ИТ-дайджест: 17 мая 2026 г.: OpenAI взломан, нулевой день в Exchange и эксплойты Pwn2Own

Краткий обзор событий в сфере безопасности для продуктовых и инженерных команд: аресты правоохранительных органов, несколько раскрытий на Pwn2Own, нулевой день в Exchange, спорный отчёт об уязвимости в Azure и инцидент в цепочке поставок, затронувший OpenAI.

Победы правоохранительных органов после оперативного просчёта

Пара предполагаемых киберпреступников была идентифицирована и задержана после того, как, как сообщается, они не отключили запись в Microsoft Teams во время операции. В обзоре недели также отмечается арест, связанный с предполагаемым главарём рынка в даркнете, а также то, что инцидент с программой-вымогателем Instructure Canvas подошёл к завершению.

Pwn2Own Berlin — День 1: уязвимы Windows 11 и Edge

В первый день Pwn2Own Berlin 2026 участвующие команды продемонстрировали 24 различных эксплойта нулевого дня и получили денежные вознаграждения на общую сумму $523,000. Среди продуктов, показавших уязвимости, были Windows 11 и Microsoft Edge.

Pwn2Own Berlin — День 2: Exchange, Windows и RHEL выявили дополнительные уязвимости

На второй день конкурса пришёл ещё один раунд успешных демонстраций: исследователи использовали 15 уникальных уязвимостей нулевого дня и получили денежные выплаты на сумму $385,750. Целями были Windows 11, Microsoft Exchange и Red Hat Enterprise Linux for Workstations.

Microsoft указывает на эксплуатацию нулевого дня в Exchange Server

Microsoft выпустила меры смягчения последствий для уязвимости высокой степени серьёзности в Exchange Server, которая использовалась в атаках. Уязвимость позволяет выполнить произвольный код через вектор межсайтового скриптинга, который специально нацелен на пользователей Outlook on the web.

Спор вокруг отчёта об Azure Backup for AKS и отсутствующего CVE

Исследователь утверждает, что Microsoft тихо устранила критическую проблему, затрагивающую Azure Backup for AKS, не присвоив ей CVE после первоначального отклонения отчёта. Microsoft оспаривает это утверждение, заявляя, что наблюдаемое поведение было ожидаемым и что никаких изменений в продукте не производилось.

OpenAI подтверждает взлом, связанный с инцидентом в цепочке поставок TanStack

OpenAI признала, что два устройства сотрудников были скомпрометированы во время недавней атаки цепочки поставок TanStack, затронувшей сотни пакетов в npm и PyPI. В качестве меры предосторожности компания отозвала и обновила сертификаты подписи кода для своих приложений.

Краткое резюме: на этой неделе сочетались хорошо заметные демонстрации эксплойтов и активные инциденты с заметными действиями правоохранительных органов и спорами с поставщиками. Командам, выпускающим ПО, следует отслеживать опубликованные меры смягчения для Exchange, следовать рекомендациям по цепочке поставок и ожидать возможных последующих действий от затронутых поставщиков.