Kaspersky фиксирует 23%-ный рост числа атак на уязвимые драйверы Windows

Злоумышленники все чаще атакуют Windows, используя уязвимые драйверы, утверждают эксперты «Лаборатории Касперского». Во втором квартале 2024 года количество систем, атакованных таким образом, увеличилось почти на 23% по сравнению с первым кварталом.

Кибератаки с применением уязвимых драйверов позволяют злоумышленникам совершать попытки отключить защитные решения в системе и повышать привилегии. Это дает им возможность осуществлять различные вредоносные действия, например внедрять программы-вымогатели или закрепляться в системе для шпионажа или саботажа, проводить сложные целевые атаки.

Увеличивается и количество инструментов, позволяющих использовать уязвимые драйверы. С 2021 года в сети были опубликованы 24 проекта, которые затрагивали уязвимые драйверы в контексте повышения привилегий и атак на встроенные и сторонние защитные решения, из них 16 — в 2023 году. Такие общедоступные инструменты избавляют злоумышленников от необходимости обладать специальными навыками, необходимыми для поиска и эксплуатации уязвимых драйверов.

«Качество и количество уязвимостей и работающих эксплойтов к ним растет с каждым кварталом, причем злоумышленники находят способы для возвращения в строй уязвимостей, которые уже были пропатчены. Одно из основных ухищрений, позволяющих эксплуатировать закрытые уязвимости, — техника BYOVD, когда атакующие сами загружают в систему уязвимый драйвер. Чтобы оставаться в безопасности, нужно выстраивать грамотный патч-менеджмент, позволяющий своевременно обнаруживать и устранять уязвимости в корпоративной инфраструктуре, и использовать защитное решение, способное противостоять эксплуатации уязвимых драйверов», — комментирует Владимир Кусков, руководитель лаборатории антивирусных исследований «Лаборатории Касперского».

Для защиты от киберугроз эксперты рекомендуют компаниям:

• тщательно изучить инфраструктуру и внимательно следить за ее активами, уделяя особое внимание периметру;
• использовать комплексные защитные решения, которые позволят выстроить гибкую и эффективную систему безопасности, включающую в себя обеспечение надежной защиты рабочих мест, выявление и остановку атак любой сложности на ранних стадиях, сбор актуальных данных о кибератаках в мире и обучение сотрудников базовым навыкам цифровой грамотности;
• предоставлять сотрудникам отдела кибербезопасности возможность доступа к свежей информации о новейших тактиках, техниках и процедурах злоумышленников;
• регулярно проводить аудит безопасности, чтобы выявить и устранить уязвимости до того, как они станут точкой входа для злоумышленников.

Более подробно об эксплойтах и уязвимостях по втором квартале 2024 года можно узнать в отчете по ссылке.