根據(jù)微軟的漏洞和威脅分析報告,HTML和Java利用在2011年下半年大幅上漲,這主要是由惱人的自動化工具包造成,它使攻擊相對容易實現(xiàn)。
此外,據(jù)微軟近段時間發(fā)布的微軟安全情報報告第12版,針對HTML弱點和Java漏洞的利用在2011年是主要攻擊。該分析使用的數(shù)據(jù)來自微軟公司安全軟件的用戶(主要是微軟的惡意軟件清除工具的用戶),其中包括6億多用戶系統(tǒng)。
JS/Blacole,或者更通常被稱為黑洞開發(fā)工具包,被認為是大部分攻擊背后的主謀。該自動化攻擊工具包幫助攻擊者構(gòu)建Zeus、Cutwail、Spyeye和用于傳播垃圾郵件和惡意軟件的Carberp僵尸網(wǎng)絡(luò)。它還在另一份年度威脅報告中有詳細陳述,該報告由惠普DVLabs在前一段時間發(fā)布,發(fā)現(xiàn)常見Web應(yīng)用漏洞的廣泛利用與黑洞開發(fā)工具包有關(guān)。
HTML和JavaScript是最常見的網(wǎng)站腳本語言,一直深受網(wǎng)絡(luò)犯罪分子們喜愛。一個盛行的攻擊類型還涉及惡意IFrame,這是一種與廣告軟件相關(guān)的攻擊技術(shù)。盡管在瀏覽器中添加了反跨站點腳本(XSS)的功能,攻擊者卻發(fā)現(xiàn)可以成功利用Java的弱點來引誘用戶下載惡意軟件。一份最近來自IBM的X-Force威脅研究小組的年度威脅報告支持了微軟的數(shù)據(jù)。研究發(fā)現(xiàn),盡管瀏覽器漏洞修復(fù)在不斷增加,但攻擊者通過自動化工具包針對的是瀏覽器組件,而不是瀏覽器。
微軟可信賴計算部門的產(chǎn)品管理總監(jiān)Tim Rains表示,這些攻擊之所以成功,是因為企業(yè)里充斥著弱密碼和未修補漏洞。員工也容易受到社會工程技術(shù)的影響。關(guān)注高級持續(xù)性威脅(APT)或針對性的網(wǎng)絡(luò)攻擊對企業(yè)首席信息安全官們來說都是無用的,因為大多數(shù)人將會受到擁有廣泛基礎(chǔ)的自動化攻擊,Rains解釋道。
Rains說,“我們不認為APT或針對性的攻擊比(目前為止我們有時看到的)自動化攻擊更先進、更復(fù)雜。”
披露的漏洞很少
據(jù)微軟稱,比起2010年,整個行業(yè)在2011年披露的漏洞數(shù)量下降了11.8%。其中,高嚴(yán)重性漏洞在2011年上半年下降了31%,基本上延續(xù)了自2010年上半年以來的下降速率。微軟的數(shù)據(jù)基于漏洞的嚴(yán)重性,采用了常見漏洞評分系統(tǒng)(Common Vulnerability Scoring System ,CVSS)的評分方法。
微軟的Rains表示,漏洞披露數(shù)量的整體減少可歸于多種因素。企業(yè)一直在改進他們的軟件開發(fā)過程,包括安全。“漏洞獵人”也在找出新的方式繼續(xù)他們的研究,導(dǎo)致一些人認為關(guān)鍵漏洞未報告。
“我們正試圖改變方法,從以前發(fā)現(xiàn)漏洞到開發(fā)新的緩解和防御程序,使得即使有漏洞,攻擊者也不能接觸到這些漏洞,”他說道。
在SearchSecurity.com網(wǎng)站最近的一次采訪中,微軟安全響應(yīng)中心的高級安全戰(zhàn)略家Katie Moussouris介紹了漏洞披露是如何在改變的。直接與安全研究人員一起工作的Moussouris說,廠商已經(jīng)變得更加敏感,并加大了與研究員的合作。據(jù)Moussouris估計,相對于浮出水面作為零日攻擊的漏洞,80%的漏洞微軟自己知道的。
“我們可以從研究社區(qū)(research community)中學(xué)到很多東西,包括微軟內(nèi)部的和外部的,”Moussouris說道,“其中我們可以尋找會被利用的問題,與研究界的分享合作。”
在披露的漏洞中,應(yīng)用漏洞占了絕大部分,在2011年下半年披露的所有漏洞中,它占71%,其中,應(yīng)用漏洞和Web瀏覽器漏洞的數(shù)量都增加了。與此同時,2011年下半年中被披露的操作系統(tǒng)漏洞的數(shù)量下降超過了34%。微軟表示,至少自2003年以來,這是首次被披露的操作系統(tǒng)漏洞數(shù)量低于被披露的瀏覽器漏洞數(shù)量。
因此,微軟發(fā)布的安全更新也少了。在2011年,微軟安全響應(yīng)中心共發(fā)布了100個安全公告,解決確認了236個個人的公共漏洞問題( CVE,Common Vulnerabilities and Exposures),它們比起2010年,其數(shù)量分別減少了7%和6%。
