microsoft security intelligence report (pt)
DESCRIPTION
O volume 8 do Relatório de inteligência de segurança da Microsoft fornece perspectivas profundas sobre software mal-intencionado e potencialmente indesejado, exploits de software, brechas de segurança e vulnerabilidades de softwares da Microsoft e de terceiros. A Microsoft desenvolveu essas perspectivas baseando-se em análises detalhadas realizadas nos últimos anos, com enfoque no segundo semestre de 2009.TRANSCRIPT
Relatório de inteligência de segurança da Microsoft Volume 8 (julho a dezembro de 2009)
Resumo das principais descobertas
Introdução O volume 8 do Relatório de inteligência de segurança da Microsoft® fornece perspectivas profundas sobre
software mal-intencionado e potencialmente indesejado, exploits de software, brechas de segurança e
vulnerabilidades de softwares da Microsoft e de terceiros. A Microsoft desenvolveu essas perspectivas baseando-
se em análises detalhadas realizadas nos últimos anos, com enfoque no segundo semestre de 2009 (2H09)1.
Este documento resume as principais descobertas do relatório. O Relatório de inteligência de segurança completo
também inclui análises detalhadas das tendências encontradas em mais de 26 países/regiões do mundo e oferece
estratégias, medidas atenuantes e contramedidas que podem ser usadas para gerenciar as ameaças
documentadas neste relatório.
O Relatório de inteligência de segurança completo, além dos volumes anteriores desse relatório e vídeos
relacionados, pode ser baixado em www.microsoft.com/sir.
O cenário de ameaças do computador muda constantemente. Como as ameaças continuam evoluindo desde
hackers mal-intencionados que buscam a notoriedade até criminosos organizados que roubam dados para ganhar
dinheiro, a preocupação do público continua aumentando. A Microsoft elaborou a Computação confiável
(Trustworthy Computing - TwC) em 2002, a fim de se comprometer com uma estratégia de fornecimento de
experiências de computação mais seguras, privadas e confiáveis para os seus clientes.
A segurança do TwC inclui três centros de tecnologia que trabalham em conjunto para solucionar problemas de segurança e fornecer os serviços, as informações e as respostas necessárias para compreender melhor o cenário de ameaças em constante evolução, ajudar a proteger os clientes de ameaças online e compartilhar o conhecimento com o ecossistema de segurança mais amplo. Esses três centros de segurança incluem:
O Microsoft Malware Protection Center
O Microsoft Security Response Center
O Microsoft Security Engineering Center
Os blogs desses três centros de segurança, bem como outros blogs como o Data Privacy Imperative, podem ser
encontrados em www.microsoft.com/twc/blogs.
Os dados e a análise neste Resumo das principais descobertas e no Relatório de inteligência de segurança completo
são apresentados sob a perspectiva desses três centros e de seus parceiros em vários grupos de produtos
Microsoft.
1 A nomenclatura usada ao longo do relatório para fazer referência aos diferentes períodos do relatório é nHYY, onde nH se
refere ao primeiro (1) ou ao segundo (2) semestre do ano, e YY indica o ano. Por exemplo, 2H09 representa o período que abrange o segundo semestre de 2009 (de 1º de julho a 31 de dezembro), e 2H08 representa o período que abrange o segundo semestre de 2008 (de 1º de julho a 31 de dezembro).
Principais descobertas do Centro de proteção contra malware da Microsoft
Tendências mundiais de softwares maliciosos e potencialmente indesejados Os produtos de segurança da Microsoft obtêm consentimento do usuário para coletar dados de mais de 500
bilhões de computadores em todo o mundo e de alguns dos serviços online mais utilizados da Internet. A análise
desses dados proporciona uma perspectiva abrangente e única da atividade de softwares mal-intencionados ou
potencialmente indesejados em todo o mundo.
Tendências por localidade
Figura 1: Os 15 principais países com mais computadores desinfectados pelos produtos antimalware para estações de trabalho da Microsoft no 2H09 (o Relatório de inteligência de segurança inclui os 25 países mais importantes)
País/Região Computadores desinfectados (2H09)
Computadores desinfectados (1H09)
Alterar
1 Estados Unidos 15.383.476 13.971.056 10,1% ▲
2 China 3.333.368 2.799.456 19,1% ▲
3 Brasil 2.496.674 2.156.259 15,8%▲
4 Reino Unido 2.016.132 2.043.431 -1,3%▼
5 Espanha 1.650.440 1.853.234 -10,9%▼
6 França 1.538.749 1.703.225 -9,7%▼
7 Coreia 1.367.266 1.619.135 -15,6%▼
8 Alemanha 1.130.632 1.086.473 4,1%▲
9 Canadá 967.381 942.826 2,6%▲
10 Itália 954.617 1.192.867 -20,0%▼
11 México 915.786 957.697 -4,4%▼
12 Turquia 857.463 1.161.133 -26,2%▼
13 Rússia 677.601 581.601 16,5%▲
14 Taiwan 628.202 781.214 -19,6%▼
15 Japão 609.066 553.417 10,1% ▲
Mundial 41.024.375 39.328.515 4,3%▲
Dois dos maiores aumentos na quantidade de computadores desinfectados foram verificados na China e no Brasil, que apresentaram aumento de 19,1% e 15,8% em relação ao 1H09, respectivamente. Grande parte desse aumento se deve ao lançamento, em setembro de 2009, do Microsoft Security Essentials, uma solução antimalware para computadores residenciais que está disponível gratuitamente para usuários com licenças do Windows. A China e o Brasil se destacaram como sendo os primeiros a adotar a solução Security Essentials.
Muitos países registraram reduções significativas nas taxas de infecção:
A maior redução na quantidade de computadores desinfectados é indicada pela taxa de 26,2% da Turquia, o que pode ser atribuído principalmente à redução da preponderância do Win32/Taterf e do Win32/Frethog, dois ladrões de senhas que visam jogadores de jogos online.
A redução da preponderância do Taterf e do Frethog é a grande responsável pela redução de 19,6% em Taiwan.
O declínio de 20% da Itália deve-se, basicamente, ao declínio acelerado nas detecções do Win32/Wintrim da família Cavalo de Troia.
Figura 2: Taxas de infecção por país/região no 2H09, expressas em CCM
2, para países com média de pelo menos 1 milhão de
execuções mensais da MSRT no 2H09
Há CCMs para mais de 200 países/regiões no Relatório de inteligência de segurança completo. Figura 3: Categorias de ameaças no mundo inteiro e nos oito países que detêm a maioria dos computadores infectados, segundo a incidência entre todos os computadores desinfectados pelos produtos antimalware para estações de trabalho da Microsoft, no 2H09
Os ambientes de ameaça nos Estados Unidos e no Reino Unido são muito similares. Ambos os países têm
praticamente a mesma proporção de categorias de ameaça, e 7 das 10 principais famílias desses países são as mesmas. Os diversos tipos de cavalos de Troia são responsáveis pela maior categoria única de ameaça. As famílias Win32/FakeXPA, Win32/Renos e Win32/Alureon estão no topo da lista dos dois países.
2 Para produzir uma medição eficiente de infecções que possa ser usada para comparar populações de computadores de
diferentes países, as taxas de infecção deste relatório são expressas usando uma métrica denominada "computadores desinfectados por milhar", ou CCM, a qual representa a quantidade de computadores desinfectados relatados a cada 1.000 execuções da MSRT. (O M de CCM significa "mille", uma palavra latina que significa milhar.)
-10%
0%
10%
20%
30%
40%
50%
60%
Mundial EstadosUnidos
China Brasil Reino Unido Espanha França Coreia Alemanha
Misc. Cavalos de Troia WormsDownloaders e droppers de cavalos de Troia Misc. Softwares potencialmente indesejadosAdware Ladrões de senha e ferramentas de monitoramentoBackdoors VírusExploits Spyware
Na China, várias das ameaças predominantes são famílias localizadas que não aparecem na lista das principais ameaças de nenhum outro país. Essas ameaças incluem algumas versões do Win32/BaiduSobar — uma barra de ferramentas de navegador em chinês — e ladrões de senha como o Win32/Lolyda e o Win32/Ceekat, que atacam vários jogos online populares na China.
No Brasil, a categoria "Ladrões de senha e ferramentas de monitoramento" é a categoria mais comum, principalmente devido à existência de uma grande quantidade de ladrões de senha em português que visam a usuários de bancos online brasileiros. Win32/Bancos é o mais comum desses ladrões de senhas.
A Coreia está dominada pelos worms, principalmente o Win32/Taterf, que visa aos usuários de jogos online. A prevalência do Taterf na Coreia pode ter como causa parcial a propensão do worm de se espalhar facilmente nas cafeterias com acesso à Internet e em centros de jogos em rede, populares neste país.
Tendências por sistema operacional Figura 4: Quantidade de computadores desinfectados a cada 1.000 execuções de MSRT, por sistema operacional, no 2H09
Como em períodos anteriores, as taxas de infecção para sistemas operacionais e service packs lançados mais
recentemente são, de forma consistente, inferiores às anteriores, tanto para plataformas cliente quanto para plataformas de servidor.
O Windows 7, lançado no 2H09, e o Windows Vista® com Service Pack 2 têm taxas de infecção mais baixas que qualquer outra plataforma do gráfico. As versões de 64 bits do Windows 7 e do Windows Vista SP2 tiveram taxas de infecção inferiores (1,4 para
ambas) àquelas de qualquer outra configuração de sistema operacional no 2H09, apesar de as duas versões de 32 bits terem apresentado taxas de infecção inferiores à metade das taxas do Windows XP com o service pack mais atualizado, o SP3.
Para sistemas operacionais com service packs, cada service pack sucessivo apresenta uma taxa de infecção inferior àquela do seu predecessor. A taxa de infecção do Windows XP com SP3 é inferior à metade daquela do SP2, e inferior a um terço
daquela do SP1. Do mesmo modo, o Windows Vista SP2 possui uma taxa de infecção inferior àquela do SP1, que possui
uma taxa de infecção inferior à do Windows Vista RTM. Nos sistemas operacionais de servidor, a taxa de infecção do Windows Server® 2008 com SP2 é 3,0, o que
é 20% inferior àquela do seu predecessor, o Windows Server 2008 RTM.
A figura a seguir mostra a consistência dessas tendências ao longo do tempo, indicando as taxas de infecção de diferentes versões das edições de 32 bits do Windows XP e do Windows Vista para cada período de seis meses entre o 1H07 e o 2H09.
21.7
14.5
7.0 5.4
3.6 2.2 2.8 3.6 3.0
4.5 2.9 2.3
1.4 1.4
4.7 3.6 3.0
1.8
0.0
5.0
10.0
15.0
20.0
25.0
WindowsXP SP1
WindowsXP SP2
WindowsXP SP3
WindowsVistaRTM
WindowsVista SP1
WindowsVista SP2
Windows7 RTM
Windows2000 SP4
WindowsServer
2003 SP2
WindowsServer2008RTM
WindowsServer
2008 SP2
WindowsServer
2008 R2
32 bits
64 bits
Figura 5: Tendências do CCM para versões de 32 bits do Windows XP e do Windows Vista, 1H07–2H09
Tendência por categoria em todo o mundo
Figura 6: As 10 principais famílias de softwares malware e potencialmente indesejados detectadas pelos produtos antimalware para estações de trabalho da Microsoft no 2H09 (o Relatório de inteligência de segurança completo inclui as 25 famílias mais importantes)
Família Categoria mais significativa Computadores desinfectados (2H09)
1 Win32/Taterf Worms 3.921.963
2 Win32/Renos† Downloaders e droppers de cavalos de Troia 3.640.697
3 Win32/FakeXPA* Cavalos de Troia diversos 2.939.542
4 Win32/Alureon† Cavalos de Troia diversos 2.694.128
5 Win32/Conficker† Worms 1.919.333 3
6 Win32/Frethog Ladrões de senha e ferramentas de monitoramento
1.823.066
7 Win32/Agent Cavalos de Troia diversos 1.621.051
8 Win32/BaiduSobar Misc. Softwares potencialmente indesejados 1.602.230
9 Win32/GameVance Adware 1.553.646
10 Win32/Hotbar Adware 1.476.838
No geral, as detecções das principais ameaças apresentam uma considerável margem de redução em relação ao primeiro semestre de 2009.
No 1H09, as ferramentas antimalware para estações de trabalho da Microsoft removeram 7 famílias de, pelo menos, 2 milhões de computadores, em comparação com apenas 4 famílias no 2H09.
3 A Shadowserver Foundation, que rastreia infecções ativas do Win32/Conficker, relatou que 4,6 milhões de computadores infectados pelo Conficker estavam
sendo rastreados pelos sinkholes operados pela Shadowserver no último dia do 2H09, menos do que os 5,2 milhões do último dia do 1H09. Às vezes, a contagem dos malwares encontrados e desinfectados pelo software antimalware pode gerar números muito diferentes das estimativas produzidas através da observação dos computadores infectados ativos, e não há consenso sobre o método preferível.
0.0
5.0
10.0
15.0
20.0
25.0
30.0
35.0
40.0
1H07 2H07 1H08 2H08 1H09 2H09
Windows XP RTM
Windows XP SP1
Windows XP SP2
Windows XP SP3
Windows Vista RTM
Windows Vista SP1
Windows Vista SP2
Windows 7 RTM
O asterisco (*) indica família de software de segurança não autorizado. A cruz (†) indica família que foi observada fazendo download de software de segurança não autorizado.
Até mesmo o Win32/Taterf, a família mais importante no 2H09, foi removido de quase 1 milhão de computadores a menos nesse período do que no 1H09.
O Taterf, que infectou 3,9 milhões de computadores no 2H09, é significativamente menos importante que a principal família do 1H09 — Win32/Zlob — que foi removida de 9 milhões de computadores nesse período.
Vários invasores usam downloaders de cavalo de Troia e droppers de cavalo de Troia, tais como Win32/Renos e ASX/Wimad (a 2ª e a 11ª famílias mais comuns no 2H09, respectivamente) para distribuir aos computadores outras ameaças, como botnets, invasores e ladrões de senhas.
Em geral, o cenário de malwares no 2H09 foi marcado por uma maior diversidade de famílias moderadamente predominantes, com menos famílias únicas dominando o topo da lista, com números de remoções muito grandes. A rápida adoção do Microsoft Security Essentials também pode ser parcialmente responsável pela redução nas remoções.
Tendências na proliferação de amostras Os autores de malware tentam escapar da detecção ao liberar, continuamente, novas variantes, num esforço para sobrepujar a liberação de novas assinaturas por parte dos fornecedores de antivírus. Uma maneira de determinar quais famílias e categorias de malware estão mais ativas no momento é contar amostras exclusivas.
Figura 7: Amostras exclusivas enviadas ao MMPC, por categoria, 1H09–2H09
Categoria 2H09 1H09 Diferença Vírus 71.991.221 68.008.496 5,9% ▲
Cavalos de Troia diversos 26.881.574 23.474.539 14,5% ▲
Downloaders e droppers de cavalos de Troia
9.107.556 6.251.286 45,7% ▲
Misc. Softwares potencialmente indesejados
4.674.336 2.753.008 69,8% ▲
Adware 3.492.743 3.402.224 2,7% ▲
Exploits 3.341.427 1.311.250 154,8% ▲
Worms 3.006.966 2.707.560 11,1% ▲
Ladrões de senha e ferramentas de monitoramento
2.217.902 7.087.141 -68,7% ▼
Backdoors 812.256 589.747 37,7% ▲
Spyware 678.273 269.556 151,6% ▲
Total 126.204.254 115.854.807 8,9%
Mais de 126 milhões de amostras mal-intencionadas foram detectadas no 2H09.
A redução na categoria "Ladrões de senha e ferramentas de monitoramento" ocorreu, principalmente, no Win32/Lolyda, que caiu de 5,7 milhões de amostras no 1H09 para menos de 100.000 no 2H09.
O aumento na categoria "Spyware" ocorreu, principalmente, no Win32/ShopAtHome, que no 2H09 tinha quase o quíntuplo das amostras exclusivas do período anterior.
O grande número de amostras de vírus decorre do fato de que os vírus podem infectar vários arquivos diferentes, sendo cada um deles uma amostra exclusiva. Portanto, as contagens de amostras de vírus não devem ser consideradas como indicativo de grandes quantidades de variedades verdadeiras dessas famílias.
Software de segurança não autorizado O software de segurança não autorizado — um software que exibe alertas falsos ou enganosos sobre infecções ou vulnerabilidades no computador da vítima e que oferece a correção dos supostos problemas por determinado preço — tem se tornado um dos métodos mais comuns para os invasores usurparem o dinheiro das vítimas.
Figura 8: Falsos "exames de segurança" das variantes do Win32/FakeXPA, a família de software não autorizado predominante no 2H09
Os produtos de segurança da Microsoft desinfectaram malwares relacionados com software de segurança não autorizado em 7,8 milhões de computadores no 2H09, acima dos 5,3 milhões de computadores do 1H09. Trata-se de um aumento de 46,5%, o que sugere que o software de segurança não autorizado proporciona aos seus distribuidores um grande retorno, se comparado com algum outro tipo de ameaça menos predominante.
A família de software de segurança não autorizado Win32/FakeXPA foi a terceira ameaça mais comum detectada pelos produtos de segurança para estações de trabalho da Microsoft em todo o mundo no 2H09. Outras três — Win32/Yektel, Win32/Fakespypro e Win32/Winwebsec — ficaram em 11º, 14º e 17º lugares, respectivamente.
Um detalhamento geográfico completo dos locais nos quais a Microsoft encontra a maioria dos softwares de segurança não autorizados e as principais famílias dessas ameaças em cada região encontra-se no Relatório de inteligência de segurança completo.
Três novos vídeos voltados para o consumidor foram publicados em http://www.microsoft.com/protect com o objetivo de instruir os consumidores sobre a crescente ameaça à segurança e à privacidade por parte dos softwares de segurança não autorizados.
Cenário de ameaças na residência x empresa Os dados sobre infecção gerados pelos produtos e ferramentas antimalware para estações de trabalho da
Microsoft informam se o computador infectado pertence a um domínio de Serviços de Domínio do Active
Directory®. Os domínios são usados quase que exclusivamente em ambientes empresariais, e os computadores
que não pertencem a um domínio são mais provavelmente usados na residência ou em outros contextos não
empresariais. A comparação das ameaças encontradas pelos computadores de domínio e pelos computadores que
estão fora do domínio pode proporcionar uma percepção sobre as diferentes maneiras usadas pelos invasores
para atacar usuários empresariais e residenciais e quais ameaças são mais prováveis de acontecer em cada
ambiente.
Figura 9: Detalhamento das categorias de ameaças para computadores com e sem domínio no 2H09
Os computadores que ingressaram no domínio tinham muito mais probabilidade de encontrar worms do que os computadores que estão fora de domínio, principalmente devido à forma de propagação dos worms. Geralmente, os worms se espalham com maior eficiência por meio de compartilhamento de arquivos não protegidos e volumes de armazenamento removíveis, sendo ambos frequentemente numerosos nos ambientes empresariais e menos comuns nas residências.
Os worms foram responsáveis por 4 das 10 principais famílias detectadas em computadores associados a um domínio.
O Win32/Conficker, que utiliza vários métodos de propagação que funcionam com maior eficácia em um ambiente típico de rede corporativa do que pela Internet pública, lidera a lista com grande vantagem.
Do mesmo modo, o Win32/Autorun, que visa às unidades removíveis, era mais comum em ambientes de domínio nos quais os volumes eram frequentemente usados para trocar arquivos.
Contrastivamente, as categorias "Adware" e "Cavalos de Troia diversos" são muito mais comuns em computadores que estão fora de domínio.
Ameaças por email Os dados desta seção são baseados em emails filtrados pelo Microsoft Forefront Online Protection for Exchange
(FOPE), que oferece serviços de filtragem de spam, phishing e malware a milhares de clientes empresariais.
As mensagens de spam associadas à fraude de taxa adiantada (os chamados "419 scams") e a jogos aumentaram
significativamente no 2H09. A maioria das outras categorias permaneceu relativamente estável em termos
percentuais.
31.5%
17.8% 16.4%
12.5%
7.3%
4.5% 4.1% 2.9% 2.5%
0.6%
14.8%
25.4%
13.1%
15.2%
9.0%
4.4% 3.2%
1.9%
11.5%
1.5%
0%
5%
10%
15%
20%
25%
30%
35%
Worms Misc. Cavalos deTroia
Misc. Softwarespotencialmente
indesejados
Downloaders edroppers de
cavalos de Troia
Ladrões desenha e
ferramentas demonitoramento
Backdoors Vírus Exploits Adware Spyware
Computadores do domínio
Computadores não-domínio
Uma fraude de taxa antecipada é um abuso de confiança comum, no qual o remetente de uma mensagem alega ter direito a uma grande soma em dinheiro, mas à qual não tem acesso direto por algum motivo. Geralmente, o motivo especificado envolve formalidades burocráticas ou corrupção na política. O remetente pede à futura vítima um empréstimo temporário a ser usado para subornar funcionários ou para pagar taxas, a fim de obter a liberação de toda a quantia. Em troca, o remetente promete ao "alvo" uma parte da fortuna, que é uma soma muito superior ao empréstimo original.
Geralmente, essas mensagens estão associadas à Nigéria ("419" se refere ao artigo do Código Criminal da Nigéria que lida com fraude) e outros países da África Ocidental, incluindo Serra Leoa, Côte d'Ivoire (Costa do Marfim) e Burquina Faso.
Figura 10: Mensagens de entrada bloqueadas por filtros de conteúdo do FOPE, por categoria, 2H08–2H09
Figura 11: Os 5 principais países no envio de spams, por percentual de todos os spams enviados, no 2H09
País Percentual 1 Estados Unidos 27,0% 2 Coreia 6,9% 3 China 6,1% 4 Brasil 5,8% 5 Rússia 2,9%
As redes de botnets e spams de computadores infectados com malware que podem ser controlados remotamente
por um invasor são responsáveis por muitos ou por grande parte dos spams enviados atualmente. Para medir o
impacto dos botnets no cenário de spams, o FOPE monitora as mensagens de spam enviadas a partir de endereços
IP que foram relacionados como sendo endereços associados a botnets conhecidos.
-1%
1%
3%
5%
7%
9%
11%
2H08 1H09 2H09
419 Scams
Apenas imagens
Farmacêutico -conteúdo sexual
Apostas
Encontros/Materiaissexualmente explícitos
Diplomas fraudulentos
Financeiros
Phishing
Fique rico rapidamente
Malware
Ações
Software
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Sites de redessociais
Serviços online
Sites de comércioeletrônico
Sites financeiros
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Sites de redessociais
Serviços online
Sites de comércioeletrônico
Sites financeiros
Figura 12: Um pequeno número de botnets é responsável pelo envio de praticamente todos os spams de botnet observados no 2H09 (o Relatório de inteligência de segurança completo inclui mais detalhes)
Sites mal-intencionados Conforme publicado em volumes anteriores do Relatório de inteligência de segurança, as propriedades das redes
sociais sofreram o maior volume total de incidências de phishing, bem como o maior índice de incidências de
phishing por site. As instituições financeiras receberam o menor volume de incidências de phishing por site,
embora tenham sido alvo, de longe, do maior volume total de sites fraudulentos diferentes. A figura a seguir
mostra o percentual de incidências de phishing registradas pela Microsoft em cada mês do 2H09 para cada um dos
tipos de instituição mais frequentemente atacados.
Figura 13: À esquerda: Incidências para cada tipo de site de phishing em cada mês do 2H09 | À direita: Sites de phishing ativos rastreados em cada mês, por tipo de destino, no 2H09
Rustock 39.7%
Bagle-cb 28.6%
Cutwail 10.4%
Lethic 8.6%
Grum 6.7%
Donbot 1.8%
DarkMailer 1.6%
Todos os outros 2.5%
Figura 14: Detalhamento por categoria de ameaças hospedadas em URLs bloqueadas pelo filtro SmartScreen no 1H09 e 2H09
As categorias "Diversos softwares potencialmente indesejados" e "Cavalos de Troia diversos" dominaram a lista nos dois períodos.
A categoria "Downloaders e droppers de cavalos de Troia", que praticamente predominou tanto quanto Cavalos de Troia diversos no 1H09, caiu aproximadamente 50% no segundo semestre do ano, enquanto Exploits mais do que dobrou.
Principais descobertas do Microsoft Security Response Center
Identificação das vulnerabilidades mais comuns na indústria Vulnerabilidades são pontos fracos do software que permitem a um invasor comprometer a integridade, a
disponibilidade ou a confidencialidade daquele software. Algumas das vulnerabilidades mais graves permitem que
os invasores executem códigos arbitrários em um computador comprometido. Uma divulgação — como o termo é
usado neste relatório — é a revelação da vulnerabilidade de um software ao público em geral. Não faz referência a
nenhum tipo de divulgação privada nem de divulgação para um número limitado de pessoas.
Figura 15: À esquerda: Divulgações das vulnerabilidades mais comuns na indústria por semestre, 1H06–2H09 | À direita: Divulgações das vulnerabilidades mais comuns na indústria por gravidade, 1H06–2H09
0%
5%
10%
15%
20%
25%
30%
35%
40%
45%
Misc. Softwarespotencialmente
indesejados
Misc. Cavalos deTroia
Exploits Downloaders edroppers de
cavalos de Troia
Ladrões de senhae ferramentas demonitoramento
Worms Backdoors Vírus Adware Spyware
1H09
2H09
0
500
1000
1500
2000
2500
3000
3500
1H06 2H06 1H07 2H07 1H08 2H08 1H09 2H09
0200400600800
100012001400160018002000
1H06 2H06 1H07 2H07 1H08 2H08 1H09 2H09
Severidade alta Severidade média
Severidade baixa
A identificação de vulnerabilidades no 2H09 apresentou uma redução de 8,4% em relação ao primeiro semestre do ano, o que dá continuidade a uma tendência geral de reduções moderadas desde 2006.
As vulnerabilidades de gravidade baixa foram responsáveis por apenas 3,5% das vulnerabilidades em geral no 2H09, menos que os 4,1% do primeiro semestre do ano.
As vulnerabilidades de gravidade alta divulgadas no 2H09 caíram 9% em relação ao primeiro semestre do ano e 30,7% em relação ao 2H08.
Um predomínio continuado de divulgações de vulnerabilidades de alta e média gravidades é provavelmente causado, pelo menos em parte, pela tendência, tanto dos invasores quanto dos pesquisadores da segurança legítima, a priorizar a pesquisa sobre as vulnerabilidades mais graves.
Figura 16: Vulnerabilidades de aplicativos, navegadores e sistemas operacionais na indústria, 1H06–2H09
As vulnerabilidades dos aplicativos continuam sendo responsáveis pela maioria das vulnerabilidades no 2H09, apesar de a quantidade total de vulnerabilidades de aplicativos ter diminuído significativamente em relação ao 2H08 e 1H09.
As vulnerabilidades de sistemas operacionais e navegadores ficaram relativamente estáveis, e cada uma delas foi responsável por uma pequena fração do total.
Figura 17: Divulgações de vulnerabilidades de produtos Microsoft e não-Microsoft, 1H06–2H09
As divulgações das vulnerabilidades dos produtos Microsoft aumentaram de 113 no 1H09 para 127 no 2H09.
Em termos gerais, as tendências das divulgações de vulnerabilidades da Microsoft refletiram as tendências de toda a indústria, com picos no 2H06-1H07 e novamente no 2H08.
0
500
1,000
1,500
2,000
2,500
3,000
3,500
1H06 2H06 1H07 2H07 1H08 2H08 1H09 2H09
Vulnerabilidades dos aplicativos
Vulnerabilidades do sistemaoperacional
Vulnerabilidades do navegador
0
500
1000
1500
2000
2500
3000
3500
1H06 2H06 1H07 2H07 1H08 2H08 1H09 2H09
Microsoft
Não-Microsoft
1.5 1.6
1.8
2.1 2.2
1.5 1.6
2.3
3.1
2.2
0.0
0.5
1.0
1.5
2.0
2.5
3.0
3.5
1H05 2H05 1H06 2H06 1H07 2H07 1H08 2H08 1H09 2H09
50
34
57
98
78
51 58
97
85
104
33
21
32
46
35 34 36 42
27
47
0
20
40
60
80
100
120
CVEs únicos
Boletins desegurança
Nos quatro últimos anos, as divulgações de vulnerabilidades da Microsoft têm sido responsáveis, de forma consistente, por 3% a 5% de todas as divulgações da indústria.
Divulgação responsável significa informar, de maneira sigilosa, um fabricante sobre as vulnerabilidades
encontradas para que ele possa desenvolver uma atualização de segurança abrangente, a fim de solucionar essas
vulnerabilidades antes que os detalhes se tornem públicos.
Figura 18: Divulgações responsáveis como um percentual de todas as divulgações envolvendo softwares Microsoft, 1H05-2H09
No 2H09, 80,7% das divulgações de vulnerabilidades da Microsoft aderiram a práticas de divulgação responsável, acima dos 79,5% do 1H09 e superior a qualquer período anteriormente controlado.
O percentual de divulgações enviadas pelos agentes de vulnerabilidade caiu para 8,6% de todas as divulgações no 2H09, se comparado com os 10,5% no primeiro semestre do ano.
Figura 19: À esquerda: Boletins de segurança liberados e CVEs solucionados pela Microsoft a cada semestre, 1H05–2H09 | À direita: Média de CVEs solucionados por boletim de segurança, 1H05–2H09
No 2H09, a Microsoft liberou 47 boletins de segurança que solucionaram 104 vulnerabilidades individuais identificadas na lista CVE (Common Vulnerabilities and Exposures).
Apesar de a quantidade geral de boletins enviados ter aumentado de 27 no 1H09 para 47 no 2H09, a quantidade de vulnerabilidades solucionadas por boletim diminuiu de 3,1 para 2,2.
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
1H05 2H05 1H06 2H06 1H07 2H07 1H08 2H08 1H09 2H09
Divulgação total
Casos de agentes de vulnerabilidade
Outras divulgações responsáveis
Conforme ilustrado na figura seguinte, a adoção do Microsoft Update aumentou significativamente nos últimos
anos. A quantidade de computadores que utilizam o serviço mais abrangente aumentou mais de 17% desde 1H09.
Figura 20: Utilização do Windows Update e do Microsoft Update, 2H06–2H09, indexada pela utilização total no 2H06
O Windows Update fornece atualizações para componentes do Windows, para drivers de dispositivos fornecidos pela Microsoft e por outros fornecedores de hardware. O Windows Update também distribui atualizações de assinatura para produtos antimalware da Microsoft e a liberação mensal da MSRT.
O Microsoft Update (http://update.microsoft.com/microsoftupdate) fornece todas as atualizações disponibilizadas pelo Windows Update, além de atualizações para outros softwares Microsoft. Os usuários podem optar pelo serviço ao instalar o software, sendo atendidos pelo Microsoft Update ou no site Microsoft Update. A Microsoft recomenda configurar os computadores para uso com o Microsoft Update em vez do Windows Update, a fim de assegurar que eles receberão atualizações de segurança oportunas para os produtos Microsoft.
Principais descobertas do Microsoft Security Engineering Center
Ciência da segurança: tendências do exploit Um exploit é um código mal-intencionado projetado para infectar um computador sem o consentimento do
usuário e, frequentemente, sem o conhecimento do usuário. Geralmente, os exploits são distribuídos através das
páginas da Web, apesar de os invasores também usarem uma variedade de outros métodos de distribuição, tais
como serviços de email e mensagens instantâneas. As informações sobre o modo como os invasores exploram os
navegadores e os complementos podem proporcionar aos pesquisadores de segurança um maior entendimento
dos riscos causados por downloads drive-by e outros ataques baseados no navegador.
No passado, os criadores de kits exploit costumavam desenvolver pacotes com 4 a 6 exploits por kit para aumentar as chances de um ataque bem-sucedido.
A média caiu para 3,2 exploits por pacote no primeiro semestre de 2009, já que os invasores tiraram proveito de várias vulnerabilidades confiáveis e predominantes de componentes de terceiros, que tornavam desnecessário ter grandes quantidades de exploits.
Essa tendência continuou até o 2H09, quando a média de exploits por pacote caiu para 2,3.
No entanto, alguns invasores ainda preferiam usar grandes quantidades de exploits: o maior kit exploit observado no 2H09 incluía 23 exploits.
100%
121%
137% 140%
147% 150%
161%
0%
20%
40%
60%
80%
100%
120%
140%
160%
180%
2H06 1H07 2H07 1H08 2H08 1H09 2H09
Microsoft Update
Apenas WindowsUpdate
Figura 21: Exploits baseados no navegador encontrados no 2H09, por percentual
O CVE-2007-0071, uma vulnerabilidade drive-by do Adobe Flash Player que foi a vulnerabilidade de navegador mais comumente explorada no 1H09, desceu para a 23ª posição no segundo semestre do ano e foi responsável por apenas 0,4% dos exploits.
Mudanças significativas como essas podem estar relacionadas com a tendência de os criadores de kits exploit frequentemente substituírem exploits mais antigos pelos mais novos.
Como o gráfico à direita na Figura 21 mostra, a incidência de vários dos exploits mais comuns variou de forma significativa mês a mês no 2H09.
Uma vulnerabilidade listada na Figura 21 recebeu um patch em 2006. Todas as vulnerabilidades incluídas na Figura 21 tinham atualizações de segurança disponíveis antes do
período do Relatório de inteligência de segurança.
Figura 22: À esquerda: Exploits baseados no navegador e destinados a softwares Microsoft e de terceiros em computadores com Windows XP no 2H09 | À direita: Exploits baseados no navegador e destinados a softwares Microsoft e de terceiros em computadores com Windows Vista e Windows 7 no 2H09
CVE-2009-0927 (Adobe Reader) 33.2%
CVE-2009-0075/MS09-002 (Microsoft Internet Explorer)
15.7%
CVE-2007-5659 (Adobe Reader) 10.9%
CVE-2008-0015/MS09-037 (Microsoft MSVidCtl)
4.9%
CVE-2007-5601 (RealNetworks RealPlayer)
3.3% CVE-2007-0015 (Apple
QuickTime) 3.0%
CVE-2006-5820 (AOL SuperBuddy)
2.9% CVE-2008-4844/MS08-078
(Microsoft Internet Explorer) 2.7%
CVE-2006-0003/MS06-014 (Componentes do Microsoft Data Access)
2.3%
CVE-2007-5755 (AOL AmpX) 2.2%
CVE-2008-2992 (Adobe Reader) 2.1%
Todos os outros 16.9%
Terceiros
Microsoft
Terceiros
Microsoft
A comparação dos exploits destinados a softwares Microsoft com os exploits de terceiros (aqueles centrados nas vulnerabilidades de softwares produzidos por outros fornecedores) sugere que o cenário de vulnerabilidades do Windows Vista e do Windows 7 é muito diferente daquele do Windows XP.
No Windows XP, as vulnerabilidades da Microsoft são responsáveis por 55,3% de todos os ataques da amostra estudada.
No Windows Vista e no Windows 7, a proporção de vulnerabilidades da Microsoft é significativamente menor, respondendo por apenas 24,6% dos ataques da amostra estudada.
Isso chega a 15,5% no 1H09 (incluindo apenas o Windows Vista) devido aos crescentes ataques à CVE-2009-0075/MS09-002, uma vulnerabilidade no Internet Explorer 7 que afeta o Windows Vista RTM e SP1 (mas não afeta o Windows Vista SP2 nem o Windows 7), a qual foi solucionada pela atualização de segurança da Microsoft em janeiro de 2009.
Na página seguinte, as Figuras 23 e 24 mostram as 10 vulnerabilidades mais frequentemente exploradas no
Windows XP (Figura 23) e no Windows Vista/Windows 7 (Figura 24).
Figura 23: As 10 vulnerabilidades, baseadas no navegador, mais frequentemente exploradas no Windows XP, por percentual de todos os exploits, no 2H09
0%
2%
4%
6%
8%
10%
12%
Vulnerabilidades da Microsoft
Vulnerabilidades de terceiros
Figura 24: As 10 vulnerabilidades, baseadas no navegador, mais frequentemente exploradas no Windows Vista/Windows 7, por percentual de todos os exploits, no 2H09
Geralmente, as páginas de downloads drive-by são hospedadas em sites da Web legítimos, na qual um invasor
publicou código exploit. Os invasores obtêm acesso a sites legítimos por meio de invasões ou ao publicar código
mal-intencionado em um formulário da Web pouco seguro, como o campo de comentário de um blog.
Uma análise das vulnerabilidades específicas que são alvo de sites de download drive-by indica que a maioria dos exploits utilizados por tais sites mal-intencionados destinam-se a navegadores mais antigos e são ineficazes nos mais novos. Conforme ilustrado na figura a seguir, os exploits que afetam o Internet Explorer 6 apareceram em quatro vezes mais sites drive-by no 2H09 do que os exploits que afetam a sua versão mais recente, o Internet Explorer 7.
Figura 25: Sites de download drive-by destinados ao Internet Explorer 6 e ao Internet Explorer 7, indexados pelo total do Internet Explorer 7, no 2H09
0%
5%
10%
15%
20%
25%
30%
35%
40%
45%
50%
Vulnerabilidades de terceiros
Vulnerabilidades da Microsoft
0%50%
100%150%200%250%300%350%400%450%
InternetExplorer 6
InternetExplorer 7
Enquanto o Bing indexa a Web, as páginas são avaliadas quanto a elementos mal-intencionados ou comportamento mal-intencionado.
O Bing detecta uma grande variedade de páginas de download drive-by todos os meses, com o controle, em qualquer momento, de várias centenas de milhares de sites que hospedam páginas drive-by ativas.
Como os donos dos sites comprometidos são, via de regra, vítimas também, os sites não são removidos do índice do Bing. Em vez disso, ao clicar no link da lista de resultados da pesquisa, é apresentado um aviso com destaque, informando que essa página pode conter software mal-intencionado.
No 2H09, cerca de 0,3% das páginas de resultados de pesquisa que o Bing apresentava aos usuários continham avisos sobre sites mal-intencionados.
Em termos gerais, a quantidade de sites afetados que eram controlados pelo Bing aumentou no 2H09, atingindo 0,24% de todos os sites que hospedam ao menos uma página mal-intencionada, acima dos 0,16% no 1H09. Esse aumento se deve, provavelmente, a uma variedade de novos mecanismos de detecção aprimorados que o Bing implantou no segundo semestre de 2009.
Apesar de o Bing ter detectado sites de download drive-by no mundo inteiro, o risco não é distribuído igualmente entre todos os usuários da Internet. Os usuários de algumas partes do mundo estão mais expostos ao perigo do que aqueles de outras partes. A figura a seguir mostra o grupo dos sites da Web de cada domínio de nível superior com código por país (ccTLD - country-code top-level domain) que foram identificados como hosts de páginas de download drive-by no 2H09.
Foram descobertas páginas de download drive-by em mais de 2,1% dos sites no ccTLD .th (associados à Tailândia) e quase 1% no ccTLD .cn (China).
Figura26: [BingGeo_Heatmap] Percentual de sites da Web em cada ccTLD que hospedavam páginas de download drive-by no 2H09
Comparativamente, os domínios de nível superior patrocinados e genéricos que não atendem a países/regiões específicos não apresentam o mesmo nível de variação que os ccTLDs apresentam.
O domínio de nível superior (TLD - Top Level Domain) .biz, destinado a negócios, contém o maior percentual de sites que hospedam páginas de download drive-by; em 0,76% de todos os sites .biz ativos, tais páginas foram encontradas.
Apesar de as páginas de download drive-by poderem ser encontradas em quantidade na maioria dos TLDs genéricos, patrocinados e com códigos de países, os servidores de exploits estão concentrados em um número muito menor de TLDs, liderados pelo .com (33,2%) e .cn (19,0%).
No 2H08, o servidor de exploits mais usado no mundo tinha um alcance de cerca de 100.000 páginas. Esse número aumentou para mais de 450.000 páginas no 1H09 e para quase 750.000 páginas no 2H09.
Apesar do aumento, pouquíssimos desses servidores que estavam no topo da lista no 1H09 estavam lá no 2H09.
As redes de distribuição de malware tendem a ser alvos em movimento, com servidores que constantemente aparecem e desaparecem em diferentes países.
Cada vez mais, os invasores utilizam os formatos de arquivos comuns como vetores de transmissão para exploits
(formatos como .doc, .pdf, .ppt e .xls, por exemplo). As vulnerabilidades do analisador são um tipo de
vulnerabilidade na qual o invasor cria um documento especialmente preparado para se aproveitar de um erro no
modo utilizado pelo código para processar ou analisar o formato de arquivo. Muitos desses formatos são
complexos e foram projetados visando ao desempenho. Um invasor pode criar um arquivo com uma seção
malformada que explore a vulnerabilidade no programa.
Figura 27: Exploits de formato de arquivo do Microsoft Office encontrados, por percentual, no 2H09
A maioria das vulnerabilidades exploradas na amostra de dados existia há vários anos, e para todas elas havia atualizações de segurança disponíveis para ajudar na proteção contra o exploit; um terço delas foi identificado pela primeira vez em 2006.
75,7% dos ataques exploraram uma única vulnerabilidade (CVE-2006-2492, na Vulnerabilidade de indicador de objeto malformado do Microsoft Office Word), cuja correção de segurança, ao término de 2009, estava disponível há mais de três anos.
Os usuários que não mantêm atualizadas suas instalações do programa Office com os service packs e as atualizações de segurança estão sujeitos a um maior risco de ataques. A maioria dos ataques envolvia computadores com instalações extremamente desatualizadas do programa Office.
Mais da metade (56,2%) dos ataques afetaram instalações do programa Office que não eram atualizadas desde 2003.
A maioria desses ataques envolveu usuários do Office 2003 que não aplicaram um único service pack nem outras atualizações de segurança desde o lançamento do Office 2003 em outubro de 2003.
Não é de nenhuma maneira incomum que as vítimas dos ataques de exploit do programa Office tenham instalações do Windows que são muito mais atualizadas. Quase dois terços (62,7%) dos ataques ao Office observados no 2H09 afetaram computadores que executavam versões do Windows que haviam sido atualizadas nos últimos 12 meses.
O valor da mediana do tempo decorrido desde a última atualização do sistema operacional nos computadores da amostra era de cerca de 8,5 meses, comparados aos 6,1 anos para a maioria das atualizações mais recentes dos programas do Office — quase nove vezes maior.
CVE-2006-2492 MS06-027
Vulnerabilidade de indicador de objeto
malformado do Microsoft Word 75.7%
CVE-2008-0081 MS08-014
8.6%
CVE-2006-0022 MS06-028
6.3%
CVE-2007-0671 MS07-015
3.6%
CVE-2009-0556 MS09-017
3.4%
CVE-2007-1747 MS07-025
1.3%
Outros 1.1%
Esses dados ajudam a ilustrar o fato de que os usuários podem manter o Windows rigorosamente atualizado e ainda assim enfrentar um risco maior com os exploits, a menos que os usuários também atualizem os outros programas regularmente.
Tendências nas violações de segurança
Incidentes de segurança que acarretaram consequências na privacidade Ao longo dos últimos anos, foram aprovadas leis em várias jurisdições ao redor do mundo que exigiam que as pessoas afetadas fossem notificadas quando uma organização perdesse o controle sobre as informações de identificação pessoal (PII - Personally Identifiable Information) que lhes haviam sido confiadas. Essas notificações obrigatórias oferecem uma visão exclusiva de como os esforços para proteger as informações precisam solucionar os problemas de negligência e da tecnologia4. Figura 28: Incidentes de violação resultantes de ataques e negligência, 1H08–2H09
4 Desde 2005, os pesquisadores de segurança voluntários controlaram relatórios mundiais sobre tais violações da segurança de
dados e as registraram no Data Loss Database (DataLossDB) em http://datalossdb.org.
0
20
40
60
80
100
120
1H08 2H08 1H09 2H09
Inci
dent
es
Negligência
Ataque
Figura 29: Incidentes de violação da segurança, por tipo de incidente, 1H08–2H09
Há uma clara tendência descendente no número absoluto de incidentes em cada categoria única, exceto para ataques de malware, os quais permanecem inalterados.
O furto de equipamentos e mídias e a perda acidental na Web são responsáveis pelas maiores quedas.
A eliminação imprópria dos registros comerciais é responsável por muitos incidentes. As organizações podem solucionar esse tipo de violação de dados de forma relativamente fácil, adotando políticas eficazes para a destruição de papel e registros eletrônicos que contenham informações confidenciais.
Apesar de muitas pessoas ligarem violações de segurança a pessoas mal-intencionadas que buscam e ganham acesso ilegal a dados confidenciais, os incidentes que envolvem ataques (hacking, malware e fraude) foram significativamente superados nos últimos anos pelos incidentes que envolvem negligência (equipamento perdido, furtado ou ausente; divulgação acidental; ou eliminação imprópria).
Os incidentes envolvendo negligência têm decrescido vertiginosamente nos últimos dois anos, de 110 no 1H08 para apenas 34 no 2H09.
É possível que as empresas estejam adotando mais procedimentos para proteger equipamentos com dados confidenciais, como as verificações de segurança nos portões do prédio ou os programas para informar práticas seguras aos funcionários.
A adoção de soluções com criptografia forte, como o Windows BitLocker® Drive Encryption, também poderia interferir nesse declínio. Em várias jurisdições, as leis sobre divulgação não exigem notificação quando são perdidos ou furtados dados criptografados, já que a extração é muito mais difícil para o ladrão ou para quem os encontrar do que no caso de dados não criptografados.
110
95
71
34
27
45
25 22
49
42
30 33
0
20
40
60
80
100
120
1H08 2H08 1H09 2H09
Inci
de
nte
s
Equipamento furtado
Eliminação
Equipamento perdido
Acidentes pela Web
Fraude
Correspondência postal
Malware
Hacker
Estratégias atenuantes
Como a TI da Microsoft gerencia o risco na Microsoft A TI da Microsoft é responsável pelas operações e segurança diárias da rede mundial da Microsoft. Nesta nova
seção do Relatório de inteligência de segurança, a TI da Microsoft compartilha muitas das estratégias atenuantes
específicas que utiliza para gerenciar riscos nesse ambiente extremamente complexo e oferece orientações
práticas que os profissionais de TI e de segurança podem empregar para ajudar a proteger os seus próprios
ambientes. Os tópicos discutidos incluem várias maneiras de ajudar a proteger a infraestrutura de rede da
empresa, bem como promover a conscientização e o comportamento de computação segura dentro da empresa.
A Microsoft também preparou ampla orientação para profissionais de TI, a fim de ajudar a gerenciar o processo de
avaliação, priorização e implantação de atualizações de segurança para produtos da Microsoft. O Guia de
atualização de segurança da Microsoft encontra-se disponível para download gratuito em
www.microsoft.com/securityupdateguide.
O Relatório de inteligência de segurança completo também contém estratégias atenuantes e informações sobre as
melhores práticas para ajudar as empresas a reduzirem muitos dos riscos de segurança identificados no Relatório
de inteligência de segurança.
O Relatório de inteligência de segurança completo pode ser baixado em www.microsoft.com/sir.
Ajude a Microsoft a aprimorar o Relatório de inteligência de segurança Obrigado por dedicar o seu tempo à leitura do mais recente volume do Relatório de inteligência de segurança da
Microsoft. Queremos assegurar que este relatório continue sendo utilizado e relevante ao máximo para os nossos
clientes. Se você tiver algum comentário sobre este volume do relatório ou sugestões sobre como podemos
aprimorar os próximos volumes, envie um email para [email protected].
Obrigado e saudações,
Computação confiável da Microsoft