάλεια του διαδικτύου. Οι προγραμματιστές της Chrome κινήθηκαν γρήγορα για να κλείσουν ξανά την αναφορά, όμως η σελίδα είχε ήδη αρχειοθετηθεί και παραμένει προσβάσιμη online μαζί με τον κώδικα απόδειξης εκμετάλλευσης (PoC) της Rebane.

Η ευπάθεια είχε αναφερθεί από την ερευνήτρια Lyra Rebane και αναγνωριστεί ως έγκυρη τον Δεκέμβριο του 2022, βάσει του thread στο Chromium Issue Tracker. Μετά την ιδιωτική ενημέρωση το 2022, η Google το κατέταξε ως «P1» — το δεύτερο υψηλότερο επίπεδο προτεραιότητας — με βαθμολογία σοβαρότητας «S2». Ωστόσο, το σφάλμα φαίνεται να παρέμεινε στο bug tracker του Chromium για περίπου τέσσερα χρόνια χωρίς να φτάσει διόρθωση στους χρήστες.

Πώς λειτουργεί η επίθεση

Η ευπάθεια αφορά το Background Fetch API του Chromium, μια λειτουργία σχεδιασμένη για να επιτρέπει σε ιστοσελίδες να συνεχίζουν λήψεις μεγάλων αρχείων στο παρασκήνιο. Ένας εισβολέας μπορεί να εκμεταλλευτεί το πρόβλημα δημιουργώντας μια κακόβουλη ιστοσελίδα με ένα Service Worker — π.χ. μια διαδικασία λήψης — που δεν τερματίζεται ποτέ. Δεν απαιτείται εγκατάσταση κακόβουλης εφαρμογής, ύποπτο αναδυόμενο παράθυρο ή παραχώρηση δικαιωμάτων. Σε ορισμένες περιπτώσεις, αρκεί μόνο το άνοιγμα μιας ιστοσελίδας για να ενεργοποιηθεί.

Πιθανά σενάρια εκμετάλλευσης περιλαμβάνουν τη χρήση παραβιασμένων προγραμμάτων πλοήγησης για επιθέσεις κατανεμημένης άρνησης υπηρεσίας (DDoS), διοχέτευση κακόβουλης κίνησης μέσω αυτών, και αυθαίρετη ανακατεύθυνση επισκεψιμότητας. Η ίδια η Rebane είχε επισημάνει στην αρχική αναφορά ότι «είναι ρεαλιστικό να συγκεντρωθούν δεκάδες χιλιάδες pageviews για τη δημιουργία ενός botnet, και οι χρήστες δεν θα γνωρίζουν ότι μπορεί να εκτελεστεί JavaScript απομακρυσμένα στη συσκευή τους.»

Ποια προγράμματα πλοήγησης επηρεάζονται

Το ανοιχτού κώδικα Chromium αποτελεί τη βάση για το Google Chrome και πολλά άλλα δημοφιλή προγράμματα πλοήγησης όπως το Microsoft Edge, το Opera και το Brave. Όταν ανακαλύπτεται ένα σοβαρό κενό ασφαλείας στον κοινό κώδικα, μπορεί γρήγορα να γίνει ευρεία απειλή που επηρεάζει εκατομμύρια συσκευές σε πολλαπλές πλατφόρμες. Λόγω του ότι όλα αυτά τα προγράμματα πλοήγησης μοιράζονται τον κινητήρα του Chromium, η ευπάθεια εξαπλώνεται σε ολόκληρο το οικοσύστημα. Προγράμματα πλοήγησης που δεν υλοποιούν τη συμπεριφορά λήψης στο παρασκήνιο του Chromium φαίνεται να είναι ασφαλή.

Τα όρια της ευπάθειας

Η Rebane διευκρίνισε ότι το σφάλμα δεν παρακάμπτει τα όρια ασφαλείας του προγράμματος πλοήγησης και δεν δίνει στους εισβολείς πρόσβαση στα email, τα αρχεία ή το λειτουργικό σύστημα του θύματος. Η θεωρία της είναι ότι η ευπάθεια βρέθηκε σε μια άβολη γκρίζα ζώνη: αρκετά επικίνδυνη για να μετράει, αλλά όχι αρκετά καταστροφική ώστε να προκαλέσει άμεση δράση, επειδή δεν εκθέτει άμεσα αρχεία, κωδικούς πρόσβασης ή email.

Η Rebane δήλωσε στο Ars Technica ότι η αποκάλυψη από την Google θα κάνει την εκμετάλλευση «αρκετά εύκολη», ωστόσο η μετατροπή της σε ένα μεγάλης κλίμακας botnet παραμένει πιο πολύπλοκη.

Τι αναμένεται να γίνει

Αν και η αναφορά έγινε ξανά ιδιωτική, η έκθεση διήρκεσε αρκετά για να διαρρεύσουν οι πληροφορίες. Δεδομένου ότι οι λεπτομέρειες της ευπάθειας έχουν πλέον διαρρεύσει, ο κίνδυνος για μεγάλο αριθμό χρηστών είναι σημαντικός, και η Google πιθανότατα θα αντιμετωπίσει αυτό ως επείγον, απελευθερώνοντας σύντομα έκτακτες διορθώσεις. Η BleepingComputer επικοινώνησε με την Google για σχόλιο σχετικά με αυτή την αποκάλυψη, χωρίς να έχει λάβει απάντηση μέχρι τη στιγμή της δημοσίευσης.

Πηγές

• BleepingComputer — Google accidentally exposed details of unfixed Chromium flaw
• TechSpot — Google's accidental disclosure

Η Google βρέθηκε στο επίκεντρο κριτικής για σοβαρή αστοχία στη διαδικασία αποκάλυψης ευπαθειών: η εταιρεία δημοσίευσε κώδικα εκμετάλλευσης για αδιόρθωτη ευπάθεια στον πηγαίο κώδικα του Chromium, που απειλεί εκατομμύρια χρήστες Chrome, Microsoft Edge και ουσιαστικά όλων των browsers βασισμένων στο Chromium. Το περιστατικό ήρθε στο φως την Τετάρτη 20 Μαΐου 2026, μέσα από δημοσίευση στο Chromium bug tracker — που αφαιρέθηκε γρήγορα, αλλά όχι αρκετά γρήγορα.

Τι κάνει αυτή η ευπάθεια

Ο κώδικας εκμετάλλευσης στοχεύει το Browser Fetch API — ένα πρότυπο διεπαφής που επιτρέπει τη λήψη μεγάλων αρχείων, όπως βίντεο, στο παρασκήνιο. Η εκμετάλλευση λειτουργεί κακοποιώντας αυτό το API για να ανοίξει ένα service worker — μια διεργασία browser που παραμένει επίμονα ενεργή. Ένα service worker είναι, ουσιαστικά, ένα script που τρέχει στο παρασκήνιο του browser, ανεξάρτητα από την ιστοσελίδα που επισκέπτεται ο χρήστης.

Ένας επιτιθέμενος μπορεί να χρησιμοποιήσει την εκμετάλλευση για να δημιουργήσει σύνδεση παρακολούθησης ορισμένων πτυχών της χρήσης του browser και ως proxy για επίσκεψη σε sites και εκτέλεση επιθέσεων άρνησης υπηρεσίας (DDoS). Ανάλογα με τον browser, οι συνδέσεις αυτές επαναδημιουργούνται ή παραμένουν ανοιχτές ακόμα και μετά από επανεκκίνηση του browser ή της συσκευής.

Η αδιόρθωτη ευπάθεια μπορεί να εκμεταλλευτεί από οποιοδήποτε site επισκέπτεται ο χρήστης. Στην πράξη, η παραβίαση λειτουργεί ως περιορισμένο backdoor που εντάσσει τη συσκευή σε ένα δίκτυο botnet. Οι δυνατότητες του εισβολέα περιορίζονται σε ό,τι μπορεί να κάνει ένας browser — επίσκεψη σε κακόβουλα sites, ανώνυμη πλοήγηση μέσω proxy, εκτέλεση επιθέσεων DDoS μέσω proxy και παρακολούθηση δραστηριότητας χρήστη. Ωστόσο, η κλίμακα της πιθανής εκμετάλλευσης παραμένει ανησυχητική.

42 μήνες χωρίς διόρθωση

Η ευπάθεια ανακαλύφθηκε και αναφέρθηκε ιδιωτικά στη Google στα τέλη του 2022 από την ανεξάρτητη ερευνήτρια ασφαλείας Lyra Rebane. Στον ιδιωτικό κλάδο αποκάλυψης, δύο προγραμματιστές χαρακτήρισαν σε ξεχωριστές απαντήσεις τους το κενό ως «σοβαρή ευπάθεια». Η εσωτερική κατάταξη προτεραιότητας ορίστηκε P1 (δεύτερη υψηλότερη κατηγορία), ενώ η σοβαρότητα αξιολογήθηκε S2 (τρίτη υψηλότερη κατηγορία).

Η Rebane εξήγησε τον λόγο της εξαιρετικά μεγάλης καθυστέρησης: «Νομίζω ότι αυτό που συνέβη είναι κάπως εκτός προτύπου, καθώς δεν ξεπερνά κανένα καθορισμένο όριο ασφαλείας. Αυτό, υποθέτω, οδήγησε στο να ανατεθεί σε λανθασμένους ανθρώπους ή σε άτομα που δεν το κατανόησαν, και έτσι χάθηκε τόσος χρόνος.»

Την Τετάρτη το πρωί, το Chromium bug tracker δημοσίευσε την καταχώρηση με τον κώδικα εκμετάλλευσης. Η Rebane αρχικά υπέθεσε ότι η ευπάθεια είχε επιτέλους διορθωθεί — μέχρι που ανακάλυψε ότι παρέμενε αδύναμη. Παρά την αφαίρεση της ανάρτησης από τη Google, ο κώδικας παραμένει διαθέσιμος σε αρχειακά sites. Εκπρόσωποι της Google δεν απάντησαν άμεσα σε ερωτήματα για το πώς και γιατί δημοσιεύτηκε η ευπάθεια, ούτε αν και πότε θα γίνει διαθέσιμη διόρθωση.

Πώς εκδηλώνεται η επίθεση — και γιατί είναι δύσκολο να εντοπιστεί

Η εκμετάλλευση ενεργοποιείται από JavaScript που εκτελείται σε κακόβουλο site. Στο Microsoft Edge, η εκμετάλλευση είναι ιδιαίτερα δύσκολο να εντοπιστεί: το JavaScript ενδέχεται να ανοίξει παράθυρο λήψεων, χωρίς όμως να εμφανίσει κανένα αρχείο σε αυτό. Σε επόμενες εκκινήσεις του browser, το παράθυρο αυτό δεν εμφανίζεται πλέον. Στο Chrome, το dropdown λήψεων παραμένει πιο ορατό. Σε αμφότερες τις περιπτώσεις, οι λιγότερο έμπειροι χρήστες είναι πιθανό να ερμηνεύσουν τη συμπεριφορά ως τεχνικό πρόβλημα και να μην αντιληφθούν ότι η συσκευή τους έχει παραβιαστεί.

Στον ιδιωτικό κλάδο αποκάλυψης, προγραμματιστής της Google είχε αναφερθεί σε δεδομένα χρήσης για το Background Fetch, σημειώνοντας μέσο όρο περίπου «~17 ολοκληρωμένα αρχεία ανά χρήστη ανά ημέρα» στο Chrome — εκτίμηση που τότε χρησιμοποιήθηκε για να αιτιολογηθεί ότι δεν συνέβαινε κάτι σε μαζική κλίμακα. Η Rebane εκτίμησε ότι ο κώδικας που δημοσίευσε κατά λάθος η Google θα ήταν «αρκετά εύκολος» στη χρήση, αν και η κλιμάκωση της επίθεσης σε μεγάλους αριθμούς συσκευών θα απαιτούσε περαιτέρω εργασία.

Ποιοι browsers επηρεάζονται

Η Rebane επιβεβαίωσε ότι ευάλωτοι είναι, εκτός από Chrome και Microsoft Edge, επίσης τα Brave, Opera, Vivaldi και Arc — δηλαδή ουσιαστικά κάθε browser βασισμένος στη μηχανή Chromium. Firefox και Safari δεν επηρεάζονται, καθώς δεν υποστηρίζουν το Background Fetch API. Η ερευνήτρια δήλωσε ότι αμφιβάλλει για ενεργή εκμετάλλευση της ευπάθειας σε browsers εκτός Chrome αυτή τη στιγμή.

Το περιστατικό αναδεικνύει ένα γνωστό πρόβλημα στη διαδικασία αποκάλυψης ευπαθειών μεγάλων εταιρειών: όταν μια ευπάθεια αποκαλύπτεται υπεύθυνα, η ομάδα του Chrome αναπτύσσει διόρθωση, τη δοκιμάζει και τη δημοσιεύει — μια διαδικασία που για μη κρίσιμα ζητήματα συχνά διαρκεί αρκετές εβδομάδες. Στη συγκεκριμένη περίπτωση, η διαδικασία αυτή δεν ολοκληρώθηκε σε 42 μήνες.

Μέχρι να κυκλοφορήσει επίσημη διόρθωση, χρήστες browsers βασισμένων στο Chromium θα πρέπει να επιδεικνύουν αυξημένη προσοχή: οποιοδήποτε παράθυρο λήψεων εμφανίζεται χωρίς προφανή λόγο αξίζει διερεύνηση.

Πηγές

• Ars Technica — Google publishes exploit code threatening millions of Chromium users
• Slashdot — Google Publishes Exploit Code Threatening Millions of Chromium Users
• Lyra Rebane — Mastodon post (infosec.exchange)

Ένας ανώνυμος ερευνητής ασφάλειας που δραστηριοποιείται στο GitHub ως Nightmare-Eclipse και στο Blogspot ως Chaotic Eclipse δημοσίευσε δύο νέα zero-day exploits που πλήττουν Windows 11, Windows Server 2022 και Windows Server 2025. Το πρώτο, με κωδικό YellowKey, περιγράφεται από τον ίδιο ως «one of the most insane discoveries I ever found», εξομοιώνοντάς το με λειτουργική κερκόπορτα (backdoor), καθώς το σφάλμα εντοπίζεται αποκλειστικά στο Windows Recovery Environment (WinRE) — το ενσωματωμένο περιβάλλον αποκατάστασης συστήματος.

Πώς λειτουργεί το YellowKey

Το BitLocker είναι η τεχνολογία πλήρους κρυπτογράφησης δίσκου της Microsoft, με το κλειδί αποκρυπτογράφησης να φυλάσσεται στο Trusted Platform Module (TPM). Αποτελεί υποχρεωτική προστασία για πολλούς οργανισμούς, συμπεριλαμβανομένων κυβερνητικών αναδόχων.

Η επίθεση περιλαμβάνει την τοποθέτηση ειδικά κατασκευασμένων αρχείων «FsTx» σε USB drive ή στο διαμέρισμα EFI, και στη συνέχεια τη σύνδεση του USB σε υπολογιστή-στόχο με ενεργοποιημένο BitLocker. Το αποτέλεσμα: ο ερευνητής Will Dormann επιβεβαίωσε ότι κατάφερε να αναπαράγει το YellowKey με συνδεδεμένο USB drive — τα Transactional NTFS bits του USB μπόρεσαν να διαγράψουν το αρχείο winpeshl.ini σε άλλη μονάδα δίσκου, οδηγώντας σε παράθυρο cmd.exe με το BitLocker ξεκλειδωμένο, αντί για το αναμενόμενο Windows Recovery Environment.

Ο ερευνητής τον χαρακτηρίζει κερκόπορτα διότι το σφάλμα εμφανίζεται μόνο στο WinRE και όχι στα Windows ίδια, τα οποία δεν διαθέτουν την απαιτούμενη λειτουργικότητα για να ενεργοποιηθεί η παράκαμψη. Χαρακτηριστικά, η τεχνική λειτουργεί σε Windows 11 και σε εκδόσεις Server, αλλά αφήνει ανεπηρέαστα τα Windows 10 — ένα στοιχείο που τροφοδοτεί τις εικασίες για σκόπιμο σχεδιασμό. Ο Nightmare-Eclipse επιμένει ότι η συμπεριφορά υποδηλώνει σκόπιμο σχεδιασμό και όχι τυχαίο σφάλμα, επισημαίνοντας ότι το στοιχείο που ενεργοποιεί την επίθεση εμφανίζεται στις επίσημες εικόνες Windows Recovery. Ωστόσο, αυτό παραμένει ερμηνεία και όχι απόδειξη — η Microsoft δεν έχει απαντήσει αν πρόκειται για πραγματική κερκόπορτα ή απλώς κακή αρχιτεκτονική ασφάλειας.

Η εταιρεία ασφάλειας SentinelOne έχει καταχωρήσει την ευπάθεια ως CVE-2025-21210, χαρακτηρίζοντάς την ως ζήτημα αποκάλυψης πληροφοριών μέσω φυσικής πρόσβασης. Αυτό σημαίνει πρακτικά ότι κάποιος χρειάζεται χειροπιαστή πρόσβαση στη συσκευή, καθιστώντας το exploit πιο επικίνδυνο σε σενάρια κλεμμένων φορητών υπολογιστών παρά σε απομακρυσμένες επιθέσεις.

GreenPlasma: Κλιμάκωση δικαιωμάτων μέσω CTFMON

Το δεύτερο zero-day που δημοσίευσε ο ίδιος ερευνητής αφορά κλιμάκωση δικαιωμάτων (privilege escalation) που μπορεί να εκμεταλλευτεί οποιοσδήποτε για να αποκτήσει κέλυφος (shell) με δικαιώματα SYSTEM. Προκύπτει από αυθαίρετη δημιουργία τμήματος στο Windows CTFMON.

Σύμφωνα με τον ερευνητή, το νέο proof-of-concept δοκιμάστηκε σε πλήρως ενημερωμένα Windows 11 και Windows Server 2025 και παρήγαγε επιτυχώς κέλυφος SYSTEM. Εξωτερικοί ερευνητές επιβεβαίωσαν ότι το exploit λειτουργεί. Πιο ανησυχητικό είναι το ιστορικό της ευπάθειας: το σφάλμα είχε ήδη αναφερθεί στη Microsoft έξι χρόνια πριν. Ο ερευνητής υποστηρίζει ότι η Microsoft είτε δεν το διόρθωσε ποτέ, είτε «η επιδιόρθωση αποσύρθηκε σιωπηλά κάποια στιγμή για άγνωστους λόγους».

Έξι zero-days σε έξι εβδομάδες — και μια «εκδίκηση»

Ο Nightmare-Eclipse (γνωστός επίσης ως Dead Eclipse και Eclipse) είναι ένας κακόβουλος δράστης που έχει δημοσιεύσει έξι Windows zero-day exploits από τις αρχές Απριλίου 2026, σε μια εκστρατεία που πολλοί ερευνητές χαρακτηρίζουν ως κλιμακούμενη εκδικητική ενέργεια κατά της Microsoft. Ο ίδιος ισχυρίζεται ότι η Microsoft τον άφησε «άστεγο και χωρίς τίποτα».

Με κάθε νέο exploit που διαρρέει, έχει διαμορφωθεί μια επιχειρησιακή αλυσίδα επίθεσης: τα BlueHammer, RedSun και MiniPlasma αποτελούν τρεις διαφορετικές μεθόδους κλιμάκωσης από απλό χρήστη σε SYSTEM· το UnDefend κάνει το τερματικό να φαίνεται υγιές στο Defender ενώ το καθιστά λιγότερο ικανό να εντοπίζει νέες απειλές· και το YellowKey παρακάμπτει το BitLocker σε κλεμμένες ή κατασχεθείσες συσκευές.

Τα exploits που έχει δημοσιεύσει ο Eclipse έχουν ήδη χρησιμοποιηθεί σε πραγματικές εισβολές, προστέθηκαν στον κατάλογο Known Exploited Vulnerabilities της αμερικανικής υπηρεσίας κυβερνοασφάλειας CISA και ανάγκασαν έκτακτο κύκλο ενημερώσεων. Το αποθετήριο GitHub του ερευνητή έχει ήδη πάνω από 100 forks και σχεδόν 300 αστέρια, γεγονός που υποδηλώνει ότι πιθανοί εισβολείς ενδέχεται ήδη να το εκμεταλλεύονται.

Αυτό που δεν αμφισβητείται είναι ότι ο Nightmare-Eclipse έχει επιδείξει διαρκή ικανότητα εντοπισμού και εκμετάλλευσης zero-day ευπαθειών σε βασικά στοιχεία των Windows, επιλέγοντας να τα χρησιμοποιήσει ως «όπλο» σε μια σκόπιμη εκστρατεία. Πρόκειται για ενέργειες κακόβουλου δράστη — όχι πληροφοριοδότη, υπέρμαχου υπεύθυνης αποκάλυψης ή ουδέτερου ερευνητή.

Η στάση της Microsoft

Εκπρόσωπος της Microsoft δήλωσε ότι η εταιρεία «έχει δέσμευση απέναντι στους πελάτες να διερευνά αναφερόμενα ζητήματα ασφάλειας και να ενημερώνει τις επηρεαζόμενες συσκευές το συντομότερο δυνατό», προσθέτοντας ότι υποστηρίζει την «συντονισμένη αποκάλυψη ευπαθειών», μια ευρέως διαδεδομένη πρακτική του κλάδου. Ωστόσο, δεν ανακοίνωσε συγκεκριμένο χρονοδιάγραμμα για patch.

Ο Will Dormann, Senior Principal Vulnerability Analyst στην Tharros, παρατήρησε ότι η Υπηρεσία Αντιμετώπισης Θεμάτων Ασφάλειας της Microsoft (MSRC) δεν λειτουργεί πλέον τόσο αποτελεσματικά. «Η MSRC συνεργαζόταν άριστα στο παρελθόν. Αλλά για να μειώσει κόστη, η Microsoft απέλυσε τους έμπειρους υπαλλήλους, αφήνοντας άτομα που ακολουθούν απλώς διαγράμματα ροής,» σχολίασε, προσθέτοντας ότι δεν θα τον εξέπληττε αν η εταιρεία έκλεινε την υπόθεση επειδή ο ερευνητής αρνήθηκε να υποβάλει βίντεο του exploit.

Τι πρέπει να κάνετε τώρα

Μέχρι η Microsoft να κυκλοφορήσει επίσημη επιδιόρθωση για το YellowKey, οι χρήστες και οι οργανισμοί μπορούν να μειώσουν τον κίνδυνο λαμβάνοντας τα εξής μέτρα:

• Ενεργοποίηση PIN ή κωδικού πρόσβασης pre-boot για το BitLocker, ώστε η αποκρυπτογράφηση να μην εξαρτάται αποκλειστικά από το TPM.
• Απενεργοποίηση εκκίνησης από USB στις ρυθμίσεις BIOS/UEFI και ενεργοποίηση Secure Boot, ώστε να αποτρέπεται η φόρτωση μη αξιόπιστων μέσων.
• Φυσική ασφάλεια συσκευών: το YellowKey απαιτεί χειροπιαστή πρόσβαση, οπότε η φυσική προστασία εξοπλισμού — ιδίως φορητών υπολογιστών — περιορίζει σημαντικά το attack surface.
• Εφαρμογή όλων των διαθέσιμων ενημερώσεων Windows άμεσα, καθώς η Microsoft ενδέχεται να κυκλοφορήσει patch εκτός του τακτικού κύκλου Patch Tuesday.

Πηγές

• The Hacker News — Windows Zero-Days Expose BitLocker Bypasses And CTFMON Privilege Escalation
• Tweaktown — Security researcher finds zero-day exploit that defeats Windows 11 BitLocker
• Cybernews — Revenge exploit: "stabbed in the back" leaker drops Windows security bomb on GitHub
• Barracuda Networks Blog — Nightmare-Eclipse: six zero-days, six weeks and one big grudge
• Yahoo Tech — Security Researcher Claims Microsoft Secretly Built a Backdoor Into BitLocker
• PC Gamer — Security researcher describes freshly uncovered Windows 11 vulnerability as 'one of the most insane discoveries I ever found'

Ανάδοχος της Υπηρεσίας Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) των ΗΠΑ διατηρούσε δημόσιο repository στο GitHub που εξέθετε διαπιστευτήρια για πολλαπλούς λογαριασμούς AWS GovCloud υψηλών προνομίων, καθώς και μεγάλο αριθμό εσωτερικών συστημάτων της CISA. Σύμφωνα με ειδικούς ασφαλείας, το δημόσιο αρχείο περιελάμβανε αρχεία που περιγράφουν τον τρόπο με τον οποίο η CISA κατασκευάζει, δοκιμάζει και αναπτύσσει λογισμικό εσωτερικά — και χαρακτηρίζεται ως μία από τις πλέον σοβαρές διαρροές κυβερνητικών δεδομένων στην πρόσφατη ιστορία.

Το repo «Private-CISA» και τι περιείχε

Το δημόσιο repository, που είχε δημιουργηθεί από ανάδοχο της CISA και έφερε την ειρωνική ονομασία «Private-CISA», περιείχε 844 MB ευαίσθητων δεδομένων: διαπιστευτήρια διαχειριστή για λογαριασμούς AWS GovCloud, αρχεία καταγραφής CI/CD, Kubernetes manifests και εσωτερική τεκμηρίωση. Το repository δημιουργήθηκε στις 13 Νοεμβρίου 2025 και παρέμεινε ανοιχτό για περίπου έξι μήνες, έως ότου η εταιρεία ανίχνευσης μυστικών GitGuardian το εντόπισε στις 14 Μαΐου 2026.

Η λεπτομέρεια που κάνει την υπόθεση ακόμα πιο ανησυχητική είναι το περιεχόμενο των αρχείων. Ένα αρχείο με την ονομασία «importantAWStokens» περιείχε διαπιστευτήρια διαχειριστή για τρεις διακομιστές AWS GovCloud, ενώ ένα άλλο — «AWS-Workspace-Firefox-Passwords.csv» — περιείχε ονόματα χρηστών και κωδικούς σε plaintext για δεκάδες εσωτερικά συστήματα της CISA, μεταξύ των οποίων πρόσβαση στο περιβάλλον LZ-DSO (Landing Zone DevSecOps), στο Artifactory (εσωτερικό αποθετήριο πακέτων κώδικα), ενώ πολλοί κωδικοί ακολουθούσαν τον εύκολα εικαζόμενο τύπο [όνομα πλατφόρμας][τρέχον έτος].

Ενεργή απενεργοποίηση της προστασίας του GitHub

Η ανάλυση των αρχείων καταγραφής (commit logs) αποκάλυψε ότι ο ανάδοχος είχε απενεργοποιήσει σκόπιμα την ενσωματωμένη δυνατότητα ανίχνευσης μυστικών (secret scanning) του GitHub — δυνατότητα που έχει σχεδιαστεί ακριβώς για να εμποδίζει τη δημοσίευση SSH κλειδιών ή ευαίσθητων διαπιστευτηρίων σε δημόσια repositories. Ο Guillaume Valadon της GitGuardian, ο οποίος εντόπισε το πρόβλημα και στη συνέχεια επικοινώνησε με τον ερευνητή Brian Krebs αφού δεν έλαβε καμία απάντηση από τον ιδιοκτήτη του λογαριασμού, χαρακτήρισε την κατάσταση ως «τη χειρότερη διαρροή που έχω δει στην καριέρα μου».

Ο Philippe Caturegli, ιδρυτής της Seralys, επιβεβαίωσε ότι τα εκτεθειμένα διαπιστευτήρια παρείχαν πρόσβαση σε τρεις λογαριασμούς AWS GovCloud σε υψηλό επίπεδο προνομίων. Το AWS GovCloud είναι το νεφοϋπολογιστικό περιβάλλον της Amazon που έχει σχεδιαστεί ειδικά για τον χειρισμό ευαίσθητων κυβερνητικών δεδομένων των ΗΠΑ.

Κίνδυνος εφοδιαστικής αλυσίδας λογισμικού

Ειδικοί ασφαλείας επεσήμαναν ότι η πρόσβαση στο Artifactory αποτελεί τον πλέον επικίνδυνο μακροπρόθεσμο φορέα απειλής: ένα παραβιασμένο αποθετήριο πακέτων λογισμικού θα μπορούσε να επιτρέψει σε επιτιθέμενους να εισάγουν κακόβουλο κώδικα στην αλυσίδα κατασκευής λογισμικού της CISA, εξασφαλίζοντας μόνιμη πρόσβαση με κάθε νέα ανάπτυξη λογισμικού.

Το γεγονός ότι το repository ανάδοχου περιείχε αναφορές στο εσωτερικό περιβάλλον κατασκευής λογισμικού της CISA παραπέμπει στον τύπο κινδύνου εφοδιαστικής αλυσίδας που η ίδια η υπηρεσία έχει ξοδέψει χρόνια για να αντιμετωπίσει — κυρίως στον απόηχο της επίθεσης SolarWinds το 2020.

Ο ανάδοχος, η Nightwing και η αντίδραση της CISA

Το repository «Private-CISA» διατηρείτο από ανάδοχο που συνδέεται με την εταιρεία κυβερνητικών υπηρεσιών Nightwing. Ο λογαριασμός στο GitHub ήταν ενεργός από το 2018, ενώ το συγκεκριμένο repository «Private-CISA» δημιουργήθηκε τον Νοέμβριο του 2025. Σύμφωνα με μία ερμηνεία του ρεπορτάζ του Krebs, ο ανάδοχος χρησιμοποιούσε το GitHub ως μηχανισμό συγχρονισμού υλικού μεταξύ της εργασιακής και της οικιακής του συσκευής — κάτι παρόμοιο με το να στέλνει κανείς έγγραφα στον εαυτό του μέσω email, αλλά με ακόμα λιγότερη ασφάλεια.

Το repository τέθηκε εκτός σύνδεσης αφού η KrebsOnSecurity και η Seralys ειδοποίησαν την CISA· ωστόσο, τα εκτεθειμένα κλειδιά AWS παρέμειναν ενεργά για επιπλέον 48 ώρες μετά την κατάργησή του, εγείροντας σοβαρά ερωτήματα για τις διαδικασίες ανάκλησης διαπιστευτηρίων της CISA. Η Nightwing αρνήθηκε να σχολιάσει και ανακατεύθυνε όλες τις ερωτήσεις στη CISA.

Εκπρόσωπος της CISA δήλωσε: «Επί του παρόντος, δεν υπάρχει ένδειξη ότι ευαίσθητα δεδομένα παραβιάστηκαν ως αποτέλεσμα αυτού του περιστατικού. Εργαζόμαστε για να διασφαλίσουμε την εφαρμογή πρόσθετων μέτρων ασφαλείας που θα αποτρέψουν μελλοντικές εμφανίσεις.»

Το ευρύτερο πλαίσιο: περικοπές και αποδυνάμωση

Το περιστατικό εγείρει ανησυχίες για τους εσωτερικούς ελέγχους ασφαλείας, ιδίως λαμβάνοντας υπόψη τις πρόσφατες μειώσεις προσωπικού εντός της υπηρεσίας. Σύμφωνα με αναφορές, η CISA έχει χάσει σχεδόν το ένα τρίτο του εργατικού της δυναμικού. Συγκεκριμένα, σύμφωνα με την KrebsOnSecurity, ο αριθμός των εργαζομένων μειώθηκε από περίπου 3.400 σε περίπου 2.400 από την έναρξη της δεύτερης διακυβέρνησης Trump.

Ακόμα κι αν ο ανάδοχος έφταιξε με εξαιρετικά σοβαρό τρόπο, αυτό σημαίνει επίσης ότι υπήρξε ολική αποτυχία εποπτείας και παρακολούθησης. Όπως μια τράπεζα δεν εμπιστεύεται κάθε ταμία να είναι αλάνθαστος, έτσι θα έπρεπε να υπάρχουν μηχανισμοί ελέγχου στο GitHub και στις υπηρεσίες που να αποτρέπουν μακράς διάρκειας διαπιστευτήρια, να επιβάλλουν ισχυρούς κωδικούς και να αποτρέπουν την επαναχρησιμοποίησή τους.

Πηγές

• KrebsOnSecurity: CISA Admin Leaked AWS GovCloud Keys on Github
• Ars Technica: In stunning display of stupid, secret CISA credentials found in public GitHub repo
• CybersecurityNews: CISA Admin Exposes AWS GovCloud Credentials on Public GitHub Repository
• CyberPress: CISA Admin Exposes AWS GovCloud Credentials on GitHub

Η Qualys Threat Research Unit ανακοίνωσε στις 14 Μαΐου 2026 ένα νέο κενό ασφαλείας στον πυρήνα Linux, το οποίο επιτρέπει σε οποιονδήποτε μη προνομιούχο τοπικό χρήστη να διαβάσει αρχεία που ανήκουν στον root — συμπεριλαμβανομένων των ιδιωτικών SSH κλειδιών του server και των περιεχομένων του /etc/shadow. Η ευπάθεια επηρεάζει πολλές σειρές LTS kernel από την έκδοση 5.10 και άνω, αν και το fix έχει ήδη ενσωματωθεί.

Πώς λειτουργεί η ευπάθεια

Το πρόβλημα εντοπίζεται στη λογική ελέγχου πρόσβασης μέσω ptrace του πυρήνα, και συγκεκριμένα στη συνάρτηση __ptrace_may_access(), η οποία είναι υπεύθυνη για τον περιορισμό της αλληλεπίδρασης μεταξύ διεργασιών. Ένα λογικό σφάλμα που συνδέεται με τον έλεγχο «dumpability» δημιουργεί μια επικίνδυνη συνθήκη race condition.

Όταν μια προνομιούχα διεργασία — όπως το ssh-keysign ή το chage — τερματίζει, υπάρχει ένα σύντομο παράθυρο κατά το οποίο το περιβάλλον μνήμης της έχει ήδη εκκαθαριστεί (mm = NULL) αλλά οι ανοιχτοί file descriptors της εξακολουθούν να υπάρχουν. Σε αυτό το κενό, ένας μη προνομιούχος εισβολέας μπορεί να εκμεταλλευτεί την ευπάθεια μέσω του pidfd_getfd() για να «κλέψει» αυτούς τους file descriptors.

Στόχος είναι τα SUID binaries που ανοίγνουν αρχεία αποκλειστικά του root κατά τη διάρκεια της κανονικής διαδικασίας εξόδου τους — κυρίως το ssh-keysign (που διαβάζει τα SSH host private keys) και το chage (που διαβάζει τη βάση δεδομένων shadow password). Το race condition ενεργοποιείται κατά την κανονική έξοδο αυτών των binaries, οπότε δεν απαιτείται ειδική ρύθμιση από την πλευρά του προνομιούχου.

Σύμφωνα με δημόσια ανάλυση, το exploit επιτυγχάνει συνήθως μέσα σε 100–2.000 προσπάθειες, καθιστώντας το πρακτικό σε πραγματικά συστήματα. Υπενθυμίζεται ότι η ευπάθεια έχει ηλικία έξι χρόνων — εντοπίστηκε αρχικά σε πρόταση patch του 2020 από τον Jann Horn, η οποία δεν ενσωματώθηκε ποτέ.

Τέταρτη ευπάθεια σε τρεις εβδομάδες — και οι προηγούμενες μετριάσεις δεν αρκούν

Πρόκειται για την τέταρτη ευπάθεια πυρήνα Linux που απαιτεί άμεση αντιμετώπιση σε τρεις εβδομάδες, μετά το Copy Fail (29 Απριλίου), το Dirty Frag (7 Μαΐου) και το Fragnesia (13 Μαΐου).

Τα Copy Fail, Dirty Frag και Fragnesia μοιράζονταν ένα κοινό μοτίβο: εγγραφή bytes υπό τον έλεγχο του εισβολέα στην κρυφή μνήμη σελίδας του πυρήνα, τροποποίηση ενός προνομιούχου binary στη μνήμη και εκτέλεσή του για άμεσο root. Οι μετριάσεις για εκείνες τις τρεις ευπάθειες αφορούν blacklisting module (esp4, esp6, algif_aead, rxrpc, ipcomp4, ipcomp6) και εκκαθάριση κρυφής μνήμης σελίδας.

Το CVE-2026-46333 δεν ακολουθεί αυτό το μοτίβο: δεν γράφει τίποτα πουθενά, κάνει race condition κατά την έξοδο διεργασίας και διαβάζει file descriptors από μια διεργασία που τερματίζει. Η κρυφή μνήμη σελίδας δεν εμπλέκεται, ούτε τα ESP, XFRM, rxrpc ή algif_aead. Αυτό σημαίνει ότι οι υπάρχουσες μετριάσεις δεν προστατεύουν από το CVE-2026-46333.

Patch και διαθέσιμες εκδόσεις kernel

Ο Linus Torvalds ενσωμάτωσε το upstream fix (commit 31e62c2ebbfd) την ίδια μέρα που αποκαλύφθηκε η ευπάθεια. Σύμφωνα με το LWN, οι εκδόσεις stable kernel 7.0.8, 6.18.31, 6.12.89, 6.6.139, 6.1.173, 5.15.207 και 5.10.256 ανακοινώθηκαν με patches για το CVE-2026-46333. Το kernel.org ανέφερε επίσης τις εκδόσεις 7.0.8 και αρκετές longterm releases με ημερομηνία 15 Μαΐου 2026.

Για το AlmaLinux, τα patched kernels κυκλοφόρησαν στα production repositories/mirrors από τις 16 Μαΐου 2026 στις 15:05 UTC. Δεν χρειάζεται πλέον ενεργοποίηση του testing repo για να τα λάβετε. Το CloudLinux 8 LTS, CloudLinux 9 και CloudLinux 10 επηρεάζονται από το δημόσιο proof-of-concept.

Άμεσες ενέργειες για τους διαχειριστές

Η ευπάθεια χαρακτηρίζεται υψηλής προτεραιότητας για τέσσερις λόγους: μπορεί να ενεργοποιηθεί από μη προνομιούχο τοπικό χρήστη χωρίς root, δημόσιος κώδικας εκμετάλλευσης είναι ήδη διαθέσιμος, μειώνοντας το εμπόδιο για επίθεση, και οι πιθανοί στόχοι δεν είναι κοινά αρχεία, αλλά SSH host private keys και το /etc/shadow.

Ως άμεση μετρίαση, όταν δεν είναι δυνατή η εφαρμογή του patch, ο ορισμός ptrace_scope=2 ή ptrace_scope=3 μπορεί να χρησιμοποιηθεί ως προσωρινή μετρίαση, χωρίς να υποκαθιστά την εφαρμογή patch. Ακόμα, αν η μετρίαση μέσω ptrace_scope δεν είναι εφαρμόσιμη και δεν υπάρχει άλλη προστασία, η αφαίρεση του SUID bit από τα ssh-keysign και chage καλύπτει τα binaries που χρησιμοποιεί το δημοσιευμένο proof-of-concept, αν και δεν καλύπτει εξαντλητικά την κλάση της ευπάθειας.

Δεδομένου ότι η ευπάθεια υπήρχε ως λανθάνουσα εδώ και έξι χρόνια και το δημόσιο proof-of-concept εμφανίστηκε στις 14 Μαΐου 2026, είναι πιθανό να ήταν γνωστή ιδιωτικά σε κάποιους εισβολείς νωρίτερα. Για servers που εκτίθενται στο διαδίκτυο με shell πρόσβαση για μη έμπιστους χρήστες, η συντηρητική στάση είναι να θεωρούνται τα SSH host keys και το αρχείο shadow ως δυνητικά παραβιασμένα. Ως εκ τούτου, συνιστάται άμεση εναλλαγή των SSH host keys, επανεκκίνηση του sshd και αποδοχή ότι οι επιστρέφοντες SSH clients θα δουν προειδοποίηση αλλαγής host key μέχρι να ενημερωθεί το known_hosts τους.

ModuleJail: μια προληπτική απάντηση

Παράλληλα με τη διαχείριση της ευπάθειας, εμφανίστηκε μια αξιοσημείωτη πρόταση για μακροπρόθεσμη μείωση της επιφάνειας επίθεσης. Ο Jasper Nuyens, διαχειριστής Linux server από το Βέλγιο, αποφάσισε ότι το χειροκίνητο blacklisting δεκάδων modules σε μεγάλους στόλους server δεν ήταν βιώσιμο. Η απάντησή του είναι το ModuleJail — ένα shell script με άδεια GPLv3 που σαρώνει ένα live σύστημα και δημιουργεί αυτόματα ένα ενιαίο αρχείο κανόνων blacklist για το modprobe, χωρίς να απαιτεί επανεκκίνηση.

Το ModuleJail καταγράφει το σύνολο των φορτωμένων modules (/proc/modules) και υπολογίζει το σύνολο αυτών που δεν χρησιμοποιούνται από το πλήρες δέντρο modules. Κάθε module στο σύνολο αυτό — εκτός από μια βασική κατηγορία απαραίτητων modules — μπαίνει σε blacklist.

Ένα συνοδευτικό script, το cve-watch.sh, παρακολουθεί τη λίστα αλληλογραφίας linux-cve-announce και το NVD REST API για ευπάθειες σε οποιοδήποτε module δεν έχει ακόμη μπει σε blacklist. Δεδομένου ότι τα CVE identifiers γίνονται συνήθως δημόσια πριν φτάσουν τα patches των διανομών, αυτό επιτρέπει στους διαχειριστές να αποκλείσουν ένα ευπαθές module μέσα σε ώρες από την αποκάλυψη.

Το ModuleJail είναι συμβατό με τις κύριες διανομές, συμπεριλαμβανομένων των Debian, Ubuntu, RHEL, Fedora, AlmaLinux και Arch Linux, δημιουργώντας ένα αρχείο κανόνων blacklist για το modprobe διατηρώντας παράλληλα τα modules που χρησιμοποιούνται κανονικά.

Στο ευρύτερο πλαίσιο, ο Linus Torvalds δήλωσε ότι η λίστα αλληλογραφίας ασφαλείας του έργου έχει γίνει «σχεδόν εντελώς αδιαχείριστη» λόγω πολλών ερευνητών που χρησιμοποιούν AI για εύρεση σφαλμάτων και πλημμυρίζουν τη λίστα με διπλές αναφορές. Ο Nuyens υποστηρίζει ότι η αυξανόμενη ταχύτητα ανακάλυψης ευπαθειών με τη βοήθεια AI θα καταστήσει την σκλήρυνση του πυρήνα και τη μείωση της επιφάνειας επίθεσης πολύ μεγαλύτερη επιχειρησιακή προτεραιότητα για τους διαχειριστές τις επόμενες εβδομάδες και μήνες.

Πηγές

• The Register — Linux kernel flaw opens root-only files to unprivileged users
• NVD — CVE-2026-46333
• CloudLinux Blog — CVE-2026-46333 Mitigation and Kernel Update
• AlmaLinux — ssh-keysign-pwn (CVE-2026-46333) Patches Released
• CyberSecurityNews — Critical Linux Kernel Flaw 'ssh-keysign-pwn'
• GitHub — ModuleJail by Jasper Nuyens
• GitHub — ssh-keysign-pwn PoC

Το Tycoon2FA, ένα από τα πιο εκτεταμένα Phishing-as-a-Service (PhaaS) kits που έχουν καταγραφεί, εντοπίστηκε σε νέα εκστρατεία τέλη Απριλίου 2026 — μόλις έξι εβδομάδες μετά τη συντονισμένη επιχείρηση κατάρριψής του. Η Μονάδα Αντιμετώπισης Απειλών (TRU) της eSentire ανέλυσε εκστρατεία phishing που συνδυάζει δύο τάσεις: τη συνεχή λειτουργία του Tycoon 2FA παρά την κατάρριψη του Μαρτίου 2026 — που συντονίστηκε από τη Microsoft και την Europol — και τη στροφή προς κατάχρηση ροών OAuth Device Authorization Grant για παραβίαση λογαριασμών Microsoft 365.

Τι είναι το device-code phishing και γιατί είναι επικίνδυνο

Το device-code phishing είναι ένας τύπος επίθεσης στον οποίο οι κακόβουλοι φορείς αποστέλλουν αίτημα εξουσιοδότησης συσκευής στον πάροχο της υπηρεσίας-στόχου και προωθούν τον παραγόμενο κωδικό στο θύμα, εξαπατώντας το να τον εισάγει στη νόμιμη σελίδα σύνδεσης της υπηρεσίας. Το αποτέλεσμα είναι κρίσιμο: συνδυάζοντας τη γνωστή υποδομή phishing με την κατάχρηση OAuth Device Code, οι επιτιθέμενοι μπορούν πλέον να αποκτήσουν πρόσβαση σε λογαριασμούς Microsoft 365 χωρίς να καταγράψουν ούτε έναν κωδικό πρόσβασης.

Ο OAuth client που υποδύεται ο επιτιθέμενος είναι το Microsoft Authentication Broker (AppId: 29d9ed98-a469-4536-ade2-f981bc1d605e), μια πρωτογενής εφαρμογή Microsoft που μεσολαβεί για tokens σε Exchange Online, Microsoft Graph και OneDrive for Business. Μία επιτυχής συναίνεση αποδίδει ενεργά tokens για ολόκληρη την επιφάνεια του Microsoft 365, ενώ εμφανίζεται στην τηλεμετρία Entra ως κανονική εφαρμογή Microsoft.

Η αλυσίδα επίθεσης βήμα προς βήμα

Η επίθεση ξεκινά όταν το θύμα κάνει κλικ σε ένα URL παρακολούθησης κλικ της Trustifi μέσα σε ένα δόλωμα ηλεκτρονικού ταχυδρομείου και καταλήγει στο θύμα να παραχωρεί άθελά του OAuth tokens σε μια συσκευή ελεγχόμενη από τον επιτιθέμενο, μέσω της νόμιμης ροής σύνδεσης συσκευής της Microsoft στο microsoft.com/devicelogin. Η Trustifi είναι νόμιμη πλατφόρμα ασφάλειας email — η χρήση της νόμιμης υπηρεσίας παρακολούθησης κλικ της αυξάνει την αξιοπιστία του κακόβουλου συνδέσμου.

Στην επίθεση αυτή, τα θύματα βλέπουν ένα δόλωμα ειδοποίησης τηλεφωνητή Microsoft 365. Τους ζητείται να αντιγράψουν έναν κωδικό χρήστη και να επισκεφθούν την πραγματική σελίδα σύνδεσης συσκευής της Microsoft στο microsoft.com/devicelogin. Ενδιάμεσα, παρουσιάζεται στο θύμα μια ψεύτικη σελίδα CAPTCHA με τη μορφή Microsoft, διαμορφωμένη με τα τέσσερα χρώματα του λογότυπου, που εμφανίζεται ως widget "HumanCheck" το οποίο απαιτεί ένα μόνο κλικ για να περάσει.

Η δραστηριότητα polling του χειριστή προήλθε από το AS45102 (Alibaba Cloud) με strings user-agent "node" και "undici" — υπογραφές βιβλιοθήκης HTTP Node.js, διαφορετικές από το fingerprint axios/1.x που είχε τεκμηριωθεί σε προηγούμενες αναφορές Tycoon 2FA. Το AS45102 έχει παρατηρηθεί σε αμφότερες τις παραλλαγές του kit από τις 10 Απριλίου 2026 περίπου.

Ιστορικό: Κατάρριψη και ταχεία επιστροφή

Η Microsoft, επικεφαλής της επιχείρησης μαζί με την Europol και αρχές έξι χωρών και 11 εταιρείες ασφαλείας, κατάσχεσε 330 τομείς που τροφοδοτούσαν την κεντρική υποδομή του Tycoon 2FA. Η πλατφόρμα, που εμφανίστηκε τον Αύγουστο 2023, ήταν υπεύθυνη για δεκάδες εκατομμύρια μηνύματα phishing που έφταναν σε πάνω από 500.000 οργανισμούς παγκοσμίως κάθε μήνα.

Η κλίμακα της ζημιάς πριν την κατάρριψη ήταν τεράστια. Η πλατφόρμα αντιστοιχούσε στο 62% των απόπειρων phishing που απέκλεισε η Microsoft μέχρι τα μέσα του 2025, συνδεόμενη με 96.000 θύματα — εκ των οποίων 55.000 ήταν πελάτες Microsoft — με ιδιαίτερα σκληρές επιπτώσεις στους κλάδους υγείας και εκπαίδευσης. Η μηνιαία αποστολή κακόβουλων μηνυμάτων που αποδίδεται στο Tycoon 2FA έφτασε στο αποκορύφωμά της με πάνω από 30 εκατομμύρια μηνύματα τον Νοέμβριο 2025.

Παρά τη διεθνή επιχείρηση επιβολής του νόμου που διέκοψε την πλατφόρμα phishing τον Μάρτιο, η κακόβουλη επιχείρηση αναδομήθηκε σε νέα υποδομή και επέστρεψε γρήγορα σε κανονικά επίπεδα δραστηριότητας. Στις αρχές Μαΐου, η Abnormal Security επιβεβαίωσε ότι το Tycoon2FA είχε ανακάμψει και μάλιστα πρόσθεσε νέα επίπεδα συσκότισης για να ενισχύσει την ανθεκτικότητά του.

Πώς παρακάμπτεται το MFA

Η παλαιότερη τεχνική του Tycoon2FA βασιζόταν σε αρχιτεκτονική adversary-in-the-middle (AiTM). Σε αντίθεση με τα παραδοσιακά kits phishing που απλώς υποκλέπτουν στατικούς κωδικούς, το Tycoon 2FA μετέδιδε σε πραγματικό χρόνο τα αιτήματα ελέγχου ταυτότητας για να καταγράψει ζωντανά session tokens και cookies — παρεμβαίνοντας ώστε να κληρονομεί μια πλήρως πιστοποιημένη συνεδρία, καθιστώντας άχρηστα τα SMS, τις εφαρμογές authenticator και τις ειδοποιήσεις push.

Η νέα παραλλαγή device-code είναι ακόμα πιο επικίνδυνη: δεν εξαρτάται πλέον από την υποκλοπή σύνδεσης σε πραγματικό χρόνο, αλλά εκμεταλλεύεται τη νόμιμη ροή εξουσιοδότησης της Microsoft. Η συνδρομή στην υπηρεσία ξεκινούσε από μόλις 120 δολάρια, καθιστώντας την προσβάσιμη σε χειριστές κάθε επιπέδου τεχνογνωσίας.

Ευρύτερη τάση: device-code phishing εκτοξεύεται

Το Tycoon2FA δεν είναι μόνο του. Ενώ το device-code phishing δεν είναι νέα τεχνική, η Proofpoint παρατήρησε απότομη αύξηση της χρήσης του τον Σεπτέμβριο 2025, με εκστρατείες ασυνήθιστα μεγάλης κλίμακας που αξιοποιούσαν QR codes, ενσωματωμένα κουμπιά ή συνδέσμους hyperlink. Κρατικά συνδεδεμένοι φορείς, ιδίως ρωσικής προέλευσης, υιοθέτησαν επίσης την τεχνική ως μέρος μιας ευρύτερης στροφής προς phishing χωρίς κωδικό πρόσβασης.

Σύμφωνα με τη Microsoft, μεταξύ 23 και 25 Φεβρουαρίου 2026, μία μεγάλη, εκτεταμένη εκστρατεία απέστειλε πάνω από 1,2 εκατομμύρια μηνύματα σε χρήστες από πάνω από 53.000 οργανισμούς σε 23 χώρες.

Τι πρέπει να κάνουν οι οργανισμοί

Η eSentire δημοσίευσε σύνολο δεικτών παραβίασης (IoCs) για τις τελευταίες επιθέσεις Tycoon2FA για να βοηθήσει τους υπεύθυνους άμυνας να προστατεύσουν τα περιβάλλοντά τους. Οι βασικές αμυντικές συστάσεις περιλαμβάνουν:

• Απενεργοποίηση ή αυστηρός περιορισμός της ροής OAuth Device Authorization Grant στο Entra ID για χρήστες που δεν τη χρειάζονται.
• Παρακολούθηση για user-agent strings axios/* (παραλλαγή credential-relay) και undici|node (παραλλαγή device-code) στα logs της υποδομής.
• Εκπαίδευση των χρηστών να μην εισάγουν ποτέ device codes που λαμβάνουν από μη αξιόπιστες πηγές.
• Χρήση Conditional Access policies που απαιτούν συμμόρφωση συσκευής, ώστε OAuth tokens από μη εγγεγραμμένες συσκευές να μην έχουν αξία.

Πηγές

• BleepingComputer — Tycoon2FA hijacks Microsoft 365 accounts via device-code phishing
• eSentire TRU — Tycoon 2FA Operators Adopt OAuth Device Code Phishing
• Microsoft Security Blog — Inside Tycoon2FA: How a leading AiTM phishing kit operated at scale
• Cloudflare Threat Intelligence — Tycoon 2FA Takedown Report
• Infosecurity Magazine — OAuth Device Code Phishing Campaigns Surge

Ο ερευνητής ασφαλείας γνωστός ως Chaotic Eclipse (ή Nightmare Eclipse) δημοσίευσε νέο κώδικα εκμετάλλευσης — PoC (Proof of Concept, δηλαδή απόδειξη εκτελεσιμότητας) — για μια ευπάθεια τοπικής κλιμάκωσης δικαιωμάτων στα Windows που ονομάζει MiniPlasma. Η ευπάθεια επιτρέπει σε έναν χρήστη τυπικού λογαριασμού να αποκτήσει πλήρη δικαιώματα NT AUTHORITY\SYSTEM — το υψηλότερο επίπεδο πρόσβασης στο λειτουργικό.

Επαληθευμένο σε πλήρως ενημερωμένα Windows 11

Το BleepingComputer δοκίμασε το exploit σε πλήρως ενημερωμένο σύστημα Windows 11 Pro με τις τελευταίες ενημερώσεις Patch Tuesday Μαΐου 2026 και, χρησιμοποιώντας τυπικό λογαριασμό χρήστη, επιβεβαίωσε ότι το exploit άνοιξε command prompt με δικαιώματα SYSTEM. Ο Will Dormann, κύριος αναλυτής ευπαθειών στην εταιρεία Tharros, επίσης επιβεβαίωσε ότι το exploit λειτουργεί στην τελευταία δημόσια έκδοση των Windows 11.

Ιδιαίτερη σημασία έχει το ιστορικό της συγκεκριμένης ευπάθειας: ενώ η Microsoft αναφέρει ότι είχε διορθώσει το σφάλμα στο πλαίσιο του Patch Tuesday Δεκεμβρίου 2020, ο Chaotic Eclipse υποστηρίζει τώρα ότι η ευπάθεια εξακολουθεί να μπορεί να αξιοποιηθεί. Σύμφωνα με τον ερευνητή, το ακριβώς ίδιο ζήτημα που είχε αναφερθεί στη Microsoft από την Google Project Zero εξακολουθεί να υπάρχει χωρίς επιδιόρθωση, και ο αρχικός κώδικας PoC της Google δούλεψε χωρίς καμία αλλαγή.

Το BleepingComputer επικοινώνησε με τη Microsoft σχετικά με αυτό το νέο zero-day και θα ενημερώσει όταν λάβει απάντηση.

Μέρος μιας σειράς δημοσιοποιήσεων σε ένδειξη διαμαρτυρίας

Το MiniPlasma είναι το τελευταίο σε μια σειρά δημοσιοποιήσεων zero-day από τον ερευνητή τις τελευταίες εβδομάδες. Η σειρά ξεκίνησε τον Απρίλιο με το BlueHammer, ένα σφάλμα τοπικής κλιμάκωσης δικαιωμάτων με αναγνωριστικό CVE-2026-33825, ακολούθησε ένα ακόμα σφάλμα κλιμάκωσης δικαιωμάτων με την ονομασία RedSun, και ένα εργαλείο άρνησης υπηρεσίας (DoS) για τον Windows Defender, το UnDefend.

Και τα τρία αυτά exploit εντοπίστηκαν να χρησιμοποιούνται ενεργά σε επιθέσεις μετά τη δημοσιοποίησή τους. Σύμφωνα με τον ερευνητή, η Microsoft διόρθωσε αθόρυβα το ζήτημα RedSun χωρίς να του αποδώσει αναγνωριστικό CVE. Τον ίδιο μήνα, ο ερευνητής κυκλοφόρησε επίσης δύο επιπλέον exploit με ονομασίες YellowKey και GreenPlasma.

Παράγοντες απειλών αξιοποιούν ήδη τρεις πρόσφατα αποκαλυφθείσες ευπάθειες των Windows σε επιθέσεις με στόχο την απόκτηση δικαιωμάτων SYSTEM ή διαχειριστή. Από την αρχή του μήνα, ο ερευνητής γνωστός ως «Chaotic Eclipse» δημοσίευσε κώδικα εκμετάλλευσης και για τα τρία ζητήματα, σε ένδειξη διαμαρτυρίας για τον τρόπο με τον οποίο το Κέντρο Αντιμετώπισης Ασφάλειας της Microsoft (MSRC) χειρίστηκε τη διαδικασία αποκάλυψής τους.

Τι είναι το YellowKey και το GreenPlasma (το άμεσο προηγούμενο)

Για να κατανοηθεί το πλαίσιο, αξίζει να αναφερθεί εν συντομία και το τελευταίο ζεύγος exploit που προηγήθηκε του MiniPlasma: ο Chaotic Eclipse είχε δημοσιεύσει PoC για δύο ευπάθειες, το YellowKey (παράκαμψη BitLocker) και το GreenPlasma (κλιμάκωση δικαιωμάτων). Το YellowKey περιγράφεται από τον ερευνητή ως λειτουργία παρόμοια με backdoor, καθώς το ευάλωτο στοιχείο υπάρχει μόνο στο Windows Recovery Environment (WinRE). Το GreenPlasma αποτελεί ευπάθεια κλιμάκωσης δικαιωμάτων που μπορεί να αξιοποιηθεί για λήψη shell με δικαιώματα SYSTEM, και περιγράφεται ως «ευπάθεια αυθαίρετης δημιουργίας τμήματος μνήμης μέσω CTFMON».

Τι μπορούν να κάνουν οι χρήστες τώρα

Προς το παρόν δεν υπάρχει διαθέσιμη επιδιόρθωση για το MiniPlasma. Οι διαχειριστές συστημάτων καλούνται να ελέγξουν την πολιτική BitLocker, να δώσουν προτεραιότητα στη φυσική ασφάλεια, να περιορίσουν την πρόσβαση στο περιβάλλον αποκατάστασης, να παρακολουθούν ύποπτη χρήση του WinRE και να εξετάσουν ισχυρότερη προστασία προεκκίνησης σε φορητούς υπολογιστές και συστήματα που φιλοξενούν ευαίσθητα δεδομένα. Για το MiniPlasma ειδικά, δεδομένου ότι πρόκειται για τοπική κλιμάκωση δικαιωμάτων, η έκθεση μειώνεται σημαντικά με τον περιορισμό της φυσικής και απομακρυσμένης πρόσβασης σε τερματικά από μη αξιόπιστους χρήστες.

Ο ερευνητής έχει προειδοποιήσει ότι αυτό δεν είναι το τέλος, γράφοντας χαρακτηριστικά: «Το επόμενο Patch Tuesday θα έχει μια μεγάλη έκπληξη για εσάς, Microsoft. Και θυμηθείτε, ποτέ δεν απέτυχα να τηρήσω μια υπόσχεση».

Πηγές

• BleepingComputer — New Windows 'MiniPlasma' zero-day exploit gives SYSTEM access, PoC released
11709Mon, 18 May 2026 04:02:30 +0000https://www.thelab.gr/news/%CE%B1%CF%83%CF%86%CE%AC%CE%BB%CE%B5%CE%B9%CE%B1/%CE%B7-microsoft-%CE%B1%CF%80%CE%AD%CF%81%CF%81%CE%B9%CF%88%CE%B5-%CE%BA%CF%81%CE%AF%CF%83%CE%B9%CE%BC%CE%B7-%CE%B5%CF%85%CF%80%CE%AC%CE%B8%CE%B5%CE%B9%CE%B1-azure-%CF%87%CF%89%CF%81%CE%AF%CF%82-cve-r11703/
• Ερευνητής ασφαλείας ανακάλυψε κρίσιμο σφάλμα κλιμάκωσης δικαιωμάτων στο Azure Backup for AKS, το οποίο επέτρεπε πρόσβαση cluster-admin από χαμηλόβαθμο ρόλο.
• Το Κέντρο Αντιμετώπισης Ασφαλείας της Microsoft (MSRC) απέρριψε την αναφορά, ενώ και το CERT/CC έκλεισε την υπόθεση λόγω ιεραρχίας CNA — αφήνοντας τη Microsoft με τελευταίο λόγο για έκδοση CVE.
• Μετά τη δημόσια αποκάλυψη, το αρχικό μονοπάτι επίθεσης σταμάτησε να λειτουργεί, γεγονός που ο ερευνητής θεωρεί ως ένδειξη αθόρυβης διόρθωσης — την οποία η Microsoft αρνείται.

Ο ερευνητής ασφαλείας Justin O'Leary ισχυρίζεται ότι η Microsoft διόρθωσε αθόρυβα μια ευπάθεια στο Azure Backup for AKS (Azure Kubernetes Service), αφού πρώτα απέρριψε την αναφορά του και απέτρεψε την έκδοση CVE. Η αναφορά περιγράφει ένα κρίσιμο σφάλμα κλιμάκωσης δικαιωμάτων που επέτρεπε πρόσβαση cluster-admin ξεκινώντας από τον χαμηλόβαθμο ρόλο "Backup Contributor".

Η ανακάλυψη και η απόρριψη

Ο O'Leary ανακάλυψε το σφάλμα τον Μάρτιο του 2025 και το ανέφερε στη Microsoft στις 17 Μαρτίου. Το Κέντρο Αντιμετώπισης Ασφαλείας της Microsoft (Microsoft Security Response Center, MSRC) απέρριψε την αναφορά στις 13 Απριλίου, ισχυριζόμενο ότι το ζήτημα αφορούσε μόνο την απόκτηση πρόσβασης cluster-admin σε cluster όπου "ο επιτιθέμενος ήδη κατείχε πρόσβαση διαχειριστή" — χαρακτηρισμό τον οποίο ο O'Leary αναφέρει ότι παραποιεί πλήρως τον τρόπο λειτουργίας της επίθεσης.

Το Azure Backup for AKS χρησιμοποιεί Trusted Access για να παραχωρεί σε επεκτάσεις backup δικαιώματα cluster-admin εντός των Kubernetes clusters. Ο O'Leary κατέταξε το ζήτημα ως ευπάθεια τύπου Confused Deputy (CWE-441), όπου τα όρια εμπιστοσύνης του Azure RBAC και του Kubernetes RBAC αλληλεπιδρούσαν με τρόπο που παρακάμπτει τους αναμενόμενους ελέγχους εξουσιοδότησης.

Επικύρωση από CERT/CC και παρέμβαση στη MITRE

Μετά την απόρριψη, ο O'Leary κλιμάκωσε το ζήτημα στο CERT Coordination Center (CERT/CC), το οποίο επαλήθευσε ανεξάρτητα την ευπάθεια στις 16 Απριλίου και, σύμφωνα με τον ερευνητή, της απέδωσε το αναγνωριστικό VU#284781. Το CERT/CC είχε αρχικά ορίσει δημόσια αποκάλυψη για την 1η Ιουνίου 2026, αλλά αυτή δεν πραγματοποιήθηκε ποτέ.

Στις 4 Μαΐου, στελέχη της Microsoft φέρεται να επικοινώνησαν με τη MITRE συνιστώντας να μην εκδοθεί CVE, επικαλούμενοι εκ νέου το επιχείρημα ότι το ζήτημα προϋπέθετε διαχειριστική πρόσβαση. Το CERT/CC έκλεισε στη συνέχεια την υπόθεση βάσει κανόνων ιεραρχίας CNA (CVE Numbering Authority), αφήνοντας ουσιαστικά τη Microsoft — η οποία είναι CNA — με τελικό έλεγχο της έκδοσης CVE για τα δικά της προϊόντα.

Αθόρυβη διόρθωση; Η Microsoft αρνείται

Η Microsoft αμφισβητεί τον ισχυρισμό, δηλώνοντας στο BleepingComputer ότι η συμπεριφορά ήταν αναμενόμενη και ότι "δεν έγιναν αλλαγές στο προϊόν", παρά το γεγονός ότι ο ερευνητής τεκμηρίωσε νέους ελέγχους δικαιωμάτων και αποτυχημένες απόπειρες εκμετάλλευσης μετά την αποκάλυψη — ενδείξεις αθόρυβης διόρθωσης.

Η Microsoft δήλωσε χαρακτηριστικά: «Η αξιολόγησή μας κατέληξε στο συμπέρασμα ότι πρόκειται για αναμενόμενη συμπεριφορά που απαιτεί προϋπάρχοντα διαχειριστικά δικαιώματα εντός του περιβάλλοντος του πελάτη. Ως εκ τούτου, δεν έγιναν αλλαγές στο προϊόν και δεν εκδόθηκαν CVE ή βαθμολογία CVSS.»

Ωστόσο, μετά τη δημόσια αποκάλυψη της αναφοράς τον Μάιο, ο O'Leary παρατήρησε ότι το αρχικό μονοπάτι επίθεσης δεν λειτουργεί πλέον. «Η τρέχουσα συμπεριφορά επιστρέφει σφάλματα που δεν υπήρχαν τον Μάρτιο του 2025», αναφέρει, με χαρακτηριστικό μήνυμα: ERROR: UserErrorTrustedAccessGatewayReturnedForbidden.

Η υπόθεση αναδεικνύει ένα δομικό πρόβλημα: όταν ο ίδιος ο κατασκευαστής λογισμικού είναι CNA, έχει de facto βέτο στην έκδοση CVE για ευπάθειες των δικών του προϊόντων — ακόμα και όταν ανεξάρτητοι οργανισμοί, όπως το CERT/CC, έχουν επιβεβαιώσει το πρόβλημα.

Πηγές

• BleepingComputer — Microsoft rejects critical Azure vulnerability report, no CVE issued
]]>11703Sun, 17 May 2026 04:03:00 +0000https://www.thelab.gr/news/%CE%B1%CF%83%CF%86%CE%AC%CE%BB%CE%B5%CE%B9%CE%B1/%CE%BF%CE%B9-%CF%85%CF%80%CE%BF%CE%B4%CE%BF%CE%BC%CE%AD%CF%82-cloud-%CE%BA%CF%85%CF%81%CE%B9%CE%B1%CF%81%CF%87%CE%BF%CF%8D%CE%BD-%CF%83%CF%84%CE%B7%CE%BD-%CE%B5%CF%85%CF%81%CF%8E%CF%80%CE%B7-%CE%B1%CE%BB%CE%BB%CE%AC-%CE%BF%CE%B9-%CE%B5%CF%80%CE%B5%CE%BE%CE%B5%CF%81%CE%B3%CE%B1%CF%83%CF%84%CE%AD%CF%82-%CF%80%CE%B1%CF%81%CE%B1%CE%BC%CE%AD%CE%BD%CE%BF%CF%85%CE%BD-%CE%B1%CE%BC%CE%B5%CF%81%CE%B9%CE%BA%CE%B1%CE%BD%CE%B9%CE%BA%CE%BF%CE%AF-r11699/
• Η Ευρώπη επενδύει πάνω από €2 δισ. σε κυρίαρχες υποδομές νέφους, αλλά οι περισσότεροι πάροχοι τρέχουν σε επεξεργαστές Intel ή AMD με ενσωματωμένες μηχανές διαχείρισης που λειτουργούν πέρα από κάθε εθνικό πλαίσιο πιστοποίησης.
• Το Intel CSME και το AMD PSP λειτουργούν στο επίπεδο Ring -3 — κάτω από το λειτουργικό σύστημα, με δική τους μνήμη, δικό τους ρολόι και δικό τους δίκτυο — αόρατα ακόμα και όταν ο διακομιστής φαίνεται σβηστός.
• Ο νόμος RISAA του 2024 στις ΗΠΑ κατατάσσει τους κατασκευαστές υλικού ως «παρόχους υπηρεσιών ηλεκτρονικής επικοινωνίας», εκθέτοντάς τους σε μυστικές κυβερνητικές εντολές που η Ευρώπη δεν μπορεί να αποτρέψει.

Η Ευρώπη έχει ξοδέψει χρόνια και δισεκατομμύρια ευρώ στην κατασκευή κυρίαρχων υποδομών νέφους — αδεσμεύτων, τεχνικά, από τη νομική εμβέλεια των ΗΠΑ. Τo πρόβλημα είναι ότι κανείς δεν έκανε την ίδια ερώτηση για τους επεξεργαστές.

€2 δισ. για νέφη, μηδέν για το πυρίτιο

Η Ευρώπη διοχετεύει πάνω από €2 δισ. σε πρωτοβουλίες κυρίαρχου νέφους με στόχο τη μείωση της έκθεσης στη νομική εμβέλεια των ΗΠΑ, μέσω του προγράμματος IPCEI-CIS (Important Projects of Common European Interest – Cloud Infrastructure and Services) που χρηματοδοτεί την ανάπτυξη υποδομών. Η Γαλλία αξιολογεί παρόχους βάσει του πλαισίου SecNumCloud, το οποίο περιλαμβάνει σχεδόν 1.200 τεχνικές απαιτήσεις και υπόσχεται «ανοσία από εξωεδαφικούς νόμους».

Ωστόσο, η συντριπτική πλειονότητα των κέντρων δεδομένων και πιστοποιημένων παρόχων νέφους εξακολουθεί να βασίζεται σε επεξεργαστές Intel ή AMD. Και μέσα σε αυτούς τους επεξεργαστές βρίσκεται ένας υπολογιστής κάτω από τον υπολογιστή: μηχανές διαχείρισης που λειτουργούν στο επίπεδο Ring -3, κάτω από το λειτουργικό σύστημα, εκτός ελέγχου του λογισμικού ασφαλείας του κόμβου, και ενεργές ακόμα και όταν το μηχάνημα φαίνεται απενεργοποιημένο.

Με βάση τον αμερικανικό νόμο RISAA (Reforming Intelligence and Securing America Act) του 2024, οι κατασκευαστές υλικού κατατάσσονται ως «πάροχοι υπηρεσιών ηλεκτρονικής επικοινωνίας» και υπόκεινται σε μυστικές κυβερνητικές εντολές. Τα ευρωπαϊκά πλαίσια πιστοποιούν τα νέφη. Το πυρίτιο μένει αξιολόγητο.

Ο υπολογιστής που το λειτουργικό σας σύστημα δεν μπορεί να δει

Αυτός ο υπολογιστής κάτω από τον υπολογιστή έχει όνομα: στους επεξεργαστές Intel είναι το Management Engine (ME), ή πιο συγκεκριμένα το Converged Security and Management Engine (CSME). Στην AMD, είναι το Platform Security Processor (PSP). Και τα δύο λειτουργούν σε αυτό που οι ερευνητές ασφαλείας αποκαλούν Ring -3 — κάτω από το λειτουργικό σύστημα, κάτω από τον hypervisor, σε ένα επίπεδο προνομίων που ο κόμβος δεν μπορεί να δει ή να καταγράψει.

«Είναι ένας υπολογιστής μέσα στον υπολογιστή σου», εξηγεί ο John Goodacre, Καθηγητής Αρχιτεκτονικής Υπολογιστών και πρώην διευθυντής του βρετανικού προγράμματος Digital Security by Design αξίας £200 εκατ. Είναι σαφής για το τι σημαίνει αυτό στην πράξη: το ME έχει τη δική του μνήμη, το δικό του ρολόι και τη δική του στοίβα δικτύου, και επειδή μπορεί να μοιράζεται τις διευθύνσεις MAC και IP του κόμβου, οποιαδήποτε κίνηση παράγει είναι αδύνατο να ξεχωριστεί από την κίνηση του κόμβου από το τείχος προστασίας.

Ενσωματωμένο στο Platform Controller Hub, το CSME είναι ένας ξεχωριστός μικροελεγκτής που λειτουργεί ανεξάρτητα από τον κόμβο, με άμεση πρόσβαση σε μνήμη, συσκευές και δίκτυο, την οποία το λειτουργικό σύστημα του κόμβου δεν μπορεί να παρακολουθήσει. Η AMD, από την πλευρά της, έχει αρνηθεί αιτήματα για ανοιχτό κώδικα (open source) του firmware που εκτελεί το PSP.

Απόδειξη αξιοποίησης: το PLATINUM incident

Η τεχνολογία Active Management Technology (AMT) της Intel, η δυνατότητα απομακρυσμένης διαχείρισης που ενεργοποιεί το ME, εκθέτει τουλάχιστον τις θύρες TCP 16992, 16993, 16994 και 16995 σε συσκευές που έχουν ρυθμιστεί. Αυτές οι θύρες παρέχουν ανακατεύθυνση πληκτρολογίου-βίντεο-ποντικιού, ανακατεύθυνση αποθήκευσης, Serial-over-LAN και έλεγχο ενέργειας σε διαχειριστές που διαχειρίζονται εξ αποστάσεως στόλους συσκευών.

Η Microsoft τεκμηρίωσε το 2017 ότι ο κρατικός παράγοντας απειλής PLATINUM χρησιμοποίησε το Serial-over-LAN (SOL) της Intel ως κρυφό κανάλι εξαγωγής δεδομένων. Αυτό δεν είναι θεωρητικό σενάριο — είναι τεκμηριωμένη επιχειρησιακή χρήση εναντίον πραγματικών στόχων.

Το κενό των ευρωπαϊκών πλαισίων

Τα υπάρχοντα ευρωπαϊκά πλαίσια πιστοποιούν επιχειρησιακούς ελέγχους, νομική δομή και δυνατότητα αυτόνομης εκτέλεσης. Δεν πιστοποιούν ανοσία σε επίπεδο πυριτίου, διότι το υλικό είναι αμερικανικό ή κινεζικό, υπόκειται σε αμερικανικό ή κινεζικό δίκαιο, έχει σχεδιαστεί με μηχανές διαχείρισης που οι ευρωπαϊκές αρχές δεν καθόρισαν, δεν μπορούν νομικά να επιβάλουν με δικούς τους όρους και δεν μπορούν να αντικαταστήσουν.

Για Ευρωπαίους διευθυντές πληροφορικής που επιλέγουν πάροχους με πιστοποίηση SecNumCloud, η ερώτηση που πρέπει να θέσουν στους προμηθευτές είναι: πώς αντιμετωπίζετε το Intel Management Engine και τον AMD Platform Security Processor στο μοντέλο απειλών σας; Η απάντηση θα αποσαφηνίσει αν ο προμηθευτής θεωρεί το επίπεδο υλικού εκτός πεδίου εφαρμογής, ή αν έχει υλοποιήσει ελέγχους που μειώνουν — χωρίς να εξαλείφουν — την έκθεση.

Το ερώτημα για τους Ευρωπαίους υπεύθυνους χάραξης πολιτικής είναι ευρύτερο: μπορεί να υπάρξει ψηφιακή κυριαρχία πάνω σε μη κυρίαρχο πυρίτιο; Τα υπάρχοντα πλαίσια δεν απαντούν σε αυτό το ερώτημα. Αυτό δεν είναι τεχνικό κενό που καλύπτεται με ενημέρωση firmware — είναι δομικό έλλειμμα στρατηγικής που απαιτεί πολιτική απόφαση.

Πηγές

• The Register: Europe built sovereign clouds to escape US control. Then forgot about the processors (16 Μαΐου 2026)
• Wikipedia: AMD Platform Security Processor
]]>11699Sat, 16 May 2026 12:02:00 +0000https://www.thelab.gr/news/%CE%B1%CF%83%CF%86%CE%AC%CE%BB%CE%B5%CE%B9%CE%B1/microsoft-edge-%CF%84%CE%AD%CE%BB%CE%BF%CF%82-%CF%83%CF%84%CE%BF%CF%85%CF%82-%CE%BA%CF%89%CE%B4%CE%B9%CE%BA%CE%BF%CF%8D%CF%82-%CF%83%CE%B5-%CE%BC%CE%BF%CF%81%CF%86%CE%AE-cleartext-%CF%83%CF%84%CE%B7-%CE%BC%CE%BD%CE%AE%CE%BC%CE%B7-r11694/
• Το Microsoft Edge αποκρυπτογραφούσε κατά την εκκίνηση όλους τους αποθηκευμένους κωδικούς και τους παρέμενε σε μορφή cleartext στη μνήμη για ολόκληρη τη διάρκεια της συνεδρίας — ακόμα και για ιστότοπους που ο χρήστης δεν επισκεπτόταν ποτέ.
• Ο ερευνητής ασφαλείας Tom Jøran Sønstebyseter Rønning αποκάλυψε το εύρημα στις 29 Απριλίου 2026, δοκιμάζοντας όλα τα μεγάλα Chromium-based προγράμματα περιήγησης — μόνο το Edge συμπεριφερόταν έτσι.
• Η Microsoft είχε αρχικά απαντήσει ότι η συμπεριφορά είναι «by design», αλλά ανακοίνωσε ότι θα τροποποιήσει τον τρόπο φόρτωσης κωδικών στη μνήμη κατά την εκκίνηση.

Τι ακριβώς συνέβαινε

Ο ερευνητής ασφαλείας αποκάλυψε στις 29 Απριλίου 2026 ότι το Microsoft Edge αποκρυπτογραφεί κάθε αποθηκευμένο κωδικό στη μνήμη της διεργασίας τη στιγμή που εκκινεί ο browser — και τους διατηρεί εκεί ως cleartext για ολόκληρη τη συνεδρία, ανεξάρτητα από το αν ο χρήστης επισκεφτεί ποτέ τους ιστότοπους στους οποίους ανήκουν τα διαπιστευτήρια.

Ο ερευνητής δοκίμασε αυτή τη συμπεριφορά σε πολλά Chromium-based προγράμματα περιήγησης, συμπεριλαμβανομένων των Google Chrome, Brave, Vivaldi, Opera και Microsoft Edge. Μόνο το Edge εμφάνισε αυτή τη συμπεριφορά. Παρουσίασε τα ευρήματά του στο συνέδριο BigBiteOfTech στις 29 Απριλίου, μαζί με την Palo Alto Networks Norway, και στη συνέχεια ανάρτησε βίντεο απόδειξης της επίθεσης στις 4 Μαΐου που συγκέντρωσε 5.900 απαντήσεις μέσα σε λίγες ώρες.

Από τη στιγμή που ανοίγει ο browser, κάθε αποθηκευμένο διαπιστευτήριο για κάθε ιστότοπο στο θησαυροφυλάκιο του χρήστη βρίσκεται σε μορφή cleartext στη μνήμη της διεργασίας. Αυτό δημιουργεί έναν συνεχή, μεγάλης επιφάνειας στόχο εξαγωγής για οποιονδήποτε εισβολέα που μπορεί να διαβάσει τη μνήμη αυτής της διεργασίας.

Η παράδοξη ψευδαίσθηση ασφάλειας

Ιδιαίτερα αντιφατικό είναι το εξής: το Edge ζητά από τον χρήστη επαναπιστοποίηση πριν εμφανίσει κωδικούς στη διεπαφή του Password Manager, ενώ η διεργασία του browser ήδη διατηρεί όλα τα διαπιστευτήρια σε cleartext, πλήρως προσβάσιμα σε οποιονδήποτε μπορεί να ερωτήσει τη μνήμη της διεργασίας. Η πύλη επαναπιστοποίησης παρέχει επομένως μόνο την ψευδαίσθηση ελέγχου πρόσβασης.

Σε αναπαραγωγή του ευρήματος από το Heise Online, ένα dump μνήμης του browser κατέλαβε περίπου 670 MB στον δίσκο. Μέσα σε αυτό, μια απλή αναζήτηση με hex editor βρήκε τον κωδικό ολόκληρο σε cleartext — χωρίς καν να έχει χρησιμοποιηθεί ο κωδικός κατά τη διάρκεια της συνεδρίας.

Σύγκριση με Chrome και άλλους browsers

Το Chrome, για παράδειγμα, αποκρυπτογραφεί έναν κωδικό μόνο όταν χρειαστεί και χρησιμοποιεί επιπλέον την τεχνολογία Application-Bound Encryption (ABE) ως πρόσθετη άμυνα κατά της κλοπής πληροφοριών, η οποία δεσμεύει τα κλειδιά σε μια πιστοποιημένη διεργασία του Chrome που εκτελείται ως SYSTEM.

Τα infostealers που στοχεύουν αποθηκευμένους κωδικούς browser χρησιμοποιούν ήδη το DPAPI (Data Protection API) για να τους αντλήσουν κατευθείαν από τον δίσκο. Το Edge προχωρά ένα βήμα παραπέρα: αντί να αφήνει απλώς το κλειδί διαθέσιμο, χρησιμοποιεί αυτό το κλειδί κατά την εκκίνηση για να αποκρυπτογραφήσει κάθε αποθηκευμένο διαπιστευτήριο και στη συνέχεια τοποθετεί όλους τους κωδικούς στη μνήμη της διεργασίας για το υπόλοιπο της συνεδρίας.

Οι ερευνητές ασφαλείας κατατάσσουν αυτού του είδους την ευπάθεια στην κατηγορία CWE-316, «Cleartext Storage of Sensitive Information in Memory» — μια καλά τεκμηριωμένη κατηγορία ευπαθειών που τα περισσότερα σύγχρονα συστήματα διαχείρισης διαπιστευτηρίων είναι ειδικά σχεδιασμένα να αποφεύγουν.

Ιδιαίτερος κίνδυνος σε επιχειρησιακά περιβάλλοντα

Η ευπάθεια επηρεάζει το Microsoft Edge σε Windows. Τα terminal servers, τα περιβάλλοντα Remote Desktop Services, τα VDI deployments και οποιοδήποτε σύστημα κοινής πρόσβασης σε Windows χαρακτηρίζονται ως οι υψηλότερου κινδύνου διαμορφώσεις.

Ένας εισβολέας μπορεί να χρησιμοποιήσει τα διαπιστευτήρια που κλέβει από τον browser για πλευρική κίνηση εντός δικτύου, πλαστοπροσωπία χρηστών, κλοπή προσωπικών δεδομένων ή οικονομικών πόρων, ακόμα και επιθέσεις ransomware.

Η αποκάλυψη αυτή έρχεται σε μια περίοδο τεκμηριωμένης έξαρσης του infostealer malware. Σύμφωνα με το Global Threat Intelligence Index της Flashpoint, η κλοπή διαπιστευτηρίων μέσω infostealers αυξήθηκε κατά 800% στο πρώτο εξάμηνο του 2025, με 1,8 δισεκατομμύρια κωδικούς κλεμμένους από 5,8 εκατομμύρια συσκευές.

Η αρχική θέση της Microsoft και η αλλαγή πλεύσης

Ο ερευνητής δήλωσε ότι ανέφερε το ζήτημα στη Microsoft και η επίσημη απάντηση ήταν ότι η συμπεριφορά είναι «by design» — και ότι η Microsoft ενημερώθηκε ότι θα μοιραζόταν τα ευρήματα ως responsible disclosure ώστε χρήστες και οργανισμοί να μπορούν να λάβουν τεκμηριωμένες αποφάσεις.

Εκπρόσωπος της Microsoft δήλωσε: «Η ασφάλεια αποτελεί θεμέλιο του Microsoft Edge. Η πρόσβαση σε δεδομένα browser όπως περιγράφεται στο αναφερόμενο σενάριο θα απαιτούσε η συσκευή να έχει ήδη παραβιαστεί. Οι σχεδιαστικές επιλογές σε αυτόν τον τομέα περιλαμβάνουν ισορρόπηση επιδόσεων, ευχρηστίας και ασφάλειας, και συνεχίζουμε να τις αξιολογούμε απέναντι στις εξελισσόμενες απειλές.»

Ωστόσο, σύμφωνα με την αναφορά του BleepingComputer που πυροδότησε την παρούσα είδηση, η Microsoft ανακοίνωσε ότι θα αλλάξει αυτή τη συμπεριφορά στις επόμενες εκδόσεις του Edge, σταματώντας τη φόρτωση κωδικών σε cleartext κατά την εκκίνηση.

Τι μπορείτε να κάνετε τώρα

Η συμβουλή για οργανισμούς είναι να μειώσουν την εξάρτηση από τον browser ως αποθήκη διαπιστευτηρίων σε επιχειρησιακά πλαίσια. Αντ' αυτού, θα πρέπει να χρησιμοποιούν αφιερωμένες, διαχειριζόμενες λύσεις κωδικών πρόσβασης με ισχυρότερους ελέγχους πρόσβασης, να περιορίζουν τοπικά και διαχειριστικά δικαιώματα και να παρακολουθούν τα τερματικά, ειδικά για συμπεριφορές όπως το memory scraping.

Για εταιρείες που διαχειρίζονται το Edge σε στόλο Windows συσκευών, η Πολιτική Ομάδας (Group Policy) παρέχει άμεση δυνατότητα επιβολής: μεταβείτε στο User Configuration → Policies → Administrative Templates → Microsoft Edge → Password manager and protection και απενεργοποιήστε την πολιτική «Enable saving passwords to the password manager». Αυτό αποτρέπει την αποθήκευση νέων κωδικών, ενώ τα ήδη αποθηκευμένα διαπιστευτήρια παραμένουν έως ότου διαγραφούν χειροκίνητα.

Πηγές

• BleepingComputer – Microsoft Edge to stop loading cleartext passwords in memory on startup
• Dark Reading – Microsoft Edge Stores Passwords in Process Memory, Posing Risk
• Windows Central – Microsoft Edge will load all your passwords into memory in plaintext
• Heise Online – Microsoft Edge: Passwords end up in memory as plaintext
• PPC.land – Microsoft Edge keeps every saved password in cleartext memory at launch
]]>11694Fri, 15 May 2026 15:02:19 +0000https://www.thelab.gr/news/%CE%B1%CF%83%CF%86%CE%AC%CE%BB%CE%B5%CE%B9%CE%B1/%CE%B7-openai-%CF%87%CF%84%CF%85%CF%80%CE%AE%CE%B8%CE%B7%CE%BA%CE%B5-%CE%B1%CF%80%CF%8C-%CF%84%CE%B7%CE%BD-%CE%B5%CF%80%CE%AF%CE%B8%CE%B5%CF%83%CE%B7-tanstack-npm-%CE%B4%CE%B9%CE%B1%CF%81%CF%81%CE%BF%CE%AE-%CE%B5%CF%83%CF%89%CF%84%CE%B5%CF%81%CE%B9%CE%BA%CF%8E%CE%BD-%CE%BA%CE%BB%CE%B5%CE%B9%CE%B4%CE%B9%CF%8E%CE%BD-r11693/
• Δύο συσκευές υπαλλήλων της OpenAI μολύνθηκαν από κακόβουλα πακέτα npm της εκστρατείας Mini Shai-Hulud, με αποτέλεσμα κλοπή εσωτερικών διαπιστευτηρίων (credentials) από εσωτερικά αποθετήρια κώδικα.
• Η εταιρεία επιβεβαίωσε ότι δεν επηρεάστηκαν δεδομένα χρηστών, συστήματα παραγωγής ή πνευματική ιδιοκτησία, αλλά προχωρά σε αντικατάσταση πιστοποιητικών υπογραφής για Windows, macOS, iOS και Android.
• Οι χρήστες macOS πρέπει να ενημερώσουν τις εφαρμογές OpenAI πριν από τις 12 Ιουνίου 2026, οπότε τα παλαιά πιστοποιητικά ανακαλούνται οριστικά.

Η OpenAI επιβεβαίωσε ότι δύο συσκευές υπαλλήλων της μολύνθηκαν στο πλαίσιο της ευρύτερης εκστρατείας επίθεσης στην αλυσίδα εφοδιασμού λογισμικού γνωστής ως «Mini Shai-Hulud», η οποία έπληξε το οικοσύστημα npm τη 11η Μαΐου 2026. Σύμφωνα με την OpenAI, οι επιτιθέμενοι έκλεψαν εσωτερικά διαπιστευτήρια αφού έφτασαν σε δύο συσκευές υπαλλήλων, αναγκάζοντας την εταιρεία να αντικαταστήσει τα πιστοποιητικά υπογραφής για αρκετά desktop προϊόντα.

Τι συνέβη στις 11 Μαΐου

Στις 11 Μαΐου 2026 UTC, το TanStack, μια ευρέως χρησιμοποιούμενη βιβλιοθήκη ανοιχτού κώδικα, παραβιάστηκε ως μέρος της ευρύτερης επίθεσης στην αλυσίδα εφοδιασμού λογισμικού Mini Shai-Hulud. Μεταξύ 19:20 και 19:26 UTC, το κακόβουλο λογισμικό δημοσίευσε 84 κακόβουλες εκδόσεις σε 42 πακέτα @tanstack/* του npm· εντός 48 ωρών η εκστρατεία επεκτάθηκε σε 172 πακέτα και 403 κακόβουλες εκδόσεις σε npm και PyPI, σύμφωνα με την παρακολούθηση της Mend.

Η παραβίαση του TanStack εκμεταλλεύτηκε αλυσίδα τριών τρωτών σημείων στο GitHub Actions: ο επιτιθέμενος δημιούργησε ένα fork του αποθετηρίου TanStack/router (μετονομασμένο σε zblgg/configuration για να αποφύγει αναζητήσεις στη λίστα fork), άνοιξε ένα pull request που ενεργοποίησε ένα workflow τύπου pull_request_target, το οποίο εκτέλεσε τον κώδικα του fork και δηλητηρίασε την κρυφή μνήμη του GitHub Actions με κακόβουλο pnpm store. Όταν νόμιμα pull requests συντηρητών συγχωνεύτηκαν αργότερα, η δηλητηριασμένη κρυφή μνήμη επαναφορτώθηκε.

Η επίθεση αποδίδεται από την StepSecurity στην ομάδα απειλής TeamPCP και αποτελεί την πρώτη τεκμηριωμένη περίπτωση κακόβουλου πακέτου npm που φέρει έγκυρη πιστοποίηση SLSA — ένα κρυπτογραφικό πιστοποιητικό που παράγεται από το Sigstore και υποτίθεται ότι επαληθεύει ότι ένα πακέτο δομήθηκε από αξιόπιστη πηγή. Το @tanstack/react-router μόνο δέχεται 12,7 εκατομμύρια εβδομαδιαίες λήψεις.

Πώς επηρεάστηκε η OpenAI

Η OpenAI ανέφερε ότι το περιστατικό συνέβη κατά τη διάρκεια σταδιακής εγκατάστασης νέων ελέγχων ασφαλείας στην αλυσίδα εφοδιασμού, που εισήχθησαν μετά από ένα προηγούμενο περιστατικό σχετικό με το Axios. Οι δύο συσκευές υπαλλήλων που παραβιάστηκαν δεν είχαν λάβει ακόμη τις ενημερωμένες προστασίες διαχείρισης πακέτων που θα είχαν αποκλείσει την κακόβουλη εξάρτηση.

Οι επιτιθέμενοι πραγματοποίησαν «δραστηριότητα εξαγωγής με εστίαση σε διαπιστευτήρια» εναντίον ενός περιορισμένου συνόλου εσωτερικών αποθετηρίων που ήταν προσβάσιμα από τις επηρεασμένες συσκευές υπαλλήλων, σύμφωνα με την OpenAI. Η εταιρεία δήλωσε ότι δεν βρέθηκαν στοιχεία ότι δεδομένα χρηστών, συστήματα παραγωγής ή πνευματική ιδιοκτησία παραβιάστηκαν, ούτε ότι το λογισμικό της άλλαξε.

Τα κλειδιά υπογραφής για Windows, macOS, iOS και Android επηρεάστηκαν. Όλες οι εφαρμογές επανα-υπογράφονται και κυκλοφορούν με νέα πιστοποιητικά. Μετά την οριστική ανάκληση του παλαιού πιστοποιητικού στις 12 Ιουνίου 2026, νέες λήψεις και εκκινήσεις εφαρμογών υπογεγραμμένων με το προηγούμενο πιστοποιητικό θα αποκλείονται από τις προστασίες ασφαλείας του macOS.

Η ευρύτερη εκστρατεία TeamPCP

Οι ερευνητές ασφαλείας αποδίδουν την εκστρατεία στην ομάδα TeamPCP, μια κυβερνοεγκληματική ομάδα με εστίαση στο cloud που εμφανίστηκε στα τέλη του 2025 και ειδικεύεται στην αυτοματοποίηση επιθέσεων στην αλυσίδα εφοδιασμού και στην εκμετάλλευση υποδομών cloud-native, συμπεριλαμβανομένων περιβαλλόντων Docker και Kubernetes. Η ομάδα TeamPCP έχει συνδεθεί επίσης με την παραβίαση του σαρωτή Trivy της Aqua Security (Μάρτιος 2026) και του πακέτου npm Bitwarden CLI (Απρίλιος 2026).

Αυτό που καθιστά το Mini Shai-Hulud έναν πραγματικό «σκώληκα» (worm) είναι η ικανότητά του να εξαπλώνεται αυτόνομα: μόλις κλέψει διαπιστευτήρια, τα χρησιμοποιεί για να μολύνει επιπλέον πακέτα. Η εξαγωγή κλεμμένων διαπιστευτηρίων γίνεται μέσω τριπλής αρχιτεκτονικής C2: ένα typosquat domain (git-tanstack[.]com), το αποκεντρωμένο δίκτυο μηνυμάτων Session (μέσω κόμβων getsession.org) και GitHub API dead drops όπου τα κλεμμένα tokens δημιουργούν αποθετήρια με θέματα Dune. Το κανάλι Session είναι νέο σε αυτό το κύμα και σημαντικά δυσκολότερο να διακοπεί από υποδομές βασισμένες σε domain.

Σύμφωνα με στοιχεία της OX Security, το περιστατικό επηρέασε πάνω από 170 πακέτα σε npm και PyPI, με συνολικές λήψεις που ξεπερνούν τα 518 εκατομμύρια. Σε ανησυχητική εξέλιξη, η TeamPCP δημοσίευσε επίσης τον πηγαίο κώδικα του Shai-Hulud στο GitHub πριν αφαιρεθεί το αποθετήριο· αντίγραφα έχουν ήδη αντιγραφεί online, δίνοντας στους κυβερνοεγκληματίες έτοιμη βάση για νέες παραλλαγές.

Τι πρέπει να κάνουν οι χρήστες και οι developers

Ως μέρος της απόκρισής της, η OpenAI προχωρά σε ενημέρωση των πιστοποιητικών ασφαλείας της, η οποία απαιτεί από όλους τους χρήστες macOS να ενημερώσουν τις εφαρμογές OpenAI στις πιο πρόσφατες εκδόσεις. Η ενημέρωση είναι διαθέσιμη μέσω in-app update ή από τους επίσημους συνδέσμους της OpenAI.

Για developers που έχουν χρησιμοποιήσει πακέτα @tanstack/*, θα πρέπει να ελέγξουν άμεσα για τον daemon gh-token-monitor (στο ~/Library/LaunchAgents/com.user.gh-token-monitor.plist σε macOS ή ~/.config/systemd/user/gh-token-monitor.service σε Linux) και να τον αφαιρέσουν πριν ανακαλέσουν οποιαδήποτε tokens. Στη συνέχεια να ελέγξουν αρχεία lockfile και logs CI για τις επηρεασμένες εκδόσεις, και να αλλάξουν όλα τα διαπιστευτήρια από οποιαδήποτε επηρεασμένη μηχανή ή runner — npm tokens, GitHub PATs, AWS/GCP/Azure credentials, Kubernetes service account tokens και CI/CD secrets.

Η OpenAI δήλωσε ότι συνεχίζει να διερευνά το περιστατικό και να παρακολουθεί για τυχόν κατάχρηση των κλεμμένων διαπιστευτηρίων. Μετά το περιστατικό με το Axios, η εταιρεία επιτάχυνε την ανάπτυξη συγκεκριμένων ελέγχων ασφαλείας, συμπεριλαμβανομένης περαιτέρω ενίσχυσης των ευαίσθητων διαπιστευτηρίων στο CI/CD pipeline, εγκατάσταση ρυθμίσεων διαχειριστή πακέτων με ελέγχους όπως minimumReleaseAge, και πρόσθετο λογισμικό ασφαλείας για επαλήθευση της προέλευσης νέων πακέτων.

Πηγές

• The Register — OpenAI caught in TanStack npm supply chain chaos
• OpenAI — Our response to the TanStack npm supply chain attack
• Snyk — TanStack npm Packages Hit by Mini Shai-Hulud
• Wiz — Mini Shai-Hulud Strikes Again: TanStack + more npm Packages Compromised
• StepSecurity — TeamPCP's Mini Shai-Hulud Is Back
• CyberScoop — 'Mini Shai-Hulud' malware compromises hundreds of open-source packages
]]>11693Fri, 15 May 2026 12:02:20 +0000