Microsoft Security Intelligence Report

Transcript

1 Una prospettiva approfondita su vulnerabilità ed exploit del software, malware, software potenzialmente indesiderato e siti Web dannosi Microsoft Security Intelligence Report Volume 15 Da gennaio a giugno 2013 RIEPILOGO DEI RISULTATI

2

3 Microsoft Security Intelligence Report Il presente documento è fornito esclusivamente a scopo informativo. MICROSOFT NON RICONOSCE ALCUNA GARANZIA ESPRESSA, IMPLICITA O DI LEGGE IN RELAZIONE ALLE INFORMAZIONI CONTENUTE IN QUESTO DOCUMENTO. Il documento è fornito "così com'è". Le informazioni e le opinioni espresse in questo documento, inclusi i riferimenti a URL e ad altri siti Web, possono variare senza alcun preavviso. L'utente si assume ogni rischio derivante dall'utilizzo di queste informazioni. Copyright 2013 Microsoft Corporation. Tutti i diritti sono riservati. Microsoft, il logo Microsoft, Active Directory, ActiveX, Bing, Forefront, Hotmail, Internet Explorer, MSDN, Outlook, il logo Security Shield, SmartScreen, System Center, Visual Basic, Win32, Windows, Windows Server e Windows Vista sono marchi del gruppo di società Microsoft. Altri nomi di prodotti e società citati nel presente documento possono essere marchi dei rispettivi proprietari. Gennaio-Giugno

4 Microsoft Security Intelligence Report, Volume 15 Il Volume 15 di Microsoft Security Intelligence Report (SIRv15) fornisce una prospettiva approfondita su vulnerabilità del software Microsoft e di terze parti, exploit, minacce di codice dannose e software potenzialmente indesiderato. Tale prospettiva è stato sviluppata da Microsoft sulla base di analisi dettagliate delle tendenze negli ultimi anni, con particolare attenzione alla prima metà del In questo documento sono riepilogati i risultati del report. Sul sito Web SIR è inoltre disponibile un'analisi approfondita delle tendenze rilevate in oltre 100 paesi nel mondo e vengono offerti suggerimenti per facilitare la gestione dei rischi per l'organizzazione, il software e le persone. È possibile scaricare il report SIRv15 all'indirizzo 2 Microsoft Security Intelligence Report, Volume 15

5 Industrywide vulnerability disclosures Industrywide Vulnerability Disclosures Industrywide vulnerability disclosures Industrywide vulnerability disclosures Vulnerabilità Le vulnerabilità sono punti deboli all'interno del software che consentono all'autore di un attacco di compromettere l'integrità, la disponibilità o la riservatezza del software o dei dati che questo elabora. Alcune delle vulnerabilità peggiori consentono agli autori di un attacco di utilizzare il sistema compromesso provocando l'esecuzione di codice dannoso senza che l'utente ne sia a conoscenza. Figura 1. Tendenze in materia di gravità e complessità della vulnerabilità, divulgazione di informazioni per tipo e relativamente a prodotti Microsoft e di terze parti nell'intero settore software, 2H10-1H13 1 1,600 1,400 1,400 1,200 Low complexity (greatest risk) 1,200 Medium (4 6.9) 1,000 Medium complexity (medium risk) 1, High (7 10) Low (0 3.9) 200 High complexity (least risk) 0 0 2H10 1H11 2H11 1H12 2H12 1H13 2H10 1H11 2H11 1H12 2H12 1H13 2,000 3,000 1,800 1,600 2,500 1,400 Application vulnerabilities 2,000 Non-Microsoft 1,200 1,000 1, Operating system vulnerabilities Browser vulnerabilities 1, Microsoft 0 0 2H10 1H11 2H11 1H12 2H12 1H13 2H10 1H11 2H11 1H12 2H12 1H13 Nel settore del software la divulgazione di informazioni relative a vulnerabilità è diminuita dell'1,3% rispetto a 2H12 e del 10,1% rispetto a 1H12. L'aumento della divulgazione di informazioni relative a vulnerabilità del sistema operativo in 1H13 compensa ampiamente una corrispondente diminuzione della divulgazione di informazioni relative a vulnerabilità delle applicazioni nello stesso periodo, dando origine nel complesso a un piccolo cambiamento. Tuttavia, la divulgazione di informazioni relative a vulnerabilità rimane in generale significativamente inferiore rispetto alla situazione antecedente il 2009, quando non era insolito rilevare un numero complessivo di oltre divulgazioni a semestre. 1 Nel report si fa riferimento a periodi semestrali e trimestrali utilizzando i formati nhaa o nqaa, dove aa indica l'anno di calendario e n indica il semestre o il trimestre. Ad esempio, 1H13 rappresenta il primo semestre del 2013 (1 gennaio - 30 giugno) e 4Q12 rappresenta il quarto trimestre del 2012 (1 ottobre - 31 dicembre). Gennaio-Giugno

6 Tasso di contatto: introduzione di una nuova metrica per analizzare la prevalenza di malware Per diversi anni i tassi di infezione segnalati nel Microsoft Security Intelligence Report sono stati calcolati utilizzando una metrica denominata CCM (Computer Cleaned per Mille). CCM rappresenta il numero di computer puliti ogni esecuzioni dello Strumento di rimozione malware (MSRT). MSRT permette di valutare l'ambito di infezioni estese, imputabili a specifiche famiglie di malware. La portata globale, l'ampia base installata e il rilascio regolarmente pianificato dello strumento facilitano un confronto coerente dei tassi di infezione relativi tra le diverse popolazioni di computer. Per descrivere meglio la totalità degli elementi con cui gli utenti entrano in contatto nell'ecosistema del malware, Microsoft introduce una nuova metrica denominata tasso di contatto. Tale metrica corrisponde alla percentuale di computer che eseguono prodotti di sicurezza Microsoft in tempo reale che entrano in contatto con malware durante un periodo di tempo specificato, ad esempio un trimestre. Si noti che un computer che entra in contatto con malware non viene necessariamente compromesso da una minaccia, in quanto il prodotto di sicurezza in tempo reale potrebbe rilevare tale minaccia e impedirne l'esecuzione. Il rilevamento verrebbe incluso nel calcolo del tasso di contatto di tale computer, ma non di quello di infezione. I tassi di infezione e quelli di contatto possono creare insieme un quadro più ampio della panoramica del malware. Le diverse prospettive di queste due metriche possono fornire un'analisi più chiara della prevalenza di malware e del suo potenziale effetto in un panorama globale. La Figura 2 mostra il tasso di infezione globale rispetto al tasso di contatto per ogni trimestre, da 3Q12 a 2Q13, con scale equalizzate ai fini del confronto (100 per mille equivale a 10 percento). 4 Microsoft Security Intelligence Report, Volume 15

7 Computers cleaned per 1,000 scanned (CCM) Percent of reporting computers (encounter rate) Figura 2. Tassi di contatto e di infezione per trimestre, 3Q12-2Q % 18% Q12 4Q12 1Q13 2Q13 16% 14% 12% 10% 8% 6% 4% 2% 0% Infection rate (CCM) Encounter rate Come illustrato nella Figura 2 e come è prevedibile, i contatti con il malware sono molto più comuni delle infezioni. In media, circa il 17,0% dei computer in uso nel mondo entrano in contatto con malware ogni trimestre in 1H12, secondo quanto segnalato dai prodotti di sicurezza Microsoft. Nel contempo, MSRT ha rilevato e rimosso malware da circa 6 computer su 1000 (0,6%). Gennaio-Giugno

8 Percent of reporting computers (encounter rate) Exploit Per exploit si intende un codice dannoso che trae vantaggio dalle vulnerabilità del software per infettare, violare o prendere il controllo di un computer senza il consenso dell'utente e in genere senza che quest'ultimo ne sia a conoscenza. Gli exploit mirano alle vulnerabilità di sistemi operativi, Web browser, applicazioni o componenti software installati nel computer. Per ulteriori informazioni, scaricare il report SIRv15 all'indirizzo Nella Figura 3 viene mostrata la prevalenza dei diversi tipi di exploit rilevati dai prodotti antimalware Microsoft ogni trimestre, da 3Q12 a 2Q13, per numero di singoli computer entrati in contatto. Figura 3. Diversi tipi di tentativi di exploit rilevati in singoli computer, 3Q12-2Q13 3.0% 2.5% 2.0% HTML/JavaScript 1.5% Java 1.0% 0.5% 0.0% 3Q12 4Q12 1Q13 2Q13 Operating system Documents Adobe Flash (SWF) Other I rilevamenti di singoli exploit spesso aumentano e diminuiscono in modo significativo da un trimestre all'altro, parallelamente all'aggiunta e rimozione di diversi exploit da parte dei distributori di kit di exploit. Questa variazione può anche incidere sulla prevalenza relativa di diversi tipi di exploit, come illustrato nella Figura 3. Le minacce basate sul Web (HTML/JavaScript) hanno continuato a essere il tipo più comune di exploit rilevati in 2Q13, seguiti dagli exploit Java e da quelli a livello di sistema operativo. Il tasso di contatto per gli exploit HTML/JavaScript ha raggiunto livelli di picco in 1Q13, principalmente a causa della famiglia di exploit multipiattaforma Blacole, entrata in contatto con l'1,12% dei computer di tutto il mondo nel trimestre specificato. Ulteriori informazioni su Blacole sono disponibili nella sezione successiva. 6 Microsoft Security Intelligence Report, Volume 15

9 Famiglie di exploit Nella Figura 4 viene mostrato un elenco delle famiglie di exploit rilevate con maggiore frequenza durante la prima metà del Figura 4. Tendenze dei tassi di contatto trimestrali per le principali famiglie di exploit rilevate dai prodotti antimalware Microsoft in 1H13, evidenziati in base alla rispettiva prevalenza Exploit Piattaforma o tecnologia 3Q12 4Q12 1Q13 2Q13 HTML/IframeRef* HTML/JavaScript 0.37% 0.58% 0.98% 1.08% Blacole HTML/JavaScript 1.60% 1.34% 1.12% 0.62% CVE Java 0.84% 1.32% 0.89% 0.61% CVE (MS10-046) Sistema operativo 0.51% 0.57% 0.57% 0.53% CVE Java 0.91% 0.53% 0.49% 0.31% CVE Java 0.38% 0.33% CVE (MS12-034) Sistema operativo 0.11% 0.62% 0.04% Pdfjsc Documento 0.77% 1.56% 0.53% 0.12% CVE Java 0.10% 0.32% CVE Java 0.31% 0.17% 0.18% 0.21% I totali non includono gli exploit rilevati come parte di kit di exploit. *I totali includono solo le varianti IframeRef classificate come exploit. HTML/IframeRef, l'exploit più comunemente rilevato in 1H13, è un rilevamento generico relativo a specifici tag HTML di frame non ancorato (IFrame) che puntano a siti Web remoti con contenuto dannoso. Più propriamente considerati downloader di exploit che veri exploit, queste pagine dannose utilizzano molteplici tecniche per sfruttare le vulnerabilità di browser e plug-in. L'unico aspetto comune è l'utilizzo di un frame non ancorato da parte dell'autore dell'attacco per recapitare gli exploit agli utenti. L'esatto exploit recapitato e rilevato da una di queste firme può essere modificato frequentemente. Due varianti di IframeRef altamente ricorrenti sono state riclassificate come JS/Seedabutor in 1Q13, tuttavia il tasso di contatto per IframeRef è rimasto elevato nel corso del trimestre dopo l'aggiunta delle firme di rilevamento per la variante Trojan:JS/IframeRef.K ai prodotti antimalware Microsoft, in risposta ai cosiddetti attacchi "Darkleech", che aggiungono frame non ancorati alle pagine Web ospitate in server Web Apache compromessi. Gennaio-Giugno

10 Malware Le informazioni contenute in questa sezione sono state compilate in base a dati di telemetria generati da più fonti, inclusi oltre un miliardo di computer in tutto il mondo e alcuni dei servizi più utilizzati in Internet. Questo volume di Microsoft Security Intelligence Report include un nuovo meccanismo per la misurazione della prevalenza di malware denominato tasso di contatto. In molti dei grafici di questa sezione, e nelle relative analisi, sono presenti dati sui tassi di contatto insieme a dati sui tassi di infezione misurati con la metrica CCM definita. Per una panoramica dei modelli di minacce in tutto il mondo, nella Figura 5 vengono mostrati i tassi di infezione e di contatto in località di tutto il mondo nel secondo trimestre del Microsoft Security Intelligence Report, Volume 15

11 Figura 5. Tassi di infezione (in alto) e tassi di contatto (in basso) per paese in 2Q13 Utilizzo del software di sicurezza Le versioni recenti di MSRT raccolgono e segnalano dettagli sullo stato del software antimalware in tempo reale, se l'amministratore del computer ha scelto di fornire dati a Microsoft. Questa telemetria consente di analizzare i modelli di utilizzo del software di sicurezza nel mondo e metterli in relazione con i tassi di infezione. La Figura6 mostra la percentuale di computer in uso nel mondo rilevati dallo strumento MSRT come protetti o non protetti da software di sicurezza in tempo reale ogni trimestre, da 3Q12 a 2Q13. Gennaio-Giugno

12 Percent of computers running the MSRT Figura 6. Percentuale di computer nel mondo protetti da software di sicurezza in tempo reale, 3Q12-2Q13 80% 70% Always protected 60% 50% 40% 30% 20% Intermittently protected 10% Unprotected 0% 3Q12 4Q12 1Q13 2Q13 Tassi di infezione e di contatto per sistema operativo Le funzionalità e gli aggiornamenti disponibili con le diverse versioni del sistema operativo Windows e le differenze nel modo in cui persone e organizzazioni utilizzano ogni versione influenzano i tassi di infezione per le diverse versioni e Service Pack. La Figura 7 mostra il tasso di infezione per ogni combinazione di sistema operativo Windows/Service Pack attualmente supportata che abbia concorso ad almeno lo 0,1% delle esecuzioni totali di MSRT in 2Q Microsoft Security Intelligence Report, Volume 15

13 Computers cleaned per 1,000 scanned (CCM) Figura 7. Tasso di infezione (CCM) per sistema operativo e Service Pack in 2Q CLIENT SERVER SP3 SP2 RTM SP1 RTM Windows XP Windows Vista Windows 7 Windows Windows Server 2012 RTM "32" = edizione a 32 bit; "64" = edizione a 64 bit. SP = Service Pack. RTM = Release To Manufacturing. Sistemi operativi con almeno 0,1% di esecuzioni totali mostrate in 2Q13. Questi dati sono normalizzati, ovvero il tasso di infezione per ogni versione di Windows viene calcolato confrontando un numero uguale di computer per versione (ad esempio, computer Windows XP SP3 con computer RTM Windows 8). La Figura 8 mostra la differenza tra il tasso di infezione e quello di contatto per I sistemi operativi client Windows supportati in 2Q13 (edizioni a 32 e 64 bit combinate). Gennaio-Giugno

14 Percent of reporting computers (encounter rate) Computers cleaned per 1,000 scanned (CCM) Percent of reporting computers (encounter rate) Figura 8. Tassi di infezione e di contatto per i sistemi operativi client Windows supportati, 2Q INFECTION RATE ENCOUNTER RATE 30% 24% 19.1% % 16.5% 18% % 12% % 0.0 Windows XP SP3 Windows Vista SP2 Windows 7 SP1 Windows 8 RTM Windows XP SP3 Windows Vista SP2 Windows 7 SP1 Windows 8 RTM 0% Famiglie di minacce La Figura 9 mostra le tendenze del rilevamento per un numero di famiglie aumentato o diminuito in modo significativo negli ultimi quattro trimestri. Figura 9. Tendenze del rilevamento per un numero di famiglie di malware note, 3Q12-2Q13 2.5% 2.0% 1.5% Win32/Obfuscator INF/Autorun JS/IframeRef 1.0% Win32/Gamarue 0.5% Win32/Sirefef JS/Seedabutor 0.0% 3Q12 4Q12 1Q13 2Q13 12 Microsoft Security Intelligence Report, Volume 15

15 Percent of reporting computers (encounter rate) I rilevamenti generici Win32/Obfuscator, INF/Autorun e HTML/IframeRef sono state le tre minacce più comunemente rilevate in 1H13. Autorun, la minaccia più comunemente rilevata nel mondo in tale periodo, è un rilevamento generico per worm che si diffondono tra volumi installati utilizzando la funzionalità di esecuzione automatica di Windows. Le modifiche apportate alla funzionalità in Windows XP e Windows Vista hanno reso questa tecnica meno efficace nel tempo, tuttavia gli autori di attacchi continuano a distribuire malware che tenta di sfruttarla e i prodotti Microsoft antimalware rilevano e bloccano tali tentativi anche quando non avrebbero esito positivo. I rilevamenti di Obfuscator sono saliti dal quarto posto in 1Q13 al primo posto in 2Q13, rendendolo la seconda minaccia più comunemente rilevata nel mondo per l'intero semestre. Obfuscator è un rilevamento generico per I programmi modificati da strumenti di occultamento del malware. Questi strumenti utilizzano in genere una combinazione di metodi, tra cui crittografia, compressione e tecniche antidebug o antiemulazione, per alterare i programmi malware nel tentativo di impedire l'analisi o il rilevamento da parte dei prodotti di sicurezza. Il risultato è solitamente un altro programma che mantiene la stessa funzionalità del programma originale, ma con codice, dati e geometria diversi. Minacce in ambito domestico o aziendale I modelli di utilizzo degli utenti domestici e di quelli aziendali tendono a essere molto diversi. L'analisi di tali differenze può fornire una panoramica dei modi diversi con cui gli autori di attacchi mirano a utenti aziendali e domestici, oltre che delle minacce con maggiori probabilità di riuscita in ciascun ambiente. Figura 10. Tassi di contatto del malware per computer per uso personale e aziendali, 3Q12-2Q13 20% 18% Consumer 16% 14% 12% 10% Enterprise 8% 6% 4% 2% 0% 3Q12 4Q12 1Q13 2Q13 Gennaio-Giugno

16 Negli ambienti aziendali vengono di solito implementate misure di difesa avanzate, ad esempio firewall aziendali che impediscono a una certa quantità di malware di raggiungere i computer degli utenti. Di conseguenza, i computer aziendali tendono ad avere un tasso di contatto inferiore rispetto ai computer per uso personale. Il tasso di contatto per questi ultimi è stato di 1,5 volte maggiore di quello dei computer aziendali in 1Q13, con un aumento della differenza a 1,8 volte in 2Q13. Nella Figura 11 e nella Figura 12 sono elencate le prime 10 famiglie rilevate rispettivamente dai prodotti di sicurezza aziendali e per uso personale, in 1H13. Figura 11. Tendenze trimestrali relative alle prime 10 famiglie rilevate dai prodotti di sicurezza Microsoft aziendali in 1H13, per percentuale di computer entrati in contatto con ogni famiglia 14 Microsoft Security Intelligence Report, Volume 15

17 Figura 12. Tendenze trimestrali relative alle prime 10 famiglie rilevate dai prodotti di sicurezza Microsoft per uso personale in 1H13, per percentuale di computer entrati in contatto con ogni famiglia Otto famiglie sono comuni a entrambi gli elenchi. Di queste, solo Win32/Conficker e JS/Seedabutor sono risultate più ricorrenti nei computer per uso personale rispetto a quelli aziendali. Due famiglie di exploit, Java/CVE e Blacole, sono state tra le prime 10 minacce per i computer aziendali ma non per quelli per uso personale. La famiglia di worm Win32/Gamarue e la famiglia di virus Win32/Sality sono state tra le prime 10 minacce per i computer per uso personale ma non per quelli aziendali. I rilevamenti generici Win32/Obfuscator e INF/Autorun, la prima e la seconda minaccia più comunemente rilevate nei computer per uso privato, sono invece state rilevate meno frequentemente nei computer aziendali. Obfuscator è stato rilevato oltre sei volte più spesso nei computer aziendali in 2Q13 (con un tasso di contatto del 3,8%) rispetto ai computer per uso privato (con un tasso di contatto dello 0,6%). Autorun è stato rilevato con una frequenza doppia nei computer aziendali (con un tasso di contatto del 3,4%) rispetto ai computer per uso privato (con un tasso di contatto dell' 1,4%). Gennaio-Giugno

18 Spam messages blocked (in billions) Minacce della posta elettronica Messaggi di posta indesiderata bloccati Le informazioni contenute in questa sezione di Microsoft Security Intelligence Report vengono compilate in base a dati di telemetria forniti da Exchange Online Protection, che offre servizi di filtro della posta indesiderata, phishing e malware per decine di migliaia di clienti aziendali Microsoft che inviano e ricevono decine di miliardi di messaggi al mese. Figura 13. Messaggi bloccati da Exchange Online Protection, luglio giugno Jul Aug Sep Oct Nov Dec Jan Feb Mar Apr May Jun Il volume di messaggi di posta indesiderata bloccati in 1H13 è lievemente aumentato rispetto a 2H12, ma si è mantenuto molto al di sotto dei livelli riscontrati prima della fine del La significativa diminuzione dei messaggi bloccati riscontrata dal 2010 è attribuibile ad azioni intraprese contro un numero di botnet ad alto volume, in particolare i botnet Cutwail (agosto 2010) e Rustock (marzo 2011). 2 In 1H13 Exchange Online Protection ha determinato che circa 1 messaggio su 4 non ha dovuto essere bloccato o filtrato, rispetto al rapporto di 1 su 33 del Per ulteriori informazioni sulle azioni intraprese contro Cutwail, vedere Microsoft Security Intelligence Report, Volume 10 (luglio - dicembre 2010). Per ulteriori informazioni sulle azioni intraprese contro Rustock, scaricare "La battaglia contro Rustock" dal Download Center Microsoft. 16 Microsoft Security Intelligence Report, Volume 15

19 Spam messages blocked (in billions) Figura 14. Messaggi di posta indesiderata bloccati da Exchange Online Protection per semestre, 2H09-1H H09 1H10 2H10 1H11 2H11 1H12 2H12 1H13 Figura 15. Messaggi in ingresso bloccati dai filtri di Exchange Online Protection in 1H13, per categoria Other 1.5% Pharmacy (nonsexual) 42.7% Image-only 17.6% Gambling 1.2% 419 scams 15.5% Dating/sexually explicit material 2.2% Stock 1.5% Financial 3.4% Phishing 3.8% Malware 5.5% Non-pharmacy product ads 5.0% I filtri dei contenuti di Exchange Online Protection riconoscono diversi tipi comuni di messaggi di posta indesiderata. Nella Figura 15 vengono mostrati i valori relativi alla prevalenza dei tipi di posta indesiderata rilevati in 1H13. Gennaio-Giugno

20 Siti Web dannosi Siti di phishing I siti di phishing sono ospitati in tutto il mondo su siti di hosting gratuiti, server Web compromessi e numerosi altri contesti. Figura 16. Siti di phishing per host Internet ubicati in tutto il mondo in 2Q13 Il filtro SmartScreen ha rilevato 4,2 siti di phishing ogni host Internet nel mondo in 2Q13. I paesi che presentano una concentrazione superiore alla media di siti di phishing includono Indonesia (11,6 per host Internet in 2Q13), Ucraina (10,9) e Russia (8,5). Quelli con una concentrazione più bassa includono invece Taiwan (1,2), Giappone (1,3) e Corea (1,9). Siti che ospitano malware Il filtro SmartScreen in Internet Explorer migliora la protezione non solo nei confronti dei siti di phishing, ma anche di siti noti per la presenza di malware. Il filtro SmartScreen utilizza dati sulla reputazione di URL e file e tecnologie Microsoft antimalware per determinare se i siti distribuiscono contenuti non sicuri. Come per i siti di phishing, Microsoft raccoglie dati in forma anonima sul numero di persone che visitano ciascun sito che ospita malware e usa tali dati per migliorare il filtro SmartScreen e contrastare in modo più efficace la distribuzione di malware. 18 Microsoft Security Intelligence Report, Volume 15

21 Figura 17. Siti di distribuzione malware per host Internet ubicati in tutto il mondo in 2Q13 I siti che ospitano malware sono stati significativamente più comuni dei siti di phishing in 1H13. Il filtro SmartScreen ha rilevato 11,7 siti che ospitano malware ogni host Internet nel mondo in 1Q13 e 17,7 per 1000 in 2Q13. La Cina, che presentava una concentrazione inferiore alla media di siti di phishing (2,3 per 1000 host Internet in 2Q13), ha invece un concentrazione molto elevata di siti che ospitano malware (37,7 per 1000 host in 2Q13). Altri paesi con un'alta concentrazione di siti che ospitano malware sono Ucraina (71,2), Russia (43,6) e Brasile (33,6). Quelli con una concentrazione più bassa includono invece Finlandia (6,1), Danimarca (7,0) e Giappone (7,0). Siti di download drive-by Un sito di download drive-by è un sito Web che ospita uno o più exploit destinati alle vulnerabilità nei Web browser e nei componenti aggiuntivi del browser. Gli utenti con computer vulnerabili possono essere infettati da malware semplicemente visitando un sito Web, anche senza provare a scaricare nulla. Gennaio-Giugno

22 Figura 18. Pagine di download drive-by indicizzate da Bing alla fine di 2Q13 (in basso), per 1000 URL in ogni paese In questo documento sono riepilogati i risultati del report. Sul sito Web SIR è inoltre disponibile un'analisi approfondita delle tendenze rilevate in oltre 100 paesi nel mondo e vengono offerti suggerimenti per facilitare la gestione dei rischi per l'organizzazione, il software e le persone. È possibile scaricare il report SIRv15 all'indirizzo 20 Microsoft Security Intelligence Report, Volume 15

23

24 One Microsoft Way Redmond, WA microsoft.com/security