Ochrona endpointów i XDR: ataki, które nie wyglądają jak wirusy
Tagi:  CrowdStrikefalconxdr

Ochrona endpointów i XDR: ataki, które nie wyglądają jak wirusy

Większość administratorów IT skanuje urządzenia w poszukiwaniu złośliwych plików. To rozsądne podejście, ale ma jeden problem: coraz więcej ataków w ogóle się tam nie pojawia.
Zaczynają się od przeglądarki, przez którą pracownik loguje się do poczty, HR i aplikacji biznesowych. Albo od legalnej technologii instalacyjnej Microsoftu, która pozwala zainstalować program jednym kliknięciem. W obu przypadkach tradycyjny antywirus nie ma czego szukać.
Dlatego skuteczna ochrona punktów końcowych musi widzieć więcej niż sam plik. Musi monitorować zachowanie procesów systemowych, operacje w rejestrze Windows i to, co dzieje się wewnątrz sesji przeglądarki.

Wektor 1: Bezpieczeństwo przeglądarki - luka czasowa między podatnością a łatką

Przeglądarka to dziś praktycznie całe środowisko pracy. Tam logują się pracownicy do poczty, systemów HR, finansów, aplikacji SaaS i narzędzi AI.
Właśnie dlatego jest dla atakujących taka atrakcyjna. Siedzi pomiędzy użytkownikiem, tożsamością, aplikacjami biznesowymi i danymi. Jeśli coś tam przejdzie, całość może być skompromitowana.

Czemu zero-day'e w przeglądarce to tylko część problemu

Raport Verizon 2026 wskazuje coś zaskakującego: w 2025 roku wykorzystanie podatności wyprzedziło po raz pierwszy kradzież haseł jako główny wektor włamań.
CrowdStrike idzie dalej. W swoim raporcie z 2026 roku pokazuje, że 42% podatności jest wykorzystywanych przez atakujących jeszcze przed publicznym ujawnieniem.
Co to oznacza w praktyce? Że luka czasowa między odkryciem podatności a jej załataniem to realny problem. Zanim dział IT zdąży przetestować poprawkę na wszystkich urządzeniach i ją wdrożyć, atakujący są już wewnątrz.

Podatności wspólne dla wielu przeglądarek - problem architektury Chromium

dotyczyć wielu przeglądarek naraz.
Nie chodzi o to, że wszystkie są równo zagrożone. Producenci modyfikują kod, dodają własne patche, wdrażają poprawki w różnym tempie. Ale podatność w wspólnym komponencie to zawsze problem dla całego ekosystemu.

Ataki wewnątrz przeglądarki bez zero-day'ów - codzienne ryzyko dla administratora IT

Czeka jednak jeszcze problem. Zero-day'e to tylko połowa historii. Co z tym, co dzieje się każdego dnia?
Phishing, przejęcie sesji, złośliwe pobrania, wyłudzanie danych logowania. Kradzież tokenów uwierzytelniających. Te ataki rozgrywają się wewnątrz przeglądarki i w ogóle nie wymagają żadnego zera-day'a.
Nie dotyczą błędów w kodzie. To sposoby na manipulowanie użytkownikami lub przechwytywania ich uwierzytelnienia. I dzieje się to każdego dnia, w każdej firmie.

Wektor 2: ClickOnce - ataki przez legalną technologię instalacyjną Microsoftu

Obok przeglądarki jest jeszcze jeden wektor, o którym większość administratorów nawet nie myśli: ClickOnce.
To technologia Microsoftu do dystrybucji aplikacji. Pozwala użytkownikowi zainstalować albo uruchomić program jednym kliknięciem. Bez uprawnień administratora. Bez ręcznego pobierania instalatora.
Wygoda? Oczywiście. Ale właśnie ta wygoda robi to atrakcyjnym dla atakujących.

Dlaczego ClickOnce jest atrakcyjny dla cyberprzestępców

CrowdStrike w swoim badaniu wymienia konkretne powody.
Po pierwsze: pliki .exe są w większości firm mocno kontrolowane. Pliki ClickOnce (.application) często przechodzą przez radar.
Po drugie: instalacja nie wymaga uprawnień administratora. Każdy zwykły użytkownik może ją przeprowadzić. A tych kont jest w firmie najczęściej dużo.
Po trzecie: ClickOnce ma wbudowany mechanizm aktualizacji. Jeśli aplikacja jest skonfigurowana do pracy offline, przy każdym uruchomieniu ze Start Menu może pobrać nową wersję z serwera. Bez pytania użytkownika o zgodę. Aktualizacja to po prostu update, a nie nowa instalacja.
Po czwarte: cały proces odbywa się w drzewie legalnych procesów Microsoftu. rundll32.exe, dfsvc.exe. Dla każdego narzędzia do monitorowania to normalny ruch. Nic podejrzanego.

Nowa metoda ataku: COM hijacking w ClickOnce

To dopiero ciekawe. Badacze CrowdStrike zidentyfikowali nową metodę ataku na ClickOnce. Wcześniej ta technika nie była opisywana.
Proces odpowiedzialny za wdrożenie ClickOnce'a szuka obiektu COM po jego identyfikatorze (CLSID). W normalnym, zaktualizowanym Windows takiego wpisu w rejestrze nie ma. Próba kończy się błędem i system idzie dalej inną ścieżką.
Problem? Dodanie takiego wpisu do rejestru użytkownika (HKCU) nie wymaga żadnych uprawnień administratora.
Jeśli atakujący wcześniej umieści tam swój wpis (wskazujący np. na cmd.exe albo powershell.exe), to przy kolejnej instalacji lub odinstalowaniu dowolnej aplikacji ClickOnce system spróbuje uruchomić właśnie ten kod.
Cały payload wykonuje się w rejestrze. Nie ma złośliwego pliku na dysku. To sprawia, że ataka jest praktycznie niewidoczna dla tradycyjnej ochrony endpointów opartej na skanowaniu plików.

EDR vs klasyczny antywirus: dlaczego to rozróżnienie ma znaczenie

Tradycyjny antywirus robi jedną rzecz: porównuje pliki z bazą znanych zagrożeń. To działa, ale ma limit.

Czemu klasyczna ochrona endpointów nie wystarczy

W przypadku ClickOnce payload wykonuje się w procesach systemowych. Może w ogóle nie dotykać dysku. Cała operacja to wpis w rejestrze.
W przypadku ataku przeglądarki zagrożenie nie jest plikiem. To działanie: przejęcie sesji, uruchomienie złośliwego skryptu JavaScript, kradzież tokenu.
Antywirus tego nie złapie. Szuka plików, a tu ich nie ma.

XDR i EDR: monitorowanie zachowania zamiast skanowania plików

Tu pojawia się EDR i XDR.
Ochrona punktów końcowych musi dzisiaj robić więcej. Musi monitorować zachowanie procesów, operacje na rejestrze i aktywność wewnątrz przeglądarki.
Na poziomie endpointu sensor Falcon to robi. Wykrywa próbę utworzenia wpisu w rejestrze powiązanego z atakiem. Blokuje tę operację. Kończy proces. Wszystko zanim dojdzie do wykonania złośliwego kodu.
Na poziomie przeglądarki CrowdStrike Falcon Secure Access działa wewnątrz środowiska JavaScript. To tam rozgrywają się ataki. Wykorzystuje JavaScript Language Randomization (JSLR) - losowe środowisko, które stale się zmienia. Utrudnia wykorzystanie podatności jeszcze zanim powstanie łatka.
Do tego chroni tokeny sesji przed przejęciem i MFA bypass. Blokuje phishing i kradzież danych logowania w momencie, gdy to się dzieje.
I co ważne: działa jako lekki moduł wewnątrz przeglądarki. Obejmuje też urządzenia niezarządzane. Laptopy kontraktorów. Telefony współpracowników. Sprzęt firm trzecich. Na którego tradycyjny agent endpointowy może nie być zainstalowany

Praktyczne znaczenie dla firmy i dla administratora IT

Co zmienia się dla administratora

Dla IT oznacza to: nie trzeba budować oddzielnej strategii dla każdego nowego wektora ataku. Jeden sensor. Jedna platforma. Chroni zarówno przed operacjami na endpoincie, jak i sesją przeglądarki.
Brak kolejnych, niezależnych narzędzi do zarządzania. Mniej złożoności. Mniej headache'ów.

Co zmienia się dla zarządu

Dla właściciela czy dyrektora liczy się coś innego. Ryzyko, które nie zależy od tego, czy firma zdąży na czas przetestować i wdrożyć każdą łatkę.
Czytamy właśnie: atakujący coraz częściej wyprzedzają moment publikacji poprawki. Ochrona nie może opierać się wyłącznie na patchowaniu. To już nie wystarczy.
Znaczenie ma też, że ochrona przeglądarki obejmuje urządzenia niezarządzane. To ważne. Wiele firm nie ma pełnej kontroli nad każdym laptopem kontraktora czy telefonem współpracownika. A mimo to musi ograniczać ryzyko wycieku danych i przejęcia konta.

Podsumowanie

Atak nie musi wyglądać jak wirus, żeby wyrządzić rzeczywistą szkodę. Coraz częściej to kliknięcie przycisku „Zainstaluj" na stronie. Albo zwykła aktywność w przeglądarce.
Ochrona endpointów i XDR mają sens dopiero wtedy, gdy obejmują oba te obszary. Zachowanie procesów na urządzeniu plus to, co się dzieje wewnątrz przeglądarki. Nie tylko klasyczne skanowanie plików.
W nowoczesnym środowisku pracy, gdzie pracownicy logują się do SaaS, pobierają aplikacje i pracują zdalnie tego rodzaju ochrona to już standard, a nie luksus.

Chcesz zobaczyć, jak wygląda wdrożenie CrowdStrike Falcon w praktyce? Obejrzyj nagranie z Akademii Cyberbezpieczeństwa Net Complex:
Chcesz sprawdzić, jak to wyglądałoby u Ciebie? Porozmawiaj z naszym specjalistą o wdrożeniu CrowdStrike.
Marketing Specialist
Autor artykułu
Marketing Specialist
Oceń blog:
Czas czytania: 11 min
Data: 08.07.2026

Terminarz

prev

next

Lista najbliższych webinariów

03.09.2026
09:00 Warsztaty Hardening Windows – LAPS, Restricted Groups, Compliance Toolkit (1 dzień)
Warsztaty Hardening Windows – LAPS, Restricted Groups, Compliance Toolkit (1 dzień)
08.09.2026
09:00 Szkolenie Ansible z Windows i Active Directory
Szkolenie Ansible z Windows i Active Directory
10.09.2026
09:00 Szkolenie Ansible – automatyzacja infrastruktury IT bez agentów (2 dni)
Szkolenie Ansible – automatyzacja infrastruktury IT bez agentów (2 dni)
22.09.2026
09:00 Hardening Windows i Active Directory – Tiering, PAW, Jump Servers (warsztaty 1 dzień)
Hardening Windows i Active Directory – Tiering, PAW, Jump Servers (warsztaty 1 dzień)
22.09.2026
10:00 Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
newsletter
Chcesz wiedzieć więcej? Zapisz się na Newsletter i otrzymuj najnowsze informacje

Zobacz inne wpisy

Wiedza i świadomość na temat aktualnych cyberzagrożeń to podstawa dobrej taktyki bezpieczeństwa. Chcesz być na bieżąco z wydarzeniami ze świata cybersecurity? A może szukasz wskazówek jak zapewnić wyższy poziom cyberbezpieczeństwa w swojej firmie? Chcesz poznać topowe rozwiązania? Dobrze trafiłeś.

zobacz wszystkie wpisy
Agenci AI i bezpieczeństwo tożsamości – kto naprawdę działa w systemie? Autoryzacja i Zarządzanie Tożsamością
Ochrona endpointów i XDR – ataki, które nie wyglądają jak wirusy Extended Detection and Response (XDR)
Masz 29 minut. Jak szybko haker może przejąć firmę Endpoint Detection and Response (EDR)
Infostealery kradną sesje. Dlaczego MFA już nie wystarcza Autoryzacja i Zarządzanie Tożsamością
CrowdStrike Falcon Enterprise VELOCITY

CrowdStrike Falcon Enterprise VELOCITY

Velocity Falcon Enterprise to gotowy pakiet bezpieczeństwa oparty na technologii Falcon Enterprise, rozszerzający ochronę endpointów o EDR/XDR i threat hunting.

Wycena indywidualna
Zobacz więcej
CrowdStrike Falcon COMPLETE

CrowdStrike Falcon COMPLETE

Falcon Complete to w pełni zarządzana usługa MDR, w której CrowdStrike odpowiada za wykrywanie, analizę i reakcję na incydenty bezpieczeństwa.

Wycena indywidualna
Zobacz więcej
CrowdStrike Falcon ENTERPRISE

CrowdStrike Falcon ENTERPRISE

Falcon Enterprise rozszerza ochronę endpointów o EDR/XDR oraz threat hunting, zapewniając widoczność zdarzeń i możliwość reakcji na zaawansowane ataki.

Wycena indywidualna
Zobacz więcej