Добавить в корзинуПозвонить
Найти в Дзене
Апекс
5 подписчиков

Анализ уязвимости в Windows: как киберпреступники используют легальные драйверы для атак

1 мин
За последние 10 лет мы видели множество способов, которыми злоумышленники обходят защитные механизмы операционных систем. Но в последнее время появился новый тренд — использование подписанных легальных драйверов для вредоносной деятельности. Сегодня разберём свежий пример такой атаки и объясним, почему это опасно. Недавно специалисты по кибербезопасности обнаружили, что злоумышленники активно эксплуатируют уязвимость (CVE-2024-21338) в драйвере appid.sys, который является частью механизма AppLocker в Windows. Как это работает? Главная опасность в том, что драйвер имеет официальную подпись Microsoft, поэтому антивирусы и системы защиты (например, Secure Boot) не блокируют его. Microsoft уже выпустила заплатку в марте 2024 года, поэтому:
✅ Обновите Windows до актуальной версии.
✅ Контролируйте установку драйверов — ограничьте загрузку непроверенных драйверов через политики Group Policy.
✅ Мониторьте аномальную активность — особенно попытки отключения защитных механизмов. Использование
Оглавление

За последние 10 лет мы видели множество способов, которыми злоумышленники обходят защитные механизмы операционных систем. Но в последнее время появился новый тренд — использование подписанных легальных драйверов для вредоносной деятельности. Сегодня разберём свежий пример такой атаки и объясним, почему это опасно.

Суть проблемы: уязвимость в драйвере Windows

Недавно специалисты по кибербезопасности обнаружили, что злоумышленники активно эксплуатируют уязвимость (CVE-2024-21338) в драйвере appid.sys, который является частью механизма AppLocker в Windows.

Как это работает?

  1. Злоумышленник получает права администратора на целевой системе (например, через фишинг или эксплуатацию другой уязвимости).
  2. Загружает и устанавливает подписанный Microsoft драйвер, который содержит уязвимость.
  3. Использует ошибку в драйвере для отключения защитных механизмов (например, отключает защиту от выполнения неподписанного кода).
  4. Запускает вредоносный код с повышенными привилегиями.

Главная опасность в том, что драйвер имеет официальную подпись Microsoft, поэтому антивирусы и системы защиты (например, Secure Boot) не блокируют его.

Почему это серьёзно?

  • Атака остаётся незамеченной — поскольку используется легальный драйвер, многие системы мониторинга не реагируют.
  • Позволяет обойти EDR/XDR — решения класса Endpoint Detection and Response могут пропустить такую активность.
  • Подходит для целенаправленных атак — особенно опасен для корпоративных сетей, где злоумышленник может долго оставаться незамеченным.

Что делать?

Microsoft уже выпустила заплатку в марте 2024 года, поэтому:
Обновите Windows до актуальной версии.
Контролируйте установку драйверов — ограничьте загрузку непроверенных драйверов через политики Group Policy.
Мониторьте аномальную активность — особенно попытки отключения защитных механизмов.

Вывод

Использование легальных драйверов в атаках — это новый уровень изощрённости киберпреступников. Такие методы сложнее обнаружить, но своевременное обновление и грамотная настройка защиты сводят риски к минимуму.

А вы сталкивались с подобными случаями? Делитесь в комментариях!

Подписывайтесь, чтобы не пропустить разборы свежих угроз. Остаёмся на связи! 🚀