根据微软最新威胁报告显示,应用漏洞在过去几年的稳步下降后,2012年又开始呈上升趋势,很多针对编码错误的漏洞利用都是使用自动攻击工具包。
微软安全情报报告Volume 13提供了对2012年上半年(从一月至六月)的安全分析,其中显示出广泛安全问题(包括漏洞、漏洞利用和垃圾邮件)的变化。微软表示,其分析是基于超过600万台计算机收集来的数据,这些计算机安装了微软的反恶意软件和更新机制。应用漏洞披露的分析则是基于对国家漏洞数据库的漏洞披露数据进行编译后得出的数据。
在2011年下半年,只有不到1200个应用漏洞,而在2012年上半年,这个数字跃升至约1400个。应用漏洞占此期间所有漏洞披露的70%以上,浏览器漏洞和操作系统漏洞的数量约在200和400个之间。
微软表示,从2011年下半年到2012年上半年,漏洞披露增加了11.3%,从2011年上半年增加了约5%,这主要是由于应用漏洞披露的增加。Qualys公司首席技术官Wolfgang Kandek表示:“这是应用漏洞存在的软件开发问题。”他表示,开发人员更关心应用的功能,而不太关注它的安全性。
让应用漏洞“雪上加霜”的是更快的软件更新发布周期,安全部门难以适应这些快速的更新。很多IT企业在安装更新前需要完全测试补丁程序,以确保自定义应用不会因为修复而遭到破坏。
尽管2012年第一季度有所下降,HTML和JavaScript漏洞利用仍然是最热门的攻击技术。微软发现约350万台计算机上存在这种漏洞利用。Java的漏洞利用也在增加,其保持了第二大热门漏洞利用的位置。Java漏洞利用的增加主要源自于CVE-2012-0507和CVE-2011-3544的问题,这是被公开披露的Java运行环境错误。文档和操作系统漏洞利用则分别排在第三名和第四名。
大多数漏洞利用都得益于Black Hole攻击工具包
在HTML/JavaScript和Java漏洞利用中,Black Hole漏洞利用工具包是最常用的工具,也是这些漏洞利用背后的驱动力。微软指出,Black Hole在黑客论坛和其他地方很容易获取,这是它如此普及的原因之一。微软在其报告中说:“为了获得更好的保护,你必须确保你环境中所有软件都是最新版本,并且确保迅速安装来自所有相关供应商的安全更新。”
Kandek补充说,这些工具包简单易用(即使对于非技术人员来说),并且更新了最新漏洞。安全研究人员表示,该工具包背后的网络犯罪分子在上个月修订了Black Hole工具包,增加了让其变得更强大的自动化功能。“当你购买了这个工具包后,就可以使用了,”Kandek表示,“工具包的制造者使用了最前沿的技术。”
微软为安全团队提供了可能可行的行动步骤,其报告中指出:“IT部门可以通过使用入侵检测和防御系统(IDS/IPS)来监测和阻止该工具包瞄准的漏洞,从而增加其抵御Black Hole漏洞的保护水平。”
电子邮件、垃圾邮件水平保持稳定
该报告还指出,在2011年下半年和2012年上半年,垃圾邮件维持在相同的水平。在2010年下半年和2011年上半年之间,被阻拦的垃圾邮件数量下降了数十亿。报告称:“在过去一年半中,垃圾邮件数量的急剧下降主要源自成功撤除一些大型垃圾邮件发送僵尸网络,特别是Cutwail(2010年8月)和Rustock(2011年3月)。”
路过式下载
该报告中也提到了路过式下载网站,微软将路过式下载网站定义为“存在一个或多个针对web浏览器和浏览器插件中漏洞的漏洞利用网站”。
微软表示,这些网站特别危险,因为只要用户访问了包含隐藏的漏洞利用的网站,就可能感染恶意软件。根据微软搜索引擎Bing(该搜索引擎在索引网站时会分析网站是否存在漏洞利用)收集的数据显示,在2012年第二季度结束时,马来西亚存在最多的路过式下载网站,每1000个网址中有5.7个路过式下载网站。乌克兰排第二(5.1),德国为3.9,韩国为3.1。