Trzy zero-daye w Windows Defenderze, Robinhood rozsyła phishing z własnych serwerów, koniec ery „AGI clause

## 1. Trzy luki zero-day w Microsoft Defenderze – BlueHammer, RedSun i UnDefend

To jeden z najbardziej kłopotliwych tygodni Microsoftu w 2026 roku. 7 kwietnia badacze opublikowali na GitHubie działający exploit „BlueHammer" (CVE-2026-33825, CVSS 7.8) na Windows Defendera – pozwala on zwykłemu użytkownikowi w pełni zaktualizowanego Windowsa 10 lub 11 zdobyć uprawnienia SYSTEM, a więc przejąć kontrolę nad maszyną. Luka tkwi w tzw. „race condition" w mechanizmie czyszczenia plików: w trakcie usuwania zagrożenia exploit podstawia łącze NTFS prowadzące do `C:\Windows\System32`, a Defender posłusznie nadpisuje tam dowolny plik.

Gorzej, że 16 kwietnia ten sam badacz dorzucił dwa kolejne zero-daye o podobnym mechanizmie – „RedSun" i „UnDefend". Firma Huntress potwierdziła, że BlueHammer jest aktywnie wykorzystywany w atakach od 10 kwietnia. Microsoft w końcu załatał BlueHammera w kwietniowy „Patch Tuesday" (łącznie 67 poprawek, w tym 2 zero-daye), a 22 kwietnia CISA wpisała lukę do swojego katalogu KEV i nakazała amerykańskim agencjom federalnym wgrać aktualizację do 6 maja. Dwie pozostałe luki w chwili pisania tego tekstu wciąż nie mają oficjalnej łatki – Microsoft pracuje nad wydaniem ich „poza cyklem".

Dla domowych użytkowników wniosek jest prosty: jeżeli Windows Update pokazuje aktualizację – zainstaluj ją od razu, nie odkładaj na „kiedyś po pracy".

## 2. Robinhood rozsyłał phishing… z własnych serwerów

Klienci popularnego brokera Robinhood od 26 kwietnia zaczęli dostawać e-maile zatytułowane „Your recent login to Robinhood" lub „Unrecognized Device Linked to Your Account", informujące o rzekomo podejrzanym logowaniu z nieznanego urządzenia. Wiadomości wyglądały na w pełni legalne – wychodziły z domeny robinhood.com, miały poprawne podpisy SPF/DKIM/DMARC i prawdziwe logo firmy. Bo… były wysyłane wprost z serwerów Robinhooda.

Jak to możliwe? Atakujący znaleźli błąd w procesie zakładania konta: pole „Device" (urządzenie) w mailu potwierdzającym nie filtrowało kodu HTML. W tym polu można więc było „wstrzyknąć" cały sfałszowany komunikat o włamaniu wraz z linkiem do strony przejmującej dane. Aby trafić w istniejących klientów, oszuści wykorzystali sztuczkę z kropkami w adresie Gmail (Google ignoruje kropki, więc `jan.kowalski@gmail.com` i `jankowalski@gmail.com` to ten sam adres). Robinhood naprawił błąd – pole „Device" zostało po prostu usunięte z e-maila powitalnego, a strona phishingowa została wyłączona. Sam broker zapewnia, że nie doszło do wycieku konta ani środków, ale to świetny przykład tego, że nawet wiadomość z legalnej domeny może być fałszywką.

## 3. Microsoft i OpenAI przepisują kontrakt – koniec klauzuli AGI i wyłączności na Azure

27 kwietnia OpenAI i Microsoft ogłosili poważną przebudowę swojej umowy partnerskiej – tej samej, która od 2019 roku trzymała OpenAI praktycznie na smyczy chmury Azure. Najważniejsze zmiany:

- **Koniec wyłączności** – OpenAI może teraz oferować swoje modele na dowolnej chmurze. Andy Jassy z Amazonu już zapowiedział, że modele OpenAI „w najbliższych tygodniach" pojawią się natywnie na AWS.

- **Klauzula AGI usunięta** – zniknął zapis, który pozwalał OpenAI „odciąć" Microsoft od dostępu do technologii w momencie ogłoszenia osiągnięcia AGI. Zamiast tego do umowy wpisano twardą datę: prawa Microsoftu do modeli OpenAI obowiązują do 2032 roku.

- **Nowy podział pieniędzy** – OpenAI przestaje płacić Microsoftowi udział od przychodów po 2030 roku, a sam udział został objęty łącznym limitem.

Dodatkowo Microsoft ogłosił największą w historii inwestycję w Japonii – 10 miliardów dolarów rozłożone na lata 2026–2029 na rozbudowę centrów danych pod sztuczną inteligencję. Dla zwykłego użytkownika oznacza to dwie rzeczy: po pierwsze – ChatGPT i pochodne usługi OpenAI mogą być wkrótce tańsze i lepiej dostępne na innych platformach, a po drugie – wyścig zbrojeń AI nie tylko nie wyhamuje, ale właśnie dostał świeży pakiet paliwa.

## 4. CISA dorzuca kolejne pilne łatki – Fortinet i Adobe Acrobat

Amerykańska agencja CISA w ostatnich dniach dorzuciła do katalogu Known Exploited Vulnerabilities sześć kolejnych aktywnie wykorzystywanych podatności. Dwie najgroźniejsze dotyczą produktów, z którymi styka się dziś niemal każdy:

- **CVE-2026-21643 w Fortinet FortiClient EMS** (CVSS 9.1) – błąd typu SQL injection pozwalający atakującemu z internetu wykonywać polecenia bez logowania. Termin łatania dla agencji federalnych: 16 kwietnia.

- **CVE-2026-34621 w Adobe Acrobat Reader** (CVSS 8.6) – „prototype pollution" prowadzący do wykonania dowolnego kodu po otwarciu spreparowanego pliku PDF. Adobe wydało aktualizację awaryjną; CISA dała federalnym agencjom czas do 27 kwietnia.

Jeśli używasz Acrobat Readera (a dziś jest on standardem w wielu firmach księgowych, kancelariach i biurach), uruchom: **Pomoc → Sprawdź dostępność aktualizacji** i potwierdź instalację. To zajmuje minutę, a chroni przed atakiem typu „klikam w PDF z faktury".

## Ciekawostka: 22 sekundy – tyle dziś trwa atak, który jeszcze trzy lata temu zabierał 8 godzin

Na otwarciu konferencji Google Cloud Next 2026 padła liczba, która zelektryzowała branżę bezpieczeństwa: **średni czas od pierwszego włamania do przekazania dostępu kolejnej grupie przestępczej skrócił się z około 8 godzin do… 22 sekund** w ciągu zaledwie trzech ostatnich lat. Powód? Ofensywne wykorzystanie AI – modele językowe automatyzują rekonesans, generują phishing dopasowany do ofiary, same piszą i dopasowują kod złośliwego oprogramowania, a do tego komunikują się między botami w czasie rzeczywistym. W praktyce oznacza to, że klasyczne podejście „przeczytamy logi rano" przestało działać – zanim człowiek dotrze do biurka, atakujący zdążył już sprzedać dostęp do Twojej sieci dwa razy.

## Praktyczna porada: sprawdź w 5 minut, czy Twój e-mail nie wyciekł w jakimś włamaniu (HaveIBeenPwned)

W obliczu kolejnych wycieków (ADT, Pitney Bowes, Autovista, BePrime, Booking.com, Vercel, Robinhood…) warto wreszcie zrobić elementarny audyt swoich kont. Dobra wiadomość: można to zrobić bez instalowania niczego, w pięć minut, a serwis, którego użyjemy, zbudował i utrzymuje znany ekspert od bezpieczeństwa Troy Hunt – używają go nawet rządy i FBI.

**Krok po kroku:**

1. **Wejdź na adres `haveibeenpwned.com`** (wpisz go ręcznie w przeglądarce – nie klikaj w link z wyszukiwarki ani z e-maila). Strona jest darmowa i nie zakłada żadnego konta.

2. **Wpisz swój główny adres e-mail** w pole „Have I Been Pwned?" i kliknij „pwned?". Po sekundzie zobaczysz listę wszystkich publicznie znanych wycieków, w których Twój adres się pojawił, wraz z nazwą serwisu i datą.

3. **Powtórz to dla każdego adresu, którego używasz** – pracowego, prywatnego, „śmieciowego" do zakupów. Bardzo często niespodzianką jest ten ostatni: serwis sprzed 10 lat, o którym dawno zapomniałeś, ma w bazie Twoje hasło.

4. **Zmień hasło wszędzie, gdzie był wyciek** – a jeszcze lepiej, użyj managera haseł (Bitwarden, 1Password, Proton Pass) i wygeneruj nowe, unikalne hasło dla każdego konta. Jeśli używałeś tego samego hasła w kilku miejscach – zmień je we wszystkich.

5. **Włącz powiadomienie „Notify me"** na haveibeenpwned.com – serwis prześle Ci e-mail za każdym razem, gdy Twój adres pojawi się w nowym wycieku. Bonus: w zakładce „Passwords" możesz też sprawdzić konkretne hasło – serwis nie wysyła pełnego hasła na serwer, używa techniki k-anonymity, więc jest to bezpieczne.

**Dodatkowy krok dla zaawansowanych:** jeśli używasz Google Chrome lub Microsoft Edge, wbudowany manager haseł sam wyświetli ostrzeżenie o przejętych hasłach – wystarczy wejść w `chrome://password-manager/checkup` (Chrome) lub w **Ustawienia → Profile → Hasła → Health Check** (Edge) i kliknąć „Sprawdź hasła".

# Źródła

- [The Hacker News – Three Microsoft Defender Zero-Days Actively Exploited](https://thehackernews.com/2026/04/three-microsoft-defender-zero-days.html)

- [BleepingComputer – CISA orders feds to patch BlueHammer flaw](https://www.bleepingcomputer.com/news/security/cisa-orders-feds-to-patch-microsoft-defender-flaw-exploited-in-zero-day-attacks/)

- [SecurityWeek – Recent Microsoft Defender Vulnerability Exploited as Zero-Day](https://www.securityweek.com/recent-microsoft-defender-vulnerability-exploited-as-zero-day/)

- [BleepingComputer – Robinhood account creation flaw abused to send phishing emails](https://www.bleepingcomputer.com/news/security/robinhood-account-creation-flaw-abused-to-send-phishing-emails/)

- [Help Net Security – Cyber crooks got Robinhood to send phishing emails to its own users](https://www.helpnetsecurity.com/2026/04/27/robinhood-phishing-email-campaign/)

- [The Decoder – OpenAI and Microsoft rewrite their deal](https://the-decoder.com/openai-and-microsoft-rewrite-their-deal-no-more-exclusivity-no-more-agi-clause/)

- [Simon Willison – Tracking the history of the now-deceased OpenAI Microsoft AGI clause](https://simonwillison.net/2026/Apr/27/now-deceased-agi-clause/)

- [Microsoft Blog – The next phase of the Microsoft-OpenAI partnership](https://blogs.microsoft.com/blog/2026/04/27/the-next-phase-of-the-microsoft-openai-partnership/)

- [The Hacker News – CISA Adds 6 Known Exploited Flaws in Fortinet, Microsoft, and Adobe](https://thehackernews.com/2026/04/cisa-adds-6-known-exploited-flaws-in.html)

- [Forrester – Google Cloud Next 2026: The End Of The AI Pilot Era](https://www.forrester.com/blogs/google-cloud-next-2026-the-end-of-the-ai-pilot-era/)

- [Have I Been Pwned](https://haveibeenpwned.com/)