Embed Size (px)
Citation preview
www.microsoft.com/sir
Relatório de Análise de Segurança
da Microsoft
Volume 13
JANEIRO-JUNHO DE 2012
CONCLUSÕES PRINCIPAIS
JANEIRO–JUNHO DE 2012 3
Relatório de Análise de Segurança da Microsoft O presente documento destina-se apenas para fins informativos. A MICROSOFT
NÃO EFETUA QUALQUER GARANTIA EXPRESSA, IMPLÍCITA OU
ESTATUTÁRIA, RELATIVA ÀS INFORMAÇÕES EXISTENTES NESTE
DOCUMENTO.
Este documento é fornecido “tal como está”. As informações e opiniões expressas
neste documento, incluindo o URL e referências a outros Web sites da Internet
podem mudar sem aviso prévio. O adquirente é responsável pela sua utilização.
Copyright © 2012 Microsoft Corporation. Todos os direitos reservados.
Os nomes das empresas e produtos reais mencionados neste documento podem
ser marcas comerciais dos respetivos proprietários.
4 RELATÓRIO DE ANÁLISE DE SEGURANÇA DA MICROSOFT, VOLUME 13
Relatório de Análise de Segurança da Microsoft,
Volume 13
O Volume 13 do Relatório de Análise de Segurança da Microsoft® (SIRv13) fornece
perspetivas detalhadas sobre vulnerabilidades e exploits de software, ameaças de
código malicioso e software potencialmente indesejado em software Microsoft e de
terceiros. A Microsoft desenvolveu essas perspetivas com base em análises de
tendências detalhadas sobre os últimos anos, com especial atenção para o primeiro
semestre de 2012.
Este documento resume as principais conclusões do relatório. O relatóriocompleto
também inclui uma análise detalhada das tendências encontradas em mais de
100 países/regiões espalhados por todo o mundo, oferecendo métodos de gestão
de riscos para a sua organização, software e funcionários.
Pode transferir o relatório completo a partir de www.microsoft.com/sir.
JANEIRO–JUNHO DE 2012 5
Avaliação mundial de ameaças
Vulnerabilidades
As vulnerabilidades são pontos fracos no software que permitem a um atacante
comprometer a integridade, disponibilidade e confidencialidade do software ou
dos dados que processa. Algumas das piores vulnerabilidades permitem que os
atacantes explorem o sistema comprometido, fazendo com que execute código
malicioso sem o conhecimento do utilizador.
Figura 1. Tendências para gravidade de vulnerabilidades (CVE), complexidade de vulnerabilidades,
divulgações por fornecedor e divulgações por tipo, em toda a indústria de software, 2S09-1S121
As divulgações de vulnerabilidades em todo o setor no 1S12 cresceram 11,3
por cento a partir do 2S11 e 4,8 por cento a partir do 1S11.
1A nomenclatura utilizada ao longo deste relatório para consulta dos vários períodos de relatórios é nSAA, em que nS se refere ao primeiro (1) ou ao segundo (2) semestre do ano e AA representa o ano. Por exemplo, 2S09 representa o período que abrange o segundo semestre de 2009 (de 01 de julho a 31 de dezembro) e 1S12 representa o período relativo ao primeiro semestre de 2012 (de 01 de janeiro a 30 de junho).
6 RELATÓRIO DE ANÁLISE DE SEGURANÇA DA MICROSOFT, VOLUME 13
Este aumento reverte uma tendência de pequenas descidas em cada período
de seis meses de 2S09 a 2S11. A maior parte do aumento provém de
vulnerabilidades em aplicações, uma vez que as vulnerabilidades do sistema
operativo apresentam uma tendência contínua para a descida.
Exploits
Um exploit é um código malicioso que se aproveita das vulnerabilidades do
software para infetar, perturbar ou assumir o controlo de um computador sem o
consentimento do utilizador e, normalmente, sem o conhecimento do utilizador.
Os exploits são direcionados para vulnerabilidades em sistemas operativos,
browsers, aplicações ou componentes de software que são instalados no
computador. Para mais informações, transfira o SIRv13 completo em
www.microsoft.com/sir.
A Figura 2 mostra a prevalência de diferentes tipos de exploits detetados por
produtos antimalware Microsoft, trimestralmente, de 1T11 a 2T12, por número
de computadores exclusivos afetados.
Figura 2. Computadores exclusivos que reportam diferentes tipos de exploits, 1T11-2T12
JANEIRO–JUNHO DE 2012 7
O número de computadores que reportam exploits entregues por HTML ou JavaScript permaneceu elevado durante o primeiro semestre de 2012, impulsionado principalmente pela prevalência contínua do Blacole, a família de exploits mais detetada no 1S12.
Os exploits do Java, o segundo tipo de exploit mais detetado no 1S12, aumentaram ao longo do período, impulsionados pelo aumento da deteção de exploits para CVE-2012-0507 e CVE-2011-3544.
Os exploits que são direcionados para vulnerabilidades nos leitores e editores de documentos foram o terceiro tipo de exploit mais detetado durante o 1S12, principalmente devido à deteção de exploits que foram direcionados para versões mais antigas do Adobe Reader.
Famílias de exploits
A Figura 3 lista as famílias de exploits mais detetadas durante o primeiro semestre de 2012.
Figura 3 Principais famílias de exploits detetadas pelos produtos antimalware Microsoft no 1S12, por
número de computadores exclusivos com deteções, sombreadas de acordo com a prevalência relativa
Família de Exploits Plataforma ou Tecnologia
3T11 4T11 1T12 2T12
Blacole HTML/JavaScript 1.054.045 2.535.171 3.154.826 2.793.451
CVE-2012-0507* Java – – 205.613 1.494.074
Win32/Pdfjsc Documentos 491.036 921.325 1.430.448 1.217.348
IFrame Maliciosa HTML/JavaScript 1.610.177 1.191.316 950.347 812.470
CVE-2010-0840* Java 1.527.000 1.446.271 1.254.553 810.254
CVE-2011-3544 Java – 331.231 1.358.266 803.053
CVE-2010-2568 (MS10-046) Sistema Operativo 517.322 656.922 726.797 783.013
JS/Phoex Java – – 274.811 232.773
CVE-2008-5353 Java 335.259 537.807 295.515 215.593
ShellCode Shell code 71.729 112.399 105.479 145.352 * Esta vulnerabilidade também é utilizada pelo kit Blacole; aqui os totais indicados para essa vulnerabilidade excluem as deteções do Blacole.
8 RELATÓRIO DE ANÁLISE DE SEGURANÇA DA MICROSOFT, VOLUME 13
O Blacole, uma família de exploits utilizada pelo kit de exploits designado
“Blackhole” para entregar software malicioso através de páginas Web
infetadas, foi a família de exploits mais detetada no primeiro semestre de
2012. Os potenciais atacantes compram ou alugam o kit Blacole em fóruns de
hackers e através de outros meios ilegítimos. Consiste numa coleção de
páginas Web maliciosas que contêm exploits para vulnerabilidades em versões
do Adobe Flash Player, Adobe Reader, Microsoft Data Access Components
(MDAC), o Oracle Java Runtime Environment (JRE) e outros produtos e
componentes populares. Quando o atacante instala o kit Blacole num servidor
Web malicioso ou comprometido, os visitantes que não tenham as
atualizações de segurança adequadas instaladas estão em risco de infeção
através de um ataque durante a transferência.
JANEIRO–JUNHO DE 2012 9
Software maligno e potencialmente indesejado
Exceto onde especificado, as informações nesta secção foram compiladas a partir
de dados de telemetria gerados por mais de 600 milhões de computadores
espalhados pelo mundo inteiro e por alguns dos serviços online de maior tráfego
na Internet. As taxas de infeção são indicadas em computadores limpos por mil
(CCM) e representam o número de computadores reportados como limpos num
trimestre por cada 1.000 execuções da Ferramenta de Remoção de Software
Malicioso Windows®, que está disponível através do Microsoft Update e no
Web site Centro de Proteção e Segurança da Microsoft.
Para obter uma perspetiva sobre os padrões de infeção em todo o mundo,
a Figura 4 mostra as taxas de infeção nas localizações geográficas que utilizam
o CCM.As deteções e remoções em países/regiões individuais podem variar
significativamente de trimestre para trimestre.
Figura 4. Taxas de infeção por país/região no 2T12, por CCM
10 RELATÓRIO DE ANÁLISE DE SEGURANÇA DA MICROSOFT, VOLUME 13
Figura 5. Taxa de infeção (CCM) por sistema operativo e service pack no 2T12
“32”= edição de 32 bits; “64” = edição de 64 bits. SP = Service Pack. RTM = release to manufacturing.
São mostrados sistemas operativos com, pelo menos, 0,1 por cento do total de execuções do MSRT
no 2T12.
Estes dados são normalizados: a taxa de infeção para cada versão do Windows
é calculada comparando o mesmo número de computadores por versão (por
exemplo, 1.000 computadores com o Windows XP SP3 em comparação com
1.000 computadores com o Windows 7 RTM).
JANEIRO–JUNHO DE 2012 11
Famílias de ameaças
Figura 6. Tendências da deteção para um número de famílias notáveis, 3T11-2T12
As deteções genéricas, Win32/Keygen e Win32/Autorun, foram a primeira e
a segunda famílias mais detetadas no 1S12. Keygen é uma deteção genérica
para ferramentas que geram chaves para as versões obtidas ilegalmente de
vários produtos de software.
Autorun é uma deteção genérica para worms que se espalham entre os
volumes montados utilizando a funcionalidade de Execução Automática
do Windows. As recentes alterações na funcionalidade do Windows XP
e Windows Vista tornaram esta técnica menos eficaz, mas os atacantes
continuam a distribuir software maligno que tentam direcionar para essa
funcionalidade.
As deteções da família genérica JS/IframeRef aumentaram mais do dobro entre
o 1T12 e o 2T12 depois de vários trimestres de pequenas descidas. A
IframeRef é uma deteção genérica para etiquetas de frame incorporada
(IFrame) especialmente formadas em HTML, que apontam para Web sites
remotos com conteúdo malicioso.
12 RELATÓRIO DE ANÁLISE DE SEGURANÇA DA MICROSOFT, VOLUME 13
Ameaças domésticas e empresariais
A comparação das ameaças enfrentadas por computadores associados a um
domínio e por computadores não associados a um domínio pode fornecer
conhecimentos aprofundados sobre as diversas formas de ataque com que os
utilizadores se deparam na empresa e em casa, bem como quais são as ameaças
mais propensas a serem eficazes em cada ambiente.
Cinco famílias são comuns a ambas as listas, nomeadamente as famílias
genéricas Win32/Keygen e Win32/Autorun e a família de exploits Blacole.
As famílias que prevaleceram mais significativamente em computadores
associados ao domínio durante pelo menos um trimestre incluem a família
genérica JS/IframeRef e a família de worms Win32/Conficker.
As famílias que prevaleceram mais significativamente em computadores não
associados ao domínio incluem as famílias Keygen e adware JS/Pornpop e
Win32/Hotbar.
JANEIRO–JUNHO DE 2012 13
Utilização do Windows Update e Microsoft Update
Figura 7. Computadores com o Windows atualizado pelo Windows Update e Microsoft Update, em todo
o mundo, 2008–2012
A Figura 7 mostra o aumento do número de computadores atualizados pelo
Windows Update e Microsoft Update, em todo o mundo, ao longo dos
últimos quatro anos, indexado à utilização total para ambos os serviços
em 2008.
A utilização mundial do Windows Update e Microsoft Update aumentou em
60 por cento desde 2008. Quase todo esse crescimento é devido ao aumento
da utilização do Microsoft Update, que subiu 53 pontos percentuais entre
2008 e 2012, em comparação com 6 pontos percentuais do Windows Update.
O Windows Update fornece atualizações para os componentes do Windows
e para os controladores de dispositivos fornecidos pela Microsoft e outros
fornecedores de hardware. O Windows Update também distribui atualizações
de assinatura para produtos antimalware Microsoft e a divulgação mensal do
MSRT. Por predefinição, quando um utilizador permite a atualização
automática, o cliente da atualização estabelece a ligação ao serviço Windows
Update para obter atualizações.
14 RELATÓRIO DE ANÁLISE DE SEGURANÇA DA MICROSOFT, VOLUME 13
O Microsoft Update fornece todas as atualizações oferecidas pelo Windows
Update e fornece atualizações para outros softwares Microsoft, como o
Microsoft Office System, Microsoft SQL Server e Microsoft Exchange Server.
Os utilizadores podem optar pelo serviço ao instalar o software que é
disponibilizado através do Microsoft Update ou no Web site do Microsoft
Update (update.microsoft.com/microsoftupdate). A Microsoft recomenda que
os utilizadores configurem os computadores de modo a utilizarem o Microsoft
Update em vez do Windows Update para ajudar a garantir que recebem
atualizações de segurança oportunas de produtos Microsoft.
JANEIRO–JUNHO DE 2012 15
Ameaças por correio eletrónico
Mensagens de spam bloqueadas
As informações nesta secção do Relatório de Análise de Segurança da Microsoft são
compiladas a partir dos dados de telemetria fornecidos pelo Microsoft Exchange
Online Protection, que fornece serviços de filtragem de spam, phishing, software
maligno para milhares de clientes Enterprise da Microsoft que processam dezenas
de milhares de milhões de mensagens por mês.
Figura 8. Mensagens bloqueadas pelo Exchange Online Protection, julho de 2011-junho de 2012
Os volumes de correio bloqueados no 1S12 foram consistentes com os do
2S11 e permanecem bem abaixo dos níveis observados antes do final de 2010.
A descida acentuada nas mensagens de spam observada ao longo do passado
ano e meio ocorreu na sequência da desativação bem sucedida de um número
de botnets que enviavam mensagens de spam em grande escala,
nomeadamente Cutwail (agosto de 2010) e Rustock (março de 2011).
16 RELATÓRIO DE ANÁLISE DE SEGURANÇA DA MICROSOFT, VOLUME 13
Figura 9. Mensagens bloqueadas pelo Exchange Online Protection em cada semestre, 2S08–1S12
Figura 10. Mensagens de entrada bloqueadas pelos filtros do Exchange Online Protection no 1S12, por
categoria
Os filtros de conteúdo do FOPE reconhecem os diferentes tipos comuns de
mensagens de spam. A Figura 10 mostra a prevalência relativa dos tipos de
spam que foram detetados no 1S12.
JANEIRO–JUNHO DE 2012 17
Web sites maliciosos
Os sites de phishing são alojados em todo o mundo em sites de alojamento
gratuito, em servidores Web comprometidos e em inúmeros outros contextos.
Figura 11. Sites de phishing por cada 1.000 sistemas anfitrião da Internet para localizações em todo o
mundo no 2T12
Os Estados Unidos, com o maior número de sistemas anfitrião, também têm um
grande número de sites de phishing (2,9 por 1.000 sistemas anfitrião da Internet
no 2T12); a China, com o segundo maior número de sistemas anfitrião, tem uma
concentração muito menor de sites de phishing (0,6 por 1.000 sistemas anfitrião
da Internet).
Figura 12. Sites de distribuição de software maligno por 1.000 sistemas anfitrião da Internet para
localizações em todo o mundo no 2T12
18 RELATÓRIO DE ANÁLISE DE SEGURANÇA DA MICROSOFT, VOLUME 13
Um site de transferência é um Web site que aloja um ou mais exploits que são
direcionados para vulnerabilidades nos browsers e nos suplementos do browser.
Os utilizadores com computadores vulneráveis podem ser infetados com software
maligno simplesmente por visitarem um Web site deste tipo, mesmo sem
tentarem efetuar qualquer transferência.
Figura 13. Páginas da transferência indexadas pelo Bing.com no final do 2T12, por 1.000 URLs em cada
país/região
Este documento resume as principais conclusões do relatório. O relatóriocompleto
também inclui uma análise detalhada das tendências encontradas em mais de
100 países/regiões espalhados por todo o mundo, oferecendo métodos de gestão
de riscos para a sua organização, software e funcionários.
Pode transferir o relatório completo a partir de www.microsoft.com/sir.
One Microsoft Way
Redmond, WA 98052-6399
microsoft.com/security
