Число EoP-уязвимости выросло почти в два раза

По данным исследований, доля инцидентов, где повышение привилегий использовалось как один из этапов развития атаки, выросла с 34% в январе-мае 2025 года до 41% за тот же период 2026 года.

Рост EoP-уязвимостей связан не только с увеличением числа найденных ошибок в программном обеспечении. Меняется роль таких уязвимостей в практических атаках. Первичный доступ сам по себе все реже дает атакующему нужный результат. У него может быть пароль сотрудника, доступ к рабочей станции после фишингового письма, скомпрометированная учетная запись подрядчика, уязвимый внешний сервис или ошибка в веб-приложении. Но этот доступ часто ограничен правами обычного пользователя, отдельным сегментом или конкретным приложением. Для перехода к серверам, базам данных, системам резервного копирования, средствам администрирования и хранилищам учетных данных атакующему требуется следующий шаг. Повышение привилегий закрывает именно эту задачу.

Практическая опасность таких уязвимостей хорошо видна на примере CVE-2025-29824 в Windows Common Log File System. Microsoft описывала ее как уязвимость повышения привилегий, которая использовалась уже после первоначальной компрометации и могла помогать злоумышленникам развивать атаку до развертывания ransomware. Поэтому EoP-уязвимости нельзя считать второстепенными только потому, что они часто требуют уже полученного доступа к системе.

Сильнее всего рост EoP-уязвимостей проявился в сетевой инфраструктуре. В этой категории показатель увеличился на 266% по сравнению с 2025 годом. Для маршрутизаторов, межсетевых экранов, коммутаторов, VPN-шлюзов и балансировщиков нагрузки это особенно опасно: такие устройства находятся между сегментами сети и часто влияют на маршрутизацию, доступность сервисов и административную связность. В базах данных число EoP-уязвимостей выросло на 221%, в браузерах — на 183%, в операционных системах — на 176%. В корпоративных приложениях рост составил 117%, в средствах защиты — 107%, в мобильных платформах — 85%, в офисном программном обеспечении — 82%. Отдельно выделяются рабочие станции на macOS: число EoP-уязвимостей в этой среде выросло на 5600%, тогда как в Windows — на 43%. Такой разрыв особенно заметен для компаний, где Mac-устройства используются разработчиками, руководителями, финансовыми и продуктовыми командами.

На рабочих станциях и серверах работает все больше компонентов с расширенными правами: агенты защиты, службы обновления, средства удаленного администрирования, драйверы, программы резервного копирования, системы мониторинга, локальные модули корпоративных приложений, расширения браузеров. Многие из них взаимодействуют с системными службами, ядром операционной системы, журналами безопасности или административными интерфейсами. Ошибка в проверке полномочий, неверные права на каталог, небезопасный механизм обновления, уязвимый драйвер или некорректная обработка служебного запроса могут дать атакующему уровень доступа, которого у него не было после проникновения.

Разбивка по векторам атак за первые пять месяцев 2026 года показывает, что повышение привилегий чаще всего используется после эксплуатации внешне доступных сервисов. На веб-интерфейсы корпоративных приложений, административные панели, порталы и сервисы удаленного доступа пришлось 31% сценариев. Еще 24% составили атаки, где удаленное выполнение кода сочеталось с последующим повышением прав на сервере, сетевом устройстве или рабочей станции. В 18% случаев начальным этапом был фишинг с запуском кода от имени пользователя, после чего применялась локальная EoP-уязвимость. В 15% сценариев использовались украденные учетные данные для входа через VPN, протокол удаленного рабочего стола или административные консоли, а повышение привилегий выполнялось уже внутри периметра. На цепочки, связанные со средами разработки, служебными учетными записями, вредоносными пакетами и скриптами, пришлось 7%. Еще 5% были связаны с браузерными и мобильными цепочками, где повышение прав позволяло выйти за пределы изолированной среды приложения.

Отраслевой разрез показывает, что наиболее подвержены таким сценариям организации с большим количеством привилегированных учетных записей, разнородной инфраструктурой и ограниченными окнами для обновлений. На промышленность и энергетику пришлось 24% наблюдений: в этих сегментах сохраняются технологические системы, устаревшие операционные среды и оборудование, которое нельзя быстро обновить без проверки влияния на производственный процесс. Финансовый сектор занял 19% из-за высокой концентрации платежных систем, внутренних сервисов, административных контуров и учетных записей с расширенными правами. ИТ-компании и разработчики сформировали 16% наблюдений, поскольку повышение привилегий может открывать путь к средам сборки, исходному коду, внутренним репозиториям и ключам доступа. На ретейл и электронную коммерцию пришлось 14%, прежде всего из-за кассовой инфраструктуры, систем лояльности, личных кабинетов и интеграций с поставщиками. Телекоммуникации составили 11%, государственный сектор – 9%, транспорт и логистика – 7%.

Снижать риск необходимо через пересмотр приоритизации уязвимостей и контроля прав. EoP-уязвимости нельзя оценивать только по базовой оценке CVSS: значение имеет расположение уязвимого узла, уровень прав затронутого компонента, доступность системы из смежных сегментов и вероятность включения ошибки в цепочку атаки. В первую очередь требуют обновления операционные системы, сетевое оборудование, браузеры, средства защиты, системы удаленного администрирования, резервного копирования и корпоративные приложения с привилегированными службами. Отдельного контроля требуют локальные администраторы, сервисные учетные записи, драйверы, агенты мониторинга, службы обновления и компоненты, работающие от имени системы. Практический минимум для компаний включает инвентаризацию привилегированных прав, сокращение числа постоянных локальных администраторов, регулярную проверку групп и ролей, ограничение запуска скриптов и административных утилит, сегментацию рабочих станций и серверов, контроль попыток повышения прав и сокращение сроков установки исправлений для уязвимостей, которые могут использоваться после первичного доступа. Чем меньше у атакующего возможностей поднять уровень доступа, тем сложнее ему перейти от одной скомпрометированной точки к системам, от которых зависит непрерывность бизнеса.