Większość administratorów IT skanuje urządzenia w poszukiwaniu złośliwych plików. To rozsądne podejście, ale ma jeden problem: coraz więcej ataków w ogóle się tam nie pojawia.
Zaczynają się od przeglądarki, przez którą pracownik loguje się do poczty, HR i aplikacji biznesowych. Albo od legalnej technologii instalacyjnej Microsoftu, która pozwala zainstalować program jednym kliknięciem. W obu przypadkach tradycyjny antywirus nie ma czego szukać.
Dlatego skuteczna ochrona punktów końcowych musi widzieć więcej niż sam plik. Musi monitorować zachowanie procesów systemowych, operacje w rejestrze Windows i to, co dzieje się wewnątrz sesji przeglądarki.
Wektor 1: Bezpieczeństwo przeglądarki - luka czasowa między podatnością a łatką
Przeglądarka to dziś praktycznie całe środowisko pracy. Tam logują się pracownicy do poczty, systemów HR, finansów, aplikacji SaaS i narzędzi AI.
Właśnie dlatego jest dla atakujących taka atrakcyjna. Siedzi pomiędzy użytkownikiem, tożsamością, aplikacjami biznesowymi i danymi. Jeśli coś tam przejdzie, całość może być skompromitowana.
Czemu zero-day'e w przeglądarce to tylko część problemu
Raport Verizon 2026 wskazuje coś zaskakującego: w 2025 roku wykorzystanie podatności wyprzedziło po raz pierwszy kradzież haseł jako główny wektor włamań.
CrowdStrike idzie dalej. W swoim raporcie z 2026 roku pokazuje, że 42% podatności jest wykorzystywanych przez atakujących jeszcze przed publicznym ujawnieniem.
Co to oznacza w praktyce? Że luka czasowa między odkryciem podatności a jej załataniem to realny problem. Zanim dział IT zdąży przetestować poprawkę na wszystkich urządzeniach i ją wdrożyć, atakujący są już wewnątrz.
Podatności wspólne dla wielu przeglądarek - problem architektury Chromium
dotyczyć wielu przeglądarek naraz.
Nie chodzi o to, że wszystkie są równo zagrożone. Producenci modyfikują kod, dodają własne patche, wdrażają poprawki w różnym tempie. Ale podatność w wspólnym komponencie to zawsze problem dla całego ekosystemu.
Ataki wewnątrz przeglądarki bez zero-day'ów - codzienne ryzyko dla administratora IT
Czeka jednak jeszcze problem. Zero-day'e to tylko połowa historii. Co z tym, co dzieje się każdego dnia?
Phishing, przejęcie sesji, złośliwe pobrania, wyłudzanie danych logowania. Kradzież tokenów uwierzytelniających. Te ataki rozgrywają się wewnątrz przeglądarki i w ogóle nie wymagają żadnego zera-day'a.
Nie dotyczą błędów w kodzie. To sposoby na manipulowanie użytkownikami lub przechwytywania ich uwierzytelnienia. I dzieje się to każdego dnia, w każdej firmie.
Wektor 2: ClickOnce - ataki przez legalną technologię instalacyjną Microsoftu
Obok przeglądarki jest jeszcze jeden wektor, o którym większość administratorów nawet nie myśli: ClickOnce.
To technologia Microsoftu do dystrybucji aplikacji. Pozwala użytkownikowi zainstalować albo uruchomić program jednym kliknięciem. Bez uprawnień administratora. Bez ręcznego pobierania instalatora.
Wygoda? Oczywiście. Ale właśnie ta wygoda robi to atrakcyjnym dla atakujących.
Dlaczego ClickOnce jest atrakcyjny dla cyberprzestępców
CrowdStrike w swoim badaniu wymienia konkretne powody.
Po pierwsze: pliki .exe są w większości firm mocno kontrolowane. Pliki ClickOnce (.application) często przechodzą przez radar.
Po drugie: instalacja nie wymaga uprawnień administratora. Każdy zwykły użytkownik może ją przeprowadzić. A tych kont jest w firmie najczęściej dużo.
Po trzecie: ClickOnce ma wbudowany mechanizm aktualizacji. Jeśli aplikacja jest skonfigurowana do pracy offline, przy każdym uruchomieniu ze Start Menu może pobrać nową wersję z serwera. Bez pytania użytkownika o zgodę. Aktualizacja to po prostu update, a nie nowa instalacja.
Po czwarte: cały proces odbywa się w drzewie legalnych procesów Microsoftu. rundll32.exe, dfsvc.exe. Dla każdego narzędzia do monitorowania to normalny ruch. Nic podejrzanego.
Nowa metoda ataku: COM hijacking w ClickOnce
To dopiero ciekawe. Badacze CrowdStrike zidentyfikowali nową metodę ataku na ClickOnce. Wcześniej ta technika nie była opisywana.
Proces odpowiedzialny za wdrożenie ClickOnce'a szuka obiektu COM po jego identyfikatorze (CLSID). W normalnym, zaktualizowanym Windows takiego wpisu w rejestrze nie ma. Próba kończy się błędem i system idzie dalej inną ścieżką.
Problem? Dodanie takiego wpisu do rejestru użytkownika (HKCU) nie wymaga żadnych uprawnień administratora.
Jeśli atakujący wcześniej umieści tam swój wpis (wskazujący np. na cmd.exe albo powershell.exe), to przy kolejnej instalacji lub odinstalowaniu dowolnej aplikacji ClickOnce system spróbuje uruchomić właśnie ten kod.
Cały payload wykonuje się w rejestrze. Nie ma złośliwego pliku na dysku. To sprawia, że ataka jest praktycznie niewidoczna dla tradycyjnej ochrony endpointów opartej na skanowaniu plików.
EDR vs klasyczny antywirus: dlaczego to rozróżnienie ma znaczenie
Tradycyjny antywirus robi jedną rzecz: porównuje pliki z bazą znanych zagrożeń. To działa, ale ma limit.
Czemu klasyczna ochrona endpointów nie wystarczy
W przypadku ClickOnce payload wykonuje się w procesach systemowych. Może w ogóle nie dotykać dysku. Cała operacja to wpis w rejestrze.
W przypadku ataku przeglądarki zagrożenie nie jest plikiem. To działanie: przejęcie sesji, uruchomienie złośliwego skryptu JavaScript, kradzież tokenu.
Antywirus tego nie złapie. Szuka plików, a tu ich nie ma.
XDR i EDR: monitorowanie zachowania zamiast skanowania plików
Tu pojawia się EDR i XDR.
Ochrona punktów końcowych musi dzisiaj robić więcej. Musi monitorować zachowanie procesów, operacje na rejestrze i aktywność wewnątrz przeglądarki.
Na poziomie endpointu sensor Falcon to robi. Wykrywa próbę utworzenia wpisu w rejestrze powiązanego z atakiem. Blokuje tę operację. Kończy proces. Wszystko zanim dojdzie do wykonania złośliwego kodu.
Na poziomie przeglądarki CrowdStrike Falcon Secure Access działa wewnątrz środowiska JavaScript. To tam rozgrywają się ataki. Wykorzystuje JavaScript Language Randomization (JSLR) - losowe środowisko, które stale się zmienia. Utrudnia wykorzystanie podatności jeszcze zanim powstanie łatka.
Do tego chroni tokeny sesji przed przejęciem i MFA bypass. Blokuje phishing i kradzież danych logowania w momencie, gdy to się dzieje.
I co ważne: działa jako lekki moduł wewnątrz przeglądarki. Obejmuje też urządzenia niezarządzane. Laptopy kontraktorów. Telefony współpracowników. Sprzęt firm trzecich. Na którego tradycyjny agent endpointowy może nie być zainstalowany
Praktyczne znaczenie dla firmy i dla administratora IT
Co zmienia się dla administratora
Dla IT oznacza to: nie trzeba budować oddzielnej strategii dla każdego nowego wektora ataku. Jeden sensor. Jedna platforma. Chroni zarówno przed operacjami na endpoincie, jak i sesją przeglądarki.
Brak kolejnych, niezależnych narzędzi do zarządzania. Mniej złożoności. Mniej headache'ów.
Co zmienia się dla zarządu
Dla właściciela czy dyrektora liczy się coś innego. Ryzyko, które nie zależy od tego, czy firma zdąży na czas przetestować i wdrożyć każdą łatkę.
Czytamy właśnie: atakujący coraz częściej wyprzedzają moment publikacji poprawki. Ochrona nie może opierać się wyłącznie na patchowaniu. To już nie wystarczy.
Znaczenie ma też, że ochrona przeglądarki obejmuje urządzenia niezarządzane. To ważne. Wiele firm nie ma pełnej kontroli nad każdym laptopem kontraktora czy telefonem współpracownika. A mimo to musi ograniczać ryzyko wycieku danych i przejęcia konta.
Podsumowanie
Atak nie musi wyglądać jak wirus, żeby wyrządzić rzeczywistą szkodę. Coraz częściej to kliknięcie przycisku „Zainstaluj" na stronie. Albo zwykła aktywność w przeglądarce.
Ochrona endpointów i XDR mają sens dopiero wtedy, gdy obejmują oba te obszary. Zachowanie procesów na urządzeniu plus to, co się dzieje wewnątrz przeglądarki. Nie tylko klasyczne skanowanie plików.
W nowoczesnym środowisku pracy, gdzie pracownicy logują się do SaaS, pobierają aplikacje i pracują zdalnie tego rodzaju ochrona to już standard, a nie luksus.
Chcesz zobaczyć, jak wygląda wdrożenie CrowdStrike Falcon w praktyce? Obejrzyj nagranie z Akademii Cyberbezpieczeństwa Net Complex: