Microsoft Security Intelligence Report, volume 6 (luglio - dicembre 2008)

Transcript

1 Microsoft Security Intelligence Report, volume 6 (luglio - dicembre 2008) Riepilogo dei principali risultati Il volume 6 di Microsoft Security Intelligence Report fornisce un'analisi approfondita su vulnerabilità legate al software (sia Microsoft che di terze parti), exploit software, malware e software potenzialmente indesiderati rilevati da Microsoft durante gli scorsi anni, con particolare attenzione alla seconda metà del 2008 (2H08) 1. Il report contiene anche nuove informazioni su software di protezione non autorizzati, exploit basati su browser, exploit su formati di documenti comuni, nonché informazioni aggiornate sulle violazioni della protezione e della privacy. Questo documento rappresenta un riepilogo dei principali risultati del report. Il Security Intelligence Report offre inoltre strategie, metodi di attenuazione dei rischi e contromisure e può essere scaricato dal sito Software di protezione non autorizzati La presenza di software di protezione non autorizzato è aumentata notevolmente negli ultimi tempi (vedere la categoria Altri trojan horse nella Figura 16 riportata di seguito). Il software di protezione non autorizzato utilizza tattiche per infondere timori e convincere le vittime ad acquistare "versioni complete" del software al fine di rimuovere e proteggere se stessi dal malware, di interrompere i continui messaggi di avviso e segnalazione, o entrambe le cose. Nel Security Intelligence Report è possibile trovare esempi di tecniche di social engineering dei software di protezione non autorizzati, comprese alcune screenshot. Il report contiene anche una sezione relativa alle azioni legali intraprese contro i distributori di software di protezione non autorizzati. 1 La nomenclatura utilizzata nel report per fare riferimento ai diversi periodi presi in considerazione è nhyy, dove nh si riferisce alla prima (1) o alla seconda (2) metà dell'anno e YY all'anno. Ad esempio, 2H08 indica la seconda metà del 2008 (dal 1 luglio al 31 dicembre), mentre 1H08 indica la prima metà del 2008 (dal 1 gennaio al 30 giugno).

2 Rilevamenti delle vulnerabilità del settore Per vulnerabilità si intendono i punti deboli di un programma software che consentono a un utente malintenzionato di compromettere l'integrità, la disponibilità o la riservatezza del software stesso. Alcune delle vulnerabilità più gravi permettono agli utenti malintenzionati di eseguire codice arbitrario sui sistemi compromessi. I dati sulle vulnerabilità presenti in questa sezione sono stati raccolti da fonti di terze parti, report pubblicati e dati di proprietà di Microsoft. Il numero totale di rilevamenti delle vulnerabilità del settore è diminuito nella seconda metà del 2008, precisamente del 3% rispetto alla prima metà del Considerando tutto il 2008, i rilevamenti totali sono diminuiti del 12% rispetto al Al contrario, le vulnerabilità classificate di livello Elevato dal Common Vulnerability Scoring System (CVSS) 2 sono aumentate del 4% rispetto alla prima metà del 2008; circa il 52% di tutte le vulnerabilità sono classificate di livello Elevato. In tutto il 2008, il numero totale delle vulnerabilità di livello Elevato è diminuito del 16% rispetto al Figura 1. Rilevamenti delle vulnerabilità del settore per gravità CVSSv2, per semestre, dalla prima metà del 2003 alla seconda metà del Nella composizione della gravità delle vulnerabilità di livello Elevato, è stato rilevato un aumento della percentuale delle vulnerabilità che più facilmente possono essere sfruttate, con un 56% che si classifica in un exploit di complessità Bassa 3. La proporzione di vulnerabilità rilevate nei sistemi operativi del settore continua a diminuire. Oltre il 90% delle vulnerabilità interessava le applicazioni o i browser. 2 Il CVSS è uno standard del settore che consente di valutare la gravità delle vulnerabilità del software. Visitare il sito per ulteriori informazioni e dettagli. 3 A cura di: Mell, Peter, Karen Scarfone e Sasha Romanosky. "A Complete Guide to the Common Vulnerability Scoring System Version 2.0" ( sezione (in inglese).

3 Figura 2. Sistema operativo, browser e altre vulnerabilità del settore, dalla seconda metà del 2003 alla seconda metà del 2008 Dettagli sulle vulnerabilità Microsoft per la seconda metà del 2008 Nella seconda metà del 2008 Microsoft ha rilasciato 42 bollettini sulla sicurezza per la risoluzione di 97 vulnerabilità identificate dal CVE, con un aumento del 67,2% rispetto al numero di vulnerabilità risolte nella prima metà del In tutto il 2008, Microsoft ha rilasciato 78 bollettini sulla sicurezza risolvendo 155 vulnerabilità, con un aumento del 16,8% rispetto a tutto il Figura 3. Bollettini sulla sicurezza rilasciati e CVE risolti per semestre, dalla prima metà del 2005 alla seconda metà del 2008

4 Responsible Disclosures Con il termine Responsible Disclosures si fa riferimento al processo di comunicazione in forma privata delle vulnerabilità a un fornitore interessato per consentirgli di sviluppare un aggiornamento completo della protezione e risolvere la vulnerabilità prima che i relativi dettagli vengano resi pubblici. Gli utenti sono così più protetti e possono impedire a potenziali intrusi di scoprire le nuove vulnerabilità prima che vengano resi disponibili gli aggiornamenti della protezione. Nella seconda metà del 2008, il 70,6% delle segnalazioni delle vulnerabilità Microsoft ha adottato procedure di responsible disclosures, con una diminuzione rispetto al 78,2% della prima metà del La percentuale di responsible disclosures in tutto il 2008 è stata notevolmente superiore rispetto all'anno precedente. Il rapporto diretto con la Security Community e la soluzione preventiva dei problemi di sicurezza consentono di comunicare responsabilmente la maggior parte dei problemi. Figura 4. Responsible disclosures delle vulnerabilità come percentuale di tutte le segnalazioni, dalla prima metà del 2005 alla seconda metà del 2008 Exploit basati su browser Per valutare la presenza relativa di exploit basati su browser nella seconda metà del 2008, Microsoft ha analizzato un campione di dati ottenuti da violazioni riportate dai clienti, invii di codice dannoso e report di errori Microsoft Windows. Questi dati riguardano più sistemi operativi e versioni browser, da Windows XP a Windows Vista. Sono compresi inoltre dati provenienti da browser di terze parti che ospitano il motore di rendering Internet Explorer (Trident). 4 Le impostazioni locali del sistema più comuni per le vittime di exploit basati su browser erano quelle relative all'inglese americano, con il 32,4% di tutte le violazioni, seguite dal 25,6% per il cinese (semplificato). Per gli attacchi basati su browser nei computer con Windows XP, le vulnerabilità Microsoft ammontavano al 40,9% del totale, con una diminuzione rispetto al 42,0% della prima metà del Nei computer con Windows Vista, la proporzione Microsoft era di gran lunga inferiore, circa il 5,5% del totale, con una diminuzione rispetto al 6,0% della prima metà del Visitare il sito per ulteriori informazioni su Trident.

5 Figura 5. Exploit basati su browser che interessano software Microsoft e di terze parti in computer con Windows XP, seconda metà del 2008 Figura 6. Exploit basati su browser che interessano software Microsoft e di terze parti in computer con Windows Vista, seconda metà del 2008 Il software Microsoft è stato interessato da 6 delle 10 principali vulnerabilità basate su browser sfruttate nei computer con Windows XP nella seconda metà del 2008, rispetto al valore zero dei computer con Windows Vista, simile al modello osservato nella prima metà del Nelle figure riportate di seguito vengono illustrate in modo dettagliato le 10 principali vulnerabilità basate su browser sfruttate nei computer con Windows XP e nei computer con Windows Vista. Le vulnerabilità sono indicate dal numero del bollettino CVSS o dal numero del bollettino Microsoft sulla sicurezza. Figura 7. Prime 10 vulnerabilità basate su browser sfruttate nei computer con Windows XP, seconda metà del 2008 Vulnerabilità Microsoft Vulnerabilità di terze parti

6 Figura 8. Prime 10 vulnerabilità basate su browser sfruttate nei computer con Windows Vista, seconda metà del 2008 Exploit su formati di documenti Gli utenti malintenzionati utilizzano sempre più formati file comuni come vettori di trasmissione per gli exploit. I più moderni programmi di posta elettronica e di messaggistica immediata sono configurati per bloccare file potenzialmente pericolosi in base all'estensione. Tuttavia, tali programmi consentono generalmente la trasmissione di formati file comuni come Microsoft Office e Adobe Portable Document Format (.pdf). Questi programmi vengono utilizzati legittimamente da molte persone ogni giorno, pertanto non sono stati bloccati. Ma in questo modo costituiscono un obiettivo interessante per i creatori di exploit. Formati file di Microsoft Office Le vulnerabilità sfruttate più frequentemente nel software Microsoft Office erano tra le meno recenti. Il 91,3% degli attacchi esaminati sfruttavano una sola vulnerabilità per cui per oltre due anni è stata disponibile una correzione rapida per la protezione (CVE ). Le impostazioni locali più comuni per le vittime erano quelle relative all'inglese, circa il 32,5% di tutte le violazioni, seguite dal 15,7% per il cinese (tradizionale). Nella maggior parte dei casi, le versioni dell'applicazione attaccate non disponevano di Service Pack aggiornati. Per ciascuna versione, gran parte degli attacchi ha interessato la versione Release to Manufacturing (RTM) della suite di applicazioni che non disponevano di Service Pack. Nel caso di Office 2000, ad esempio, il 100% degli attacchi ha interessato la versione RTM della suite di applicazioni, rilasciata nel 1999, nonostante all'inizio del 2000 fossero stati rilasciati numerosi Service Pack e altri aggiornamenti della protezione.

7 Figura 9. Attacchi in base al livello di aggiornamento di Office 2003, Office XP e Office 2000, nel set di esempio di computer infetti, seconda metà del 2008 File in formato Adobe PDF L'utilizzo di file in formato PDF come vettore di attacco è aumentato bruscamente nella seconda metà del 2008, facendo registrare nel mese di luglio un numero di attacchi doppio rispetto a tutti gli attacchi della prima metà del 2008, continuando a raddoppiare o quasi per la maggior parte dei rimanenti mesi dell'anno. Due vulnerabilità per tutti gli attacchi nei file di esempio esaminati (CVE e CVE ). Adobe ha reso disponibili aggiornamenti per la protezione per entrambe le vulnerabilità; le attuali versioni di prodotti Adobe interessate non presentano alcuna vulnerabilità. Figura 10. Exploit di Adobe Reader per mese nel 2008, indicizzati sulla media della seconda metà del 2008 Tendenze delle violazioni della protezione In questa sezione del report vengono esaminati i dettagli delle violazioni della protezione in tutto il mondo tramite i dati forniti dall'osf Data Loss Database della Open Security Foundation all'indirizzo La categoria principale per la perdita di dati in seguito alla violazione della protezione nella seconda metà del 2008 è sempre il furto di apparecchiature, ad esempio di laptop (33,5% di tutte le violazioni con perdita di dati riportate). Insieme alle apparecchiature perdute, queste due categorie rappresentano il 50% di tutte le violazioni riportate. Le violazioni della protezione causate da "attacchi di hacking" o malware costituiscono meno del 20% del totale.

8 Queste scoperte rafforzano la necessità di criteri e procedure appropriate per la governance dei dati. 5 Figura 11. Violazioni della protezione per tipo, espresse in percentuali del totale, seconda metà del 2007 e seconda metà del 2008 Malware e software potenzialmente indesiderati Tendenze globali I prodotti di protezione Microsoft raccolgono, con il consenso dell'utente, dati da centinaia di milioni di sistemi informatici in tutto il mondo e da alcuni dei servizi online più utilizzati di Internet. L'analisi di questi dati fornisce una panoramica completa ed esclusiva sull'attività di malware e software potenzialmente indesiderati nel mondo. Nonostante la natura globale di Internet, esistono differenze significative tra i tipi di minacce che interessano gli utenti di varie parti del mondo. Con l'ampliarsi del social networking, l'ecosistema dei malware si basa sempre più su fattori linguistici e culturali. In Cina, vi è una grande prevalenza di modificatori di browser dannosi; in Brasile, sono diffusi i malware destinati agli utenti delle banche online; in Corea, sono comuni virus come Win32/Virut e Win32/Parite. Figura 12. Categoria di minacce in tutto il mondo e negli otto paesi con una maggioranza di computer ripuliti, in base all'incidenza tra tutti i computer ripuliti nella seconda metà del Microsoft fornisce risorse e indicazioni sulla governance dei dati sul sito

9 Nella mappa riportata di seguito viene illustrato il numero di infezioni delle località di tutto il mondo, espresso in CCM 6. Figura 13. Numero di infezioni per paese e area, nella seconda metà del 2008 Tendenze del sistema operativo Le diverse versioni del sistema operativo Microsoft Windows mostrano differenti frequenze di infezione dovute alle svariate modalità con cui le persone e le organizzazioni utilizzano ciascuna versione, oltre alle numerose funzionalità e Service Pack disponibili per ognuna di esse. Figura 14. Numero di computer ripuliti ogni mille esecuzioni di MSRT, per sistema operativo, nella seconda metà del La frequenza di infezioni in questo report viene espressa utilizzando un'unità di misura denominata Computers Cleaned per Mil (CCM), che indica il numero di computer puliti ogni mille esecuzioni dello strumento MSRT.

10 Il numero di infezioni per Windows Vista è notevolmente inferiore al numero che interessa il suo predecessore, Windows XP, in tutte le configurazioni. Confrontando i più recenti Service Pack per ciascuna versione, il numero di infezioni per Windows Vista SP1 è inferiore del 60,6% rispetto a quello per Windows XP SP3. Confrontando le versioni RTM di questi sistemi operativi, il numero di infezioni della versione RTM di Windows Vista è inferiore dell'89,1% rispetto a quella di Windows XP. Il numero di infezioni di Windows Server 2008 RTM è inferiore del 52,6% rispetto al suo processore Windows Server 2003 SP2. A un livello più elevato di Service Pack corrisponde un minore numero di infezioni. Questa tendenza può essere osservata in modo uniforme nei sistemi operativi client e server. I motivi sono due: I Service Pack includono tutti gli aggiornamenti per la protezione rilasciati in precedenza. Forniscono anche funzionalità di protezione aggiuntive nonché attenuazioni o modifiche alle impostazioni predefinite per aumentare la protezione degli utenti. Gli utenti che installano Service Pack hanno in genere una gestione migliore dei loro computer rispetto agli utenti che non li utilizzano; inoltre, sono più consapevoli nel momento in cui navigano in Internet, aprono allegati e intraprendono attività che possono rendere i computer suscettibili ad attacchi. Le versioni server di Windows normalmente mostrano un numero di infezioni inferiore, in media, rispetto alle versioni client. Le versioni server tendono ad avere una superficie di attacco inferiore rispetto ai computer che eseguono sistemi operativi client, poiché è più probabile che vengano utilizzate in condizioni controllate da amministratori esperti e che siano protette da uno o più livelli di protezione. In particolare, Windows Server 2003 e le versioni successive sono protetti da possibili attacchi in molteplici modi e tale differenza si riflette nell'uso. Panorama delle possibili minacce a casa e in azienda I computer in ambienti aziendali che eseguono Forefront Client Security sono apparsi maggiormente soggetti ad attacchi di worm rispetto ai computer di casa che eseguono Windows Live OneCare. Gli stessi computer di casa hanno riscontrato una percentuale significativamente maggiore di trojan, trojan downloader e dropper, adware ed exploit. Percentuali simili di backdoor e spyware sono state rilevate da entrambi i prodotti. Figura 15. Categorie di famiglie rimosse da Windows Live OneCare e Forefront Client Security nella seconda metà del 2008, espressa come percentuale del numero totale di computer ripuliti da ciascun programma

11 Figura 16. Computer ripuliti in base alla categoria di minaccia, in percentuale, dalla seconda metà del 2006 alla seconda metà del 2008 Distribuzione geografica dei malware L'hosting di malware tende ad essere più stabile e meno eterogeneo dal punto di vista geografico rispetto all'hosting di phishing. Questo potrebbe essere il risultato dell'uso relativamente recente di "server takedown" e "Web reputation" come armi contro la distribuzione dei malware. Ciò significa che i distributori di malware non sono stati obbligati a diversificare le disposizioni degli hosting. Le figure 17 e 18 mostrano la distribuzione geografica dei siti di hosting di malware segnalati a Microsoft nella seconda metà del 2008 in tutto il mondo e negli Stati Uniti. Figura 17. Siti di hosting malware rilevati per paese nella seconda metà del 2008, indicizzati in base alla media di tutti i paesi

12 Figura 18. Siti di hosting malware rilevati negli Stati Uniti nella seconda metà del 2008, indicizzati in base alla media di tutti i paesi Minacce tramite posta elettronica Più del 97% dei messaggi di posta elettronica inviati tramite Internet sono indesiderati: spesso contengono allegati dannosi o sono veri e propri attacchi di phishing o spam. Nella seconda metà del 2008, come nei periodi precedenti, gli spam sono stati prevalentemente rilevati negli annunci pubblicitari, principalmente di prodotti farmaceutici (il 48,6% del totale). Insieme alle pubblicità che promuovono prodotti non farmaceutici (il 23,6% del totale), gli annunci pubblicitari rappresentavano il 72,2% di spam nella seconda metà del Figura 19. Messaggi in arrivo bloccati dai filtri per i contenuti di EHS, per categoria, dalla prima metà del 2008 alla seconda metà del 2008

13 Siti Web contraffatti La maggior parte delle pagine di phishing puntano alle organizzazioni finanziarie; tuttavia, in termini di impression (tentativi degli utenti di visitare una pagina di phishing nota), anche le reti sociali sono un obiettivo comune. Figura 20. Impression per ciascun tipo di pagina di phishing e per ciascun mese nella seconda metà del 2008, indicizzate in base al numero medio di impression mensili. Il depeering McColo di metà novembre sembra aver avuto un effetto drammatico sulle impression di phishing, che sono calate del 46,2% da ottobre a novembre. Le visite alle pagine di phishing destinate ai siti di social networking hanno registrato una riduzione dal 34,1% di tutte le impression nel mese di ottobre all'1,1% nel mese di novembre. Gli Stati Uniti ospitavano il numero più elevato di pagine di phishing e il Texas era lo stato con il maggior numero di pagine di phishing. Figura 21. Distribuzione nel mondo delle pagine di phishing nella seconda metà del 2008, indicizzate in base alla media di tutti i paesi

14 Figura 22. Siti di hosting malware rilevati negli Stati Uniti nella seconda metà del 2008, indicizzati in base alla media di tutti i paesi. Pagine di download automatici A partire dalla seconda metà del 2008, Live Search ha rilevato ogni mese oltre un milione di pagine di download automatici. Tale cifra equivale allo 0,07% di tutte le pagine indicizzate (circa 1 su 1500). I domini di primo livello (TLD, Top Level Domain) con il numero maggiore di pagine che ospitavano exploit automatici erano.name (lo 0,23% di tutte le pagine),.edu (lo 0,19%) e.net (lo 0,19%). Gli exploit utilizzati dalla maggior parte delle pagine di download automatici sono ospitati da un numero ridotto di server.

15 Contributo per il miglioramento del Security Intelligence Report Grazie per il tempo dedicato alla lettura dell'ultima edizione del Microsoft Security Intelligence Report. Microsoft si impegna a mantenere le informazioni fornite in questo documento sempre utili e rilevanti per i propri clienti. Per commenti su questa edizione del report o suggerimenti su come migliorare le edizioni future, inviare un messaggio di posta elettronica all'indirizzo sirfb@microsoft.com. Grazie e cordiali saluti, Microsoft Trustworthy Computing Lo scopo di questo riepilogo è puramente informativo. MICROSOFT ESCLUDE OGNI GARANZIA ESPRESSA, IMPLICITA O DI LEGGE RELATIVAMENTE ALLE INFORMAZIONI CONTENUTE IN QUESTO DOCUMENTO. Nessuna parte di questo riepilogo potrà essere riprodotta, archiviata o inserita in un sistema di recupero dati o trasmessa in qualsiasi forma e con qualsiasi mezzo (in formato elettronico, meccanico, su fotocopia, come registrazione o altro) per qualsiasi scopo, senza l'autorizzazione scritta di Microsoft Corporation. Microsoft può essere titolare di brevetti, domande di brevetto, marchi, copyright o altri diritti di proprietà intellettuale relativi all'oggetto del presente riepilogo. Salvo quanto espressamente previsto in un contratto di licenza scritto di Microsoft, la fornitura del presente riepilogo non implica la concessione di alcuna licenza relativamente a tali brevetti, marchi, copyright o altra proprietà intellettuale. Copyright 2009 Microsoft Corporation. Tutti i diritti riservati. Microsoft, il logo Microsoft, Windows, Windows XP, Windows Vista e Microsoft Office sono marchi registrati o marchi di Microsoft Corporation negli Stati Uniti e/o in altri Paesi. Altri nomi di prodotti e società citati nel presente documento possono essere marchi dei rispettivi proprietari.