Micrsft Security Intelligence Reprt Vlume 11 Un quadr dettagliat di vulnerabilità legate al sftware, explit, malware e sftware ptenzialmente indesiderat rilevati durante la prima metà del 2011 RISULTATI PRINCIPALI
Micrsft Security Intelligence Reprt Il presente dcument è stat redatt a scp puramente infrmativ. MICROSOFT NON OFFRE ALCUNA GARANZIA, ESPLICITA, IMPLICITA O PRESCRITTA DALLA LEGGE, RELATIVAMENTE ALLE INFORMAZIONI CONTENUTE NEL PRESENTE DOCUMENTO. Il presente dcument viene frnit "csì cm'è". Le infrmazini e i pareri espressi nel presente dcument, cmpresi gli URL e altri rimandi a siti Web, sn sggetti a mdifica senza bblig di preavvis. Gli eventuali rischi legati all'us delle infrmazini del presente Reprt sn a caric dell'utente. Cpyright 2011 Micrsft Crpratin. Tutti i diritti riservati. I nmi delle scietà e dei prdtti qui menzinati pssn essere marchi dei rispettivi prprietari. 1
Smmari Micrsft Security Intelligence Reprt, Vlume 11... 3 Individuazine dei metdi di prpagazine del malware... 4 Wrldwide Threat Intelligence... 8 Divulgazine delle vulnerabilità... 8 Explit... 9 Explit di dcumenti... 10 Malware e sftware ptenzialmente indesiderat... 11 Tassi di infezine dei sistemi perativi... 11 Famiglie e categrie di minacce... 12 Minacce per le aziende... 13 Minacce diffuse tramite psta elettrnica... 13 Siti Web dannsi... 14 2
Micrsft Security Intelligence Reprt, Vlume 11 Il Vlume 11 del Micrsft Security Intelligence Reprt (SIRv11) ffre un quadr dettagliat di vulnerabilità legate al sftware, explit, malware e sftware ptenzialmente indesiderat rilevat in prdtti Micrsft e di terze parti. Le infrmazini frnite da Micrsft si basan su un'apprfndita analisi delle tendenze degli ultimi anni, cn una particlare attenzine alla prima metà del 2011. Nel presente dcument sn stati riepilgati i risultati principali del reprt. La versine cmpleta del reprt include inltre un'attenta analisi delle tendenze rilevate in ltre 100 paesi di tutt il mnd e ffre infrmazini che rendn pssibile la gestine dei rischi ai quali sn espsti rganizzazini, sftware e utenti. La versine cmpleta del reprt, csì cme i vlumi precedenti e i vide crrelati, pssn essere scaricati all'indirizz www.micrsft.cm/sir. 3
Individuazine dei metdi di prpagazine del malware Micrsft ha cndtt una ricerca vlta a cmprendere megli la frequenza di explit di tip zer-day e i rischi che ne derivan per i clienti. L scp di tale ricerca era frnire ai prfessinisti della sicurezza infrmazini che ptesser cnsentire lr di assegnare prirità alle varie prblematiche nnché di gestire i rischi in md efficace. Durante la pianificazine e l'esecuzine delle lr attività i reparti IT, prpri cme chiunque altr, si trvan ad affrntare prblematiche legate al temp, al budget, al persnale e alle risrse. La pssibilità di disprre di infrmazini accurate e aggirnate sul panrama delle minacce cnsente ai prfessinisti della sicurezza di dare assluta prirità ad attività di difesa, salvaguardand reti, sftware e utenti. Per la ricerca, le minacce rilevate dall Strument di rimzine malware (MSRT) durante la prima metà del 2011 sn state classificate in base al mezz di prpagazine utilizzat da ciascuna famiglia di minacce per infettare le vittime degli attacchi. Nei casi in cui è stat ntat che, per infettare gli utenti, la minaccia si serviva di più vettri, il numer delle infezini segnalat dall strument MSRT per tale famiglia è stat suddivis e attribuit equamente a ciascun vettre. Nella Figura sn illustrati i risultati di tale ricerca. 4
Figura. Malware rilevat dall strument MSRT durante la prima metà del 2011, per metdi di prpagazine dcumentati I vari metdi di prpagazine delle minacce malware ai quali si fa riferiment nella Figura sn descritti nel md seguente: Interazine dell'utente necessaria. Si tratta dei casi in cui l'utente deve eseguire un'azine perché il cmputer venga cmprmess. In quest cas, per "azine" si intende un'azine intenzinale, in qualche md diversa dal nrmale utilizz del cmputer. Esecuzine autmatica: USB. La minaccia sfrutta la funzinalità Esecuzine autmatica in Windws per infettare dispsitivi di archiviazine USB e altri vlumi rimvibili. Esecuzine autmatica: rete. La minaccia sfrutta la funzinalità Esecuzine autmatica per infettare i vlumi di rete mappati a lettere di unità. Virus di file. La minaccia si diffnde attravers la mdifica di file, spess cn estensine.exe.scr, la riscrittura la svrascrittura di alcuni segmenti di cdice. 5
Explit: aggirnament dispnibile da mlt temp. Il frnitre ha rilasciat un aggirnament della sicurezza rivlt alla vulnerabilità ltre un ann prima che si verificasse l'attacc. Explit: aggirnament dispnibile. Il frnitre ha rilasciat un aggirnament della sicurezza rivlt alla vulnerabilità men di un ann prima che si verificasse l'attacc. Explit: zer-day. Al mment dell'attacc il frnitre nn ha ancra rilasciat un aggirnament della sicurezza rivlt alla vulnerabilità. Attacchi di frza bruta alla passwrd. La minaccia si diffnde tentand attacchi di frza bruta alla passwrd su vlumi dispnibili, ad esempi cn il cmand net use. Macr di Office. La minaccia si diffnde attravers l'infezine di dcumenti di Micrsft Office cn macr Visual Basic, Applicatins Editin (VBA) dannse. Explit zer-day. Al mment dell'attacc il frnitre nn ha ancra rilasciat un aggirnament della sicurezza rivlt alla vulnerabilità. Oltre un terz del malware rilevat e analizzat è stat attribuit a sftware danns in grad di sfruttare imprpriamente la funzinalità Esecuzine autmatica di Windws. Le minacce che si sn servite della funzinalità Esecuzine autmatica sn state suddivise tra quelle prpagate tramite vlumi rimvibili (26% del ttale) e quelle prpagate tramite vlumi di rete (17%). Per cmbattere tali minacce e prteggere i prpri clienti, Micrsft ha adttat diverse misure, inclus il rilasci di un aggirnament autmatic per le piattafrme Windws XP e Windws Vista nel febbrai 2011, all scp di rendere la funzinalità Esecuzine autmatica più sicura, cme avviene per impstazine predefinita in Windws 7. Circa il 6% dei rilevamenti dell strument MSRT analizzati sn stati attribuiti a explit, vver cdice danns che tenta di sfruttare le vulnerabilità di applicazini di sistemi perativi. 6
Durante la prima metà del 2011, per nessuna delle principali famiglie rilevate tramite l strument MSRT è stat dcumentat l'utilizz di explit zer-day. Su tutti i vari sfruttamenti delle vulnerabilità sservati dal MMPC, l'attività di explit zer-day ha riguardat men dell'1% dei rilevamenti. 7
Wrldwide Threat Intelligence Divulgazine delle vulnerabilità Figura. Tendenze relative alla gravità (CVE) e alla cmplessità delle vulnerabilità, alla divulgazine da parte del frnitre e alle divulgazini per tip La tendenza generale in merit alla gravità della vulnerabilità (sulla base di quant determinat dal valre Cmmn Vulnerabilities and Expsures CVE) è risultata psitiva. Durante la prima metà del 2011, le vulnerabilità di gravità Media e Alta rilevate sn scese, rispettivamente, del 6,8% e del 4,4% rispett alla secnda metà del 2010. Le vulnerabilità a bassa cmplessità, vver le più semplici da sfruttare, sn scese del 41,2% rispett ai 12 mesi precedenti. La divulgazine di vulnerabilità a livell di sistema perativ e di brwser si sn rivelate per la maggir parte stabili per vari anni, rappresentand 8
rispettivamente il 12,7% e il 15,7% di tutte le vulnerabilità rilevate nella prima metà del 2011. Le vulnerabilità dei prdtti Micrsft hann rappresentat il 6,9% di tutte le vulnerabilità rilevate nella prima metà del 2011, rispett all'8,2% rilevat nella secnda metà del 2010. Explit La Figura mstra la prevalenza di diversi tipi di explit per gni trimestre cmpres tra il terz trimestre del 2010 e il secnd trimestre di 2011. Figura. Explit rilevati e blccati da prdtti antimalware Micrsft dal terz trimestre del 2010 al secnd trimestre del 2011, per piattafrma tecnlgia mirata I tipi di explit più cmunemente sservati durante la prima metà del 2011 sn stati quelli diretti a vulnerabilità di Java Runtime Envirnment (JRE), Java Virtual Machine (JVM) e Java SE nel Java Develpment Kit (JDK) di Oracle (in precedenza Sun). Gli explit in Java sn stati la causa di circa 1/3 1/2 di tutti gli explit sservati in ciascun dei quattr trimestri più recenti. I rilevamenti di explit dei sistemi perativi sn aumentati radicalmente nel secnd trimestre del 2011 a causa del maggire sfruttament della vulnerabilità CVE-2010-2568. 9
I rilevamenti di explit che hann interessat Adbe Flash, sebbene insliti rispett ad alcuni altri tipi di explit, sn aumentati nel secnd trimestre del 2011 fin a 40 vlte il vlume sservat nel prim trimestre del 2011, a causa dell sfruttament di un pai di vulnerabilità di recente scperta. Gli explit destinati a CVE-2010-2568, una vulnerabilità di Windws Shell, sn aumentati significativamente nel secnd trimestre del 2011 e hann rappresentat la principale causa dell'aument di explit dei sistemi perativi registrat nel secnd trimestre del 2011. Quand venne scperta a metà del 2010, la vulnerabilità veniva utilizzata dalla famiglia Win32/Stuxnet. Explit di dcumenti Figura. Tipi di explit relativi a parser di dcumenti rilevati e blccati da prdtti antimalware Micrsft dal terz trimestre del 2010 al secnd trimestre del 2011 Gli explit che hann interessat Adbe Acrbat e Adbe Reader hann rappresentat la maggir parte degli explit di frmati di dcument rilevati nella prima metà del 2011. Quasi tutti questi explit hann cinvlt la famiglia generica di explit denminata Win32/Pdfjsc. Oltre la metà degli explit di Micrsft Office ha interessat CVE-2010-3333, una vulnerabilità del parser RTF in versini di Micrsft Wrd. 10
Malware e sftware ptenzialmente indesiderat Salv diversamente specificat, le infrmazini di questa sezine sn state ricavate da dati di telemetria generati da più di 600 milini di cmputer di tutt il mnd e da alcuni dei servizi Internet nline più attivi. I tassi di infezine vengn frniti in cmputers cleaned per mille CCM, che indica il numer di cmputer puliti gni 1.000 esecuzini dell strument MSRT. Per ulteriri infrmazini sulla metrica CCM, vedere la sezine sul malware del sit Web Micrsft Security Intelligence Reprt. Tassi di infezine dei sistemi perativi Figura. Tass di infezine (CCM) per sistema perativ e Service Pack nel secnd trimestre del 2011 "32" = edizine a 32 bit; "64" = edizine a 64 bit. SP = Service Pack. Sistemi perativi supprtati cn almen l 0,1% delle esecuzini ttali nel secnd trimestre del 2011... Cme nei peridi precedenti, i tassi di infezine per sistemi perativi e Service Pack Micrsft si sn ntevlmente ridtti rispett ai dati precedenti, sia per le piattafrme client che per le piattafrme server. Windws 7 e Windws Server 2008 R2, rispettivamente le versini client e server Windws rilasciate più di recente, presentan il tass di infezine più bass, cme mstrat nella Figura. 11
I tassi di infezine per Windws XP SP3 e Windws Vista si sn ridtti in seguit al rilasci, avvenut a febbrai 2011, di un aggirnament autmatic che ha cambiat il metd di funzinament dell'esecuzine autmatica su tali piattafrme, equiparandl a quell utilizzat in Windws 7. L'impatt di tale mdifica traspare dalle statistiche relative alle infezini a caric della famiglia Win32/Rimecud, vver la nna famiglia di minacce più cnsciuta al mnd nella prima metà del 2011 nnché un dei principali pericli per la funzinalità Esecuzine autmatica. Famiglie e categrie di minacce Figura. Rilevamenti per categria di minaccia tra il terz trimestre del 2010 e il secnd trimestre del 2011, in base alla percentuale dei cmputer in cui sn avvenuti rilevamenti I segnalini tndi indican categrie di malware; i segnalini quadrati indican categrie di sftware ptenzialmente indesiderat. La famiglia di minacce Win32/OpenCandy è stata la più rilevata in asslut durante la prima metà del 2011. OpenCandy è un prgramma adware abbinabile ad alcuni prgrammi di installazine sftware di terze parti. JS/Prnpp, la secnda famiglia di minacce più cmunemente rilevata durante la prima metà del 2011, rappresenta un'infezine relativa a ggetti abilitati per JavaScript che tentan di visualizzare finestre ppup all'intern di annunci pubblicitari nei brwser Web degli utenti 12
Win32/Htbar, la famiglia di minacce più cmunemente rilevata nel secnd trimestre del 2011 e la terza nella prima metà del 2011, è un adware che installa una barra degli strumenti del brwser in grad di visualizzare annunci ppup in base al mnitraggi delle attività di esplrazine del Web. I rilevamenti di Win32/FakeRean sn aumentati di ltre il 300% dal prim al secnd trimestre del 2011 per diventare la famiglia di sftware di prtezine rgue più cmunemente rilevata nel secnd trimestre. Minacce per le aziende Le famiglie di malware più cmuni rilevate in cmputer assciati al dmini sn tre famiglie di wrm. Quest tip di malware è decisamente più diffus in ambienti aziendali che nn in ambienti dmestici. Le famiglie di malware che risultan significativamente più prevalenti in cmputer assciati al dmini includn Win32/Cnficker e il sftware ptenzialmente indesiderat Win32/RealVNC. RealVNC è un prgramma che cnsente di cntrllare un cmputer da pstazini remte, cme nel cas dei Servizi Desktp remt. Mlti degli scpi per i quali viene utilizzat sn asslutamente legittimi, tuttavia i malintenzinati l hann utilizzat per ttenere il cntrll di cmputer specifici sui quali eseguire attività fraudlente. La famiglia di virus Win32/Sality, che nn rientrava tra le principali 10 famiglie rilevate in cmputer assciati al dmini nel 2010, si è classificata al decim pst durante la prima metà del 2011. Minacce diffuse tramite psta elettrnica Il vlume dei messaggi di psta indesiderata blccat da Micrsft Frefrnt Online Prtectin fr Exchange (FOPE) si è ridtt drasticamente negli ultimi 12 mesi, passand da 89,2 miliardi di messaggi nel lugli 2010 a 25 miliardi nel giugn 2011. Ciò è dvut, nell specific, alla rimzine di due btnet principali: Cutwail, eliminat nell'agst 2010, 13
e Rustck, eliminat nel marz 2011 in seguit a un perid di stat inattiv iniziat a gennai. 1 Cme per i peridi precedenti, gli annunci pubblicitari per prdtti farmaceutici nn di natura sessuale (28% del ttale) e gli annunci pubblicitari di prdtti nn farmaceutici (17,2%) hann rappresentat la maggir parte dei messaggi indesiderati blccati dai filtri del cntenut di FOPE nella prima metà del 2011. I messaggi indesiderati di sle immagini si sn ridtti al 3,1% del ttale nella prima metà del 2011, mentre raggiungevan l'8,7% nel 2010. Figura. Messaggi in arriv blccati dai filtri di FOPE nella prima metà del 2011, per categria Siti Web dannsi Gli autri di attacchi di phishing hann sempre clpit i siti finanziari più di qualsiasi altr tip di sit. Tuttavia, durante la prima metà del 2011, vver nel perid in cui si è registrata la maggire cndivisine di impressin di phishing, il principale bersagli dei truffatri sn stati i siti di scial 1 Per ulteriri infrmazini sulla rimzine di Cutwail, vedere il Micrsft Security Intelligence Reprt, Vlume 10 (lugli-dicembre 2010). Per ulteriri infrmazini sulla rimzine di Rustck, vedere "La battaglia cntr Rustck" nell'area dwnlad Micrsft. 14
netwrking, cn l'83,8% di impressin nel sl mese di aprile. Il termine impressin di phishing si riferisce a un tentativ di access da parte di un utente a un nt sit di phishing tramite Windws Internet Explrer, immediatamente blccat dal filtr SmartScreen. Per ulteriri infrmazini, vedere la sezine relativa ai siti Web dannsi del sit Web Micrsft Security Intelligence Reprt. In generale, le impressin destinate a scial netwrk hann rappresentat il 47,8% di tutte le impressin rilevate nella prima metà del 2011, seguite da quelle destinate a istituti finanziari (35%). Per cntr, i siti di phishing destinati a istituti finanziari sn stati circa il 78,3% dei siti di phishing attivi mnitrati gni mese durante la prima metà del 2011, rispett al 5,4% dei scial netwrk. Gli istituti finanziari presi di mira da truffatri sn centinaia e gnun richiede un apprcci di phishing persnalizzat e specific. Il numer di siti di scial netwrking famsi è mlt più bass, pertant, in quest cas, gli autri di phishing pssn sferrare i prpri attacchi vers un numer cnsiderevle di persne per sit. Malgrad quest, la ptenzialità di accessi illegali diretti ai cnti crrenti bancari delle vittime cmprta che gli istituti finanziari rimangan un degli biettivi preferiti dei truffatri e che cntinuin a ricevere il numer maggire il secnd numer maggire di impressin al mese. Quest fenmen si verifica anche su scala ridtta cn i servizi nline e i siti di gichi. La maggir parte del traffic a tali siti si cncentra su un numer ridtt di servizi nline, pertant i siti di phishing che hann scelt cme bersagli servizi nline hann racclt l'11% di impressin cn sl il 3,6% di siti. Il traffic destinat ai gichi nline tende a prpagarsi tra un vast numer di siti, pertant i siti di phishing che hann avut cme bersagli gichi nline hann rappresentat l'8,9% dei siti attivi, raccgliend sl il 4,3% delle impressin. I siti di phishing destinati a siti di e-cmmerce sn stati respnsabili di sl il 3,8% dei siti attivi e dell'1,9% di impressin. Tali dati dimstran che gli autri di phishing nn hann ritenut particlarmente redditizi i siti di e-cmmerce. Infrmazini sulla prtezine di rganizzazini, sftware e persne sn dispnibili nella sezine relativa alla gestine del rischi del sit Web Micrsft Security Intelligence Reprt. http://www.micrsft.cm/sir 15
16 One Micrsft Way Redmnd, WA 98052-6399 micrsft.cm/security