Kaspersky фиксирует 23%-ный рост числа атак на уязвимые драйверы Windows
Такие атаки позволяют злоумышленникам совершать попытки отключить защитные решения в системе и повышать привилегии
Злоумышленники все чаще атакуют Windows, используя уязвимые драйверы, утверждают эксперты «Лаборатории Касперского». Во втором квартале 2024 года количество систем, атакованных таким образом, увеличилось почти на 23% по сравнению с первым кварталом.
Кибератаки с применением уязвимых драйверов позволяют злоумышленникам совершать попытки отключить защитные решения в системе и повышать привилегии. Это дает им возможность осуществлять различные вредоносные действия, например внедрять программы-вымогатели или закрепляться в системе для шпионажа или саботажа, проводить сложные целевые атаки.
Увеличивается и количество инструментов, позволяющих использовать уязвимые драйверы. С 2021 года в сети были опубликованы 24 проекта, которые затрагивали уязвимые драйверы в контексте повышения привилегий и атак на встроенные и сторонние защитные решения, из них 16 — в 2023 году. Такие общедоступные инструменты избавляют злоумышленников от необходимости обладать специальными навыками, необходимыми для поиска и эксплуатации уязвимых драйверов.
«Качество и количество уязвимостей и работающих эксплойтов к ним растет с каждым кварталом, причем злоумышленники находят способы для возвращения в строй уязвимостей, которые уже были пропатчены. Одно из основных ухищрений, позволяющих эксплуатировать закрытые уязвимости, — техника BYOVD, когда атакующие сами загружают в систему уязвимый драйвер. Чтобы оставаться в безопасности, нужно выстраивать грамотный патч-менеджмент, позволяющий своевременно обнаруживать и устранять уязвимости в корпоративной инфраструктуре, и использовать защитное решение, способное противостоять эксплуатации уязвимых драйверов», — комментирует Владимир Кусков, руководитель лаборатории антивирусных исследований «Лаборатории Касперского».
Для защиты от киберугроз эксперты рекомендуют компаниям:
- тщательно изучить инфраструктуру и внимательно следить за ее активами, уделяя особое внимание периметру;
- использовать комплексные защитные решения, которые позволят выстроить гибкую и эффективную систему безопасности, включающую в себя обеспечение надежной защиты рабочих мест, выявление и остановку атак любой сложности на ранних стадиях, сбор актуальных данных о кибератаках в мире и обучение сотрудников базовым навыкам цифровой грамотности;
- предоставлять сотрудникам отдела кибербезопасности возможность доступа к свежей информации о новейших тактиках, техниках и процедурах злоумышленников;
- регулярно проводить аудит безопасности, чтобы выявить и устранить уязвимости до того, как они станут точкой входа для злоумышленников.
Более подробно об эксплойтах и уязвимостях по втором квартале 2024 года можно узнать в отчете по ссылке.