2微软安全研究报告
主要结论
本报告陈述了从2009年1月到2009年7月期间微软对于安全和隐私威胁形势的看法。本节概述本报告主要章节要点。
恶意和可能有害的软件
(1)在lH09中最显著的趋势是蠕虫感染在世界许多国家和地区的大量增长。
(2)虽然互联网具有全球化特征.但世界上不同地区用户所受到的威胁类型却差别迥异。
(3)在美国.英国.法国和意大利,木马是最大的威胁类别;在中国.几种针对中文用户的基于浏览器的威胁较流行;在巴西,针对网上银行的恶意软件泛滥;而在西班牙和韩国.威胁
则是以攻击在线游戏玩家为目标的蠕虫病毒为主。
操作系统趋势
(1)lH09.在所有配置中.WindowsVista的感染率远远低于WindowsXP的
感染率。
①WindowsVistaSPl的感染率l:匕WindowsXPSP3t氐61.9%:
②以RTM(Release.to.Manufacturer)版本来做比较.WindowsVista的感染率}tWindowsxP低
85.3%。
(2)WindowsServer2008RTM版本的感染率ELWindowsServer2003SP2RTM版本低56.1%。
(3)ServicePack级别越高,感染率越低。
①ServicePack中一般包括在其发布时所有之前已发布的安全更新.还会包括用于保护用户
的其他安全功能.缓解措施或默认配置更改;
②安装ServicePack的用户通常比不安装ServicePack的用户能更好地维护自己的计算机.并
且在浏览Intemet、打开附件和执行其他可能导致计算机受到攻击的活动时更谨慎。
(4)数据显示Windows服务器版本的平均感染率比客户端版本低。服务器往往比运行客户端操作系统的计算机具有更低的有效攻击面.因为它们更有可能是由训练有素的管理员在受控条
件下使用.并且受到一个或多个安全层保护。
(5)在一段时间内,这些趋势将继续发展下去。
家庭和企业的安全形势
(1)在lH09与运行WindowsLiveOneCare的家庭计算机相比,企业环境中的计算机(运行ForefrontClientSecurity)更有可能受到蠕虫攻击。
(2)在企业环境中检测到的最多的威胁是Conficker蠕虫.但是在家庭环境中.Conficker并不在所检测到的十大威胁之列。因为有几种Conficker蠕虫变种是通过移动和网络共享媒介传播的.
而这两种媒介在企业环境非常普遍(微软在2009年4月发布的安全更新KB971029.使Conficker和
类似蠕虫很难再通过这种方法进行传播)。
全球恶意软件类别发展趋势
(1)其他类型的特洛伊木马(包括流氓安全软件)仍然是最流行的类别。
(2)蠕虫的流行排行则从2H08的第5位升至1H09的第2位。
(3)密码盗窃程序和监视工具的流行程度也在上升.这在一定程度上是由于以在线游戏玩家为攻击目标的恶意软件增多所致。
恶意软件主机分析
(1)IE8内Z的SmartScreen筛选器检测到.可能有害的软件的印象数(Impression)在所有恶意万方数据
软件中所占的比例从2H08的35.0%提高到1H09的44.5%,而在清理了可能有害软件的计算机中可
能有害的软件所占的比例则从22.8%下降到14.9%。这表明SmartScreen和类似的技术可能在这些
可能有害软件被下载到计算机之前就成功将其截获了。
(2)其他可能有害软件在Web中并不按照比例分布,比较起来,蠕虫很少通过恶意网站传
播.虽然它们在SmartScreen的印象数(Impression)中仅占1.2%,但被清理计算机中有21.3%是因为
存在蠕虫。
恶意软件主机站点的地理分布
(1J数据显示,每天发现的恶意软件传播网站比网络钓鱼网站多。
(2)相对于网络钓鱼主机而言,恶意软件主机更稳定,并且在地理分布上相对集中,这可能
是因为在最近对抗恶意软件发布的斗争中使用了卸载服务器和Web声誉作为武器。这也说明了恶
意软件传播者并没有像网络钓鱼者那样分散安置主机。
网络钓鱼网站分析
(1)网络钓鱼“印象数”在lH09显著增加,主要是因为以网络社交站点为目标的攻击大幅
增加。
(2)网络钓鱼者所攻击的目标类型比过去更广泛。在lH09,游戏网站.门户.大型公司的网
站成为最经常被攻击的目标。
(3)在2H08至112009:年4月,网络钓鱼的“印象数”几乎都很稳定,而至1]2009年5月却翻了近4
倍.在6月达到更高的一个水平.这在一定程度上是针对社交网络的攻击活动增加所致。
(4)金融机构.社交网络和电子商务站点是网络钓鱼者最喜欢攻击的目标。
(5)研究人员也观察到攻击者所攻击的机构类型变得多样化,比如在线网络游戏网站,Web
门户和大型的软件和电信公司的网站等都成为攻击目标。
网络钓鱼网站的地理分布
(1)钓鱼网站托管于全球的免费主机站点,被攻陷的WebJ]臣务器,以及许多其他环境中。
(2)钓鱼网站往往集中在某些地方,但是微软却在全球非常多地方都检测到了钓鱼网站。微
软已经跟踪到的钓鱼网站在世界各大洲都有分布。
(3)尽管从绝对数量上来说,大量的钓鱼网页分布在较大的,工业化程度较高且拥有巨大数
量的Internet主机的国家和地区.但是在人口稀少和Internet主机较少的地域,钓鱼网页分布的密
集度则更高一点。
威胁
(1)在1H09,ForefrontOnlineProtectionforExchange(FOPE)IjFl11-7"在网络边界所接收的消息
中的97.3%.在2H08这一比例是92.2%。总的来说.FoPE阻止了所接收的超过了98%的消息。
(2)在1H09.垃圾邮件以产品广告为主(药品广告占了大多数)。总的来说.在1H09.产品广
告在垃圾邮件中所占的比例为69.2%。
自动化SQL注入攻击
(1)SQL注入是攻击者用来损坏或盗取数据库中数据的一种技术,它利用结构化查询语言
(SQL)语法来控制信息存储和检索。据观察.在IH09:这种技术被广泛地采用。
xp提交更改(2)sQL注入通常直接把恶意的SQL'代码传递给所要进行数据库查询的程序或脚本。如果程
序或脚本未对输入进行有效的验证,攻击者就有机会执行任意命令。
(3)从2007年末开始,攻击者开始利用自动化工具通过SQL注入技术来攻击大量的网站.进
万方数据
微软安全研究报告
而传播恶意软件。Web应用程序通常动态地构建用户所请求的网页.从数据库中检索信息.然后
将检索的信息填充到所请求的页面中。
攻击趋势—基于浏览器的攻击
(1)在针对WindowsxP的计算机所进行的基于浏览器的攻击中,由于微软的漏洞而导致的攻击占所有攻击的56.4%。而在使用WindowsVista的计算机上。这一比例仅为15.5%。
(2)lH09在运行WindowsxP的计算机上.基于浏览器漏洞攻击的前10名中,由于微软软件漏洞而导致的攻击占了其中6项;而在运行WindowsVista的计算机上.只有1个攻击是由微
软软件漏洞所引起的。
MicrosoftOffice格式文件
(1)lH09在针对MicrosoftOffice软件的攻击中,受攻击最频繁的漏洞仍是一些最早期的漏洞。有超过半数受攻击的漏洞是在2006年首次发现的,并已经由Microsoft安全更新解决。
(2)有71.2%的攻击利用了同一个漏洞(MS06—027).而其安全更新3年前就有了。应用了此更新的计算机可以防御所有此类的攻击。
(3)1H09所观测到的大多数的Office攻击(55.5%)都是针对最后更新于2003年7J9至2004年6月这段时间的Office程序。绝大多数的攻击都是针对2003年10月所发布的原始版本Office2003,其
中很多用户并没有安装过任何ServicePack或其他安全更新。
(4)通过对比,可以明显地看出抽样组中的计算机有可能已经安装了最新的Windows安全更新。
(5)那些对Office安装程序和Windows操作系统未能及时使用安全卡l'-J-和安全更新的用户受到攻击的风险正在增加。
(6)微软建议将计算机配置为使用MicrosoftUpdate.让Windows操作系统和其他微软软件保持更新。
偷渡式下载页面的分析
(1)大多数偷渡式下载页面都托管在受害的合法网站上。攻击者通过入侵或者将恶意代码提交给保护不够的Web表单(如博客上的评论字段)来获得对合法网站的访问权限。
(2)作为攻击服务器(ExploitServer)的受害服务器可以拥有大量的访问链接;一个攻击服务器可能导致成百上千个网页受到感染。
(3)在2009年.攻击服务器可在短时间内感染无数个网页。
(4)特洛伊木马下载程序和植入程序是偷渡式下载站点中最经常遇到的威胁类别.占总数的40.7%。特洛伊木马下载程序非常适合偷渡式下载,因为它们可用来在受感染计算机上安装
其他威胁。
行业内的漏洞披露
(1)在lH09.全行业披露的独立漏洞总数显著减少,与2H08相比下降了28.4%。
(2)虽然与2H08相比,1H09应用程序漏洞有所减少.但操作系统漏洞数量与2H08基本保持一致.而且浏览器漏洞实际上略有增加。
(3)在lH09,被通用漏洞评分系统(CVSS)评定为高严重性的漏洞Et2H08减少了12.9%;有46.0%漏洞被评定为高严重性。
(4)与严重性一样,在lH09,漏洞的复杂性也呈现降低的趋势。1H09所有的漏洞中有54.2%属于低复杂性,而在2H08这一数字为57.7%,在过去5年内下降了近30%。
(5)微软漏洞披露尽管规模很小.但反映了整个行业的情况。在过去5年里.微软漏洞披露
万方数据
一直约占行业内的所有漏洞披露的3%--6%。
1H09微软漏洞详细信息
(1)在lH09,微软发布了27个安全公告.解决了87个由CVE识,]w](CommonVulnerabilitiesand
Exposures—identified)的漏洞。
(2)负责任的披露(ResponsibleDisclosure)是指向受影响的供应商秘密地披露漏洞,使他们能
够开发全面的安全更新.以便能在漏洞详细信息公开之前解决漏洞。这可以防止潜在攻击者在安
全更新可用之前获悉新发现的漏洞。有助于维护用户安全。
(3)1H09在微软软件中所发现的漏洞有79.5%遵循了负责任披露的做法,而在2H08这一
数字为70.6%。
攻击能力指数
(1)有41个漏洞(47.1%)的攻击能力指数(ExpioitabilityIndex)等级被评定为l,这表示微软认
为它们最可能在相应安全公告发布后30天内被攻击。微软检测到的这41个漏洞中有10个在相应安
全公告发布后的头30天内就被利用了。
(2)有46个漏洞(52.9%)的攻击能力指数等级被评定为2或3.表示漏洞不一定或不太可能被攻
击.未发现任何人在30天内公开地攻击了该漏洞。
WindowsUpdate和MicrosoftUpdate的使用趋势
(1)及时应用微软的安全更新和其他软件更新可显著减缓恶意软件的传播速度并缩小其影
响。微软建议用户将计算机配置为使用MicrosoftUpdate,使其机器上的Windows操作系统和其他
微软软件是最新的。
①WindowsUpdate为Windows组件提供更新.同时也为微软或其他硬件厂商的设备驱动
程序提供更新,此9bWindowsUpdateJ丕为微软反恶意软件产品分发更新签名.以及每月发布
MSRT(MaliciousSoftwareRemovalT001.恶意软件清除工具);
②MicrosoftUpdate提供了WindowsUpdate所提供的全部更新.还提供其他Microsoft软件(如
MicrosoftO佑ceSygem)的更新。
(2)由于越来越多的WindowsUpdate用户选择转换到更全面的服务,因此MicrosoftUpdate的
应用率在过去几年里显著提升。
自动更新的作用
(1)自动更新是用户和组织可用来防止恶意软件传播的最有效工具之一。
(2)自动更新可以确保安装更新和及时更新.以此保护个人计算机和整个计算环境。
更新服务使用率的区域变化
(1)微软在线更新服务的使用率在全球各地有所不同.这取决于许多因素,包括宽带Internet
连接、软件盗版.以及企业环境中被托管的计算机所占的百分比。
(2)一个地区的盗版软件影响范围往往与WindowsUpdate和MicrosoftUp
date的使用率
成反比。
安全违规趋势
(1)在lH09报告的安全违规事件中,数据丢失的首要原因仍然是设备(如笔记本电脑)被盗
此类事件占报告的所有数据丢失事件的30.0%.是入侵事件的两倍。
(2)由“黑客攻击”或恶意软件事件造成的安全违规不到总违规数的15.O%。
万方数据

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。