微软称:利用黑洞工具包的Java、HTML漏洞成为攻击主流

安全 漏洞
根据微软的漏洞和威胁分析报告,HTML和Java利用在2011年下半年大幅上涨,这主要是由恼人的自动化工具包造成,它使攻击相对容易实现。

根据微软的漏洞和威胁分析报告,HTML和Java利用在2011年下半年大幅上涨,这主要是由恼人的自动化工具包造成,它使攻击相对容易实现。

此外,据微软近段时间发布的微软安全情报报告第12版,针对HTML弱点和Java漏洞的利用在2011年是主要攻击。该分析使用的数据来自微软公司安全软件的用户(主要是微软的恶意软件清除工具的用户),其中包括6亿多用户系统。

JS/Blacole,或者更通常被称为黑洞开发工具包,被认为是大部分攻击背后的主谋。该自动化攻击工具包帮助攻击者构建Zeus、Cutwail、 Spyeye和用于传播垃圾邮件和恶意软件的Carberp僵尸网络。它还在另一份年度威胁报告中有详细陈述,该报告由惠普DVLabs在前一段时间发布,发现常见Web应用漏洞的广泛利用与黑洞开发工具包有关。

HTML和JavaScript是最常见的网站脚本语言,一直深受网络犯罪分子们喜爱。一个盛行的攻击类型还涉及恶意IFrame,这是一种与广告软件相关的攻击技术。尽管在浏览器中添加了反跨站点脚本(XSS)的功能,攻击者却发现可以成功利用Java的弱点来引诱用户下载恶意软件。一份最近来自IBM的X-Force威胁研究小组的年度威胁报告支持了微软的数据。研究发现,尽管浏览器漏洞修复在不断增加,但攻击者通过自动化工具包针对的是浏览器组件,而不是浏览器。

微软可信赖计算部门的产品管理总监 Tim Rains表示,这些攻击之所以成功,是因为企业里充斥着弱密码和未修补漏洞。员工也容易受到社会工程技术的影响。关注高级持续性威胁(APT)或针对性的网络攻击对企业首席信息安全官们来说都是无用的,因为大多数人将会受到拥有广泛基础的自动化攻击,Rains解释道。

Rains说,“我们不认为APT或针对性的攻击比(目前为止我们有时看到的)自动化攻击更先进、更复杂。”

披露的漏洞很少

据微软称,比起2010年,整个行业在2011年披露的漏洞数量下降了11.8%。其中,高严重性漏洞在2011年上半年下降了31%,基本上延续了自 2010年上半年以来的下降速率。微软的数据基于漏洞的严重性,采用了常见漏洞评分系统(Common Vulnerability Scoring System ,CVSS)的评分方法。

微软的Rains表示,漏洞披露数量的整体减少可归于多种因素。企业一直在改进他们的软件开发过程,包括安全。“漏洞猎人”也在找出新的方式继续他们的研究,导致一些人认为关键漏洞未报告。

“我们正试图改变方法,从以前发现漏洞到开发新的缓解和防御程序,使得即使有漏洞,攻击者也不能接触到这些漏洞,”他说道。

在SearchSecurity.com网站最近的一次采访中,微软安全响应中心的高级安全战略家Katie Moussouris介绍了漏洞披露是如何在改变的。直接与安全研究人员一起工作的Moussouris说,厂商已经变得更加敏感,并加大了与研究员的合作。据Moussouris估计,相对于浮出水面作为零日攻击的漏洞,80%的漏洞微软自己知道的。

“我们可以从研究社区(research community)中学到很多东西,包括微软内部的和外部的,”Moussouris说道,“其中我们可以寻找会被利用的问题,与研究界的分享合作。”

在披露的漏洞中,应用漏洞占了绝大部分,在2011年下半年披露的所有漏洞中,它占71%,其中,应用漏洞和Web浏览器漏洞的数量都增加了。与此同时,2011年下半年中被披露的操作系统漏洞的数量下降超过了34%。微软表示,至少自2003年以来,这是首次被披露的操作系统漏洞数量低于被披露的浏览器漏洞数量。

因此,微软发布的安全更新也少了。在2011年,微软安全响应中心共发布了100个安全公告,解决确认了236个个人的公共漏洞问题( CVE,Common Vulnerabilities and Exposures),它们比起2010年,其数量分别减少了7%和6%。

责任编辑:Oo小孩儿 来源: TechTarget中国
相关推荐

2023-08-10 23:33:43

2015-03-23 12:26:49

2016-10-19 08:53:19

漏洞FlashJava

2016-08-12 09:33:38

2015-03-24 20:53:10

2012-06-26 10:27:50

2009-04-06 07:06:39

2018-05-03 09:03:16

微软工具包Windows

2024-04-01 13:22:43

2015-03-18 13:23:23

2012-09-21 09:52:11

2024-12-03 09:24:05

2011-05-10 09:56:11

Windows AzuiOSWindows Pho

2009-06-04 14:18:44

Windows Mob工具包

2019-05-13 09:22:21

微软开源机器学习

2009-08-11 09:30:37

Windows 7开发

2011-05-10 09:20:56

微软云计算

2012-07-12 13:13:28

HTML5

2012-10-29 12:49:49

2021-09-26 05:44:07

漏洞攻击黑客
点赞
收藏

51CTO技术栈公众号