Злоумышленники все чаще атакуют Windows, используя уязвимые драйверы, утверждают эксперты «Лаборатории Касперского». Во втором квартале 2024 года количество таки атак увеличилось почти на 23% по сравнению с первым кварталом.
Исследователи объясняют, что уязвимые драйверы позволяют хакерам совершать атаки на отключение защитных решений и повышать привилегии. Это дает им возможность осуществлять различные вредоносные действия, включая внедрение программ-вымогателей, закрепляться в системе для шпионажа или саботажа, осуществлять сложные целевые атаки.
Также отмечается, что растет количество инструментов, позволяющих использовать уязвимые драйверы. Так, с 2021 года в сети были опубликованы 24 проекта, которые затрагивали уязвимые драйверы в контексте повышения привилегий и атак на встроенные и сторонние защитные решения, из них 16 появились в 2023 году.
Такие инструменты избавляют злоумышленников от необходимости обладать специальными навыками, необходимыми для поиска и эксплуатации уязвимых драйверов.
«Качество и количество уязвимостей и работающих эксплоитов к ним растет с каждым кварталом, причем злоумышленники находят способы для возвращения в строй уязвимостей, которые уже были пропатчены. Одно из основных ухищрений, позволяющих эксплуатировать закрытые уязвимости, — техника BYOVD, когда атакующие сами загружают в систему уязвимый драйвер. Чтобы оставаться в безопасности, нужно выстраивать грамотный патч-менеджмент, позволяющий своевременно обнаруживать и устранять уязвимости в корпоративной инфраструктуре, и использовать защитное решение, способное противостоять эксплуатации уязвимых драйверов», — комментирует Владимир Кусков, руководитель лаборатории антивирусных исследований «Лаборатории Касперского».