Любая кибератака может иметь значительное влияние на деловые операции, но ни одна из них не является столь утонченной, как атаки на ядро операционной системы.
Атаки ядра ОС используют уязвимости ядра операционной системы или других драйверов даже после их исправления. Во время обычной атаки соперники устанавливают и загружают уязвимый драйвер для доступа к системе, а затем вносят изменения. Хотя большинство операционных систем позволяют законным поставщикам создавать и подписывать драйверы, киберпреступники могут использовать эти законные, но уязвимые драйверы.
Затем злоумышленники могут использовать этот драйвер для доступа к ядру операционной системы, где они могут выполнять любое количество действий, включая удаление или деактивацию мер безопасности. Поскольку эти драйверы законно подписаны, а отозвать сертификат трудно, неотработанные версии драйверов можно использовать нелегально годами.
Такие атаки сложные. Однако, пока они становятся все более распространенными. Одним из ярких примеров такой атаки является новая zero-day уязвимость в драйвере криптографии Microsoft, опубликованная в Google Project Zero в конце прошлого года. Эта уязвимость возникает в пределах определенного пути управления вводом/выводом (IOCTL) внутри драйвера, позволяет программам пользовательского режима легко использовать их. Характер загрузки драйверов усложняет предотвращения этих атак.
Например, драйверы, которые CrowdStrike признал злонамеренными, можно заблокировать от загрузки в Windows 10/Server 2016, включив переключения подозрительных драйверов ядра ОС (Защита от вредоносного программного обеспечения → Выполнение) в политике предотвращения Falcon. Для того, чтобы датчик Falcon имел возможность выявления взаимодействия в режиме пользователя (через IOCTL) с уязвимыми драйверами устройств, дополнительные данные режима (AUMD) должны быть включены в политике предотвращения Falcon.
Для всех компаний и организаций важно принять необходимые меры для предотвращения кибератак ядра операционной системы. Мы рекомендуем подумать об этом заранее и обеспечить свое предприятие соответствующими решениями для защиты.