TVM-2026-0001, GreatXML og BitLocker gjenopprettingsgrensen. Medtronic varsler kunder berørt av ShinyHunters databruddet. Phantom Squatting misbruker AI genererte domenenavn til phishing.
TVM-2026-0001, GreatXML og BitLocker gjenopprettingsgrensen
TVM-2026-0001 beskrives som en midlertidig identifikator i Microsoft Defender Vulnerability Management for en sårbarhet som ennå ikke har fått en offentlig CVE identifikator. Artikkelen knytter identifikatoren til GreatXML, som omtales som en BitLocker omgåelse relatert til Windows Recovery Environment (WinRE), Microsoft Defender Offline Scan og bruk av unattend.xml uten at BitLockers krypteringsalgoritme beskrives som brutt. Angrepet fremstilles som avhengig av lokal eller fysisk tilgang, hvor gjenopprettingsmiljøet og tillitsgrensen rundt BitLocker kan utnyttes for å få tilgang til data på krypterte Windows enheter. Artikkelen anbefaler å validere lokale forhold som BitLocker konfigurasjon, WinRE status, Defender Offline Scan historikk og hvilken nøkkelbeskytter som brukes før tiltak settes inn. Den fremhever også at TVM poster bør behandles som eksponeringsindikatorer som krever verifisering, og ikke som bevis på at alle berørte enheter er sårbare.
Valider berørte enheter ved å kontrollere BitLocker konfigurasjon, WinRE status, Defender versjoner og gjenopprettingsnøkler før konfigurasjonsendringer eller avbøtende tiltak gjennomføres.
Medtronic varsler kunder berørt av ShinyHunters databruddet
Medtronic varsler kunder som er berørt etter at en uautorisert part fikk tilgang til data i enkelte av selskapets interne IT systemer. Hendelsen ble offentlig kjent etter at ShinyHunters hevdet å ha stjålet mer enn ni millioner poster med personopplysninger og interne bedriftsdata, men Medtronic har ikke bekreftet omfanget av det påståtte datatyveriet. Selskapet opplyser at angrepet ikke påvirket medisinske produkter, pasientsikkerhet, produksjon, distribusjon eller sykehuskundenes nettverk, fordi disse miljøene er adskilt fra de berørte bedriftssystemene. Medtronic undersøker fortsatt hvilke personopplysninger som eventuelt ble åpnet, og varsler berørte personer samt tilbyr støtte dersom eksponering bekreftes.
Phantom Squatting misbruker AI genererte domenenavn til phishing
En ny teknikk kalt phantom squatting utnytter at språkmodeller iblant finner på domenenavn som ikke eksisterer. Angripere registrerer disse domenene før noen andre og bruker dem til phishing, skadevarespredning eller merkevareetterligning. Ifølge Unit 42 fra Palo Alto Networks er teknikken allerede observert i aktive angrep.
I en studie genererte to AI modeller over 2,1 millioner lenker på tvers av 913 kjente merkevarer. Over 13 000 av lenkene pekte til kjente ondsinnede domener, mens rundt 250 000 AI genererte domener var uregistrerte og dermed tilgjengelige for angripere. Problemet forsterkes av at flere modeller ofte hallusinerer de samme domenenavnene, noe som gjør dem enkle å forutsi og registrere.
Det er dokumentert tilfeller der angripere registrerte AI hallusinerte domener som etterlignet nasjonale posttjenester. Domenene ble brukt til phishing sider som stjal betalingskortinformasjon, bankdetaljer og identitetsopplysninger, samt til distribusjon av ondsinnede Android apper. I ett tilfelle ble domenet registrert bare 23 dager etter at eksperter hadde identifisert det som et sannsynlig AI-generert mål.
Virksomheter bør overvåke potensielle AI genererte domenenavn knyttet til egne merkevarer og verifisere alle lenker generert av AI verktøy før de benyttes. Brukere bør ikke stole på at lenker er legitime kun fordi de er foreslått av en AI assistent.