Your SlideShare is downloading. ×
Microsoft Security Intelligence Report (PT)
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Saving this for later?

Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime - even offline.

Text the download link to your phone

Standard text messaging rates apply

Microsoft Security Intelligence Report (PT)

811
views

Published on

O volume 8 do Relatório de inteligência de segurança da Microsoft fornece perspectivas profundas sobre software mal-intencionado e potencialmente indesejado, exploits de software, brechas de segurança …

O volume 8 do Relatório de inteligência de segurança da Microsoft fornece perspectivas profundas sobre software mal-intencionado e potencialmente indesejado, exploits de software, brechas de segurança e vulnerabilidades de softwares da Microsoft e de terceiros.
A Microsoft desenvolveu essas perspectivas baseando-se em análises detalhadas realizadas nos últimos anos, com enfoque no segundo semestre de 2009.

Published in: Technology

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
811
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
6
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Relatório de inteligência de segurança da Microsoft Volume 8 (julho a dezembro de 2009) Resumo das principais descobertas Introdução O volume 8 do Relatório de inteligência de segurança da Microsoft® fornece perspectivas profundas sobre software mal-intencionado e potencialmente indesejado, exploits de software, brechas de segurança e vulnerabilidades de softwares da Microsoft e de terceiros. A Microsoft desenvolveu essas perspectivas baseando- se em análises detalhadas realizadas nos últimos anos, com enfoque no segundo semestre de 2009 (2H09) 1. Este documento resume as principais descobertas do relatório. O Relatório de inteligência de segurança completo também inclui análises detalhadas das tendências encontradas em mais de 26 países/regiões do mundo e oferece estratégias, medidas atenuantes e contramedidas que podem ser usadas para gerenciar as ameaças documentadas neste relatório. O Relatório de inteligência de segurança completo, além dos volumes anteriores desse relatório e vídeos relacionados, pode ser baixado em www.microsoft.com/sir. O cenário de ameaças do computador muda constantemente. Como as ameaças continuam evoluindo desde hackers mal-intencionados que buscam a notoriedade até criminosos organizados que roubam dados para ganhar dinheiro, a preocupação do público continua aumentando. A Microsoft elaborou a Computação confiável (Trustworthy Computing - TwC) em 2002, a fim de se comprometer com uma estratégia de fornecimento de experiências de computação mais seguras, privadas e confiáveis para os seus clientes. A segurança do TwC inclui três centros de tecnologia que trabalham em conjunto para solucionar problemas de segurança e fornecer os serviços, as informações e as respostas necessárias para compreender melhor o cenário de ameaças em constante evolução, ajudar a proteger os clientes de ameaças online e compartilhar o conhecimento com o ecossistema de segurança mais amplo. Esses três centros de segurança incluem:  O Microsoft Malware Protection Center  O Microsoft Security Response Center  O Microsoft Security Engineering Center Os blogs desses três centros de segurança, bem como outros blogs como o Data Privacy Imperative, podem ser encontrados em www.microsoft.com/twc/blogs. Os dados e a análise neste Resumo das principais descobertas e no Relatório de inteligência de segurança completo são apresentados sob a perspectiva desses três centros e de seus parceiros em vários grupos de produtos Microsoft. 1 A nomenclatura usada ao longo do relatório para fazer referência aos diferentes períodos do relatório é nHYY, onde nH se refere ao primeiro (1) ou ao segundo (2) semestre do ano, e YY indica o ano. Por exemplo, 2H09 representa o período que abrange o segundo semestre de 2009 (de 1º de julho a 31 de dezembro), e 2H08 representa o período que abrange o segundo semestre de 2008 (de 1º de julho a 31 de dezembro).
  • 2. Principais descobertas do Centro de proteção contra malware da Microsoft Tendências mundiais de softwares maliciosos e potencialmente indesejados Os produtos de segurança da Microsoft obtêm consentimento do usuário para coletar dados de mais de 500 bilhões de computadores em todo o mundo e de alguns dos serviços online mais utilizados da Internet. A análise desses dados proporciona uma perspectiva abrangente e única da atividade de softwares mal-intencionados ou potencialmente indesejados em todo o mundo. Tendências por localidade Figura 1: Os 15 principais países com mais computadores desinfectados pelos produtos antimalware para estações de trabalho da Microsoft no 2H09 (o Relatório de inteligência de segurança inclui os 25 países mais importantes) País/Região Computadores desinfectados Computadores desinfectados Alterar (2H09) (1H09) 1 Estados Unidos 15.383.476 13.971.056 10,1% ▲ 2 China 3.333.368 2.799.456 19,1% ▲ 3 Brasil 2.496.674 2.156.259 15,8%▲ 4 Reino Unido 2.016.132 2.043.431 -1,3%▼ 5 Espanha 1.650.440 1.853.234 -10,9%▼ 6 França 1.538.749 1.703.225 -9,7%▼ 7 Coreia 1.367.266 1.619.135 -15,6%▼ 8 Alemanha 1.130.632 1.086.473 4,1%▲ 9 Canadá 967.381 942.826 2,6%▲ 10 Itália 954.617 1.192.867 -20,0%▼ 11 México 915.786 957.697 -4,4%▼ 12 Turquia 857.463 1.161.133 -26,2%▼ 13 Rússia 677.601 581.601 16,5%▲ 14 Taiwan 628.202 781.214 -19,6%▼ 15 Japão 609.066 553.417 10,1% ▲ Mundial 41.024.375 39.328.515 4,3%▲  Dois dos maiores aumentos na quantidade de computadores desinfectados foram verificados na China e no Brasil, que apresentaram aumento de 19,1% e 15,8% em relação ao 1H09, respectivamente. Grande parte desse aumento se deve ao lançamento, em setembro de 2009, do Microsoft Security Essentials, uma solução antimalware para computadores residenciais que está disponível gratuitamente para usuários com licenças do Windows. A China e o Brasil se destacaram como sendo os primeiros a adotar a solução Security Essentials.  Muitos países registraram reduções significativas nas taxas de infecção:  A maior redução na quantidade de computadores desinfectados é indicada pela taxa de 26,2% da Turquia, o que pode ser atribuído principalmente à redução da preponderância do Win32/Taterf e do Win32/Frethog, dois ladrões de senhas que visam jogadores de jogos online.  A redução da preponderância do Taterf e do Frethog é a grande responsável pela redução de 19,6% em Taiwan.  O declínio de 20% da Itália deve-se, basicamente, ao declínio acelerado nas detecções do Win32/Wintrim da família Cavalo de Troia.
  • 3. 2 Figura 2: Taxas de infecção por país/região no 2H09, expressas em CCM , para países com média de pelo menos 1 milhão de execuções mensais da MSRT no 2H09 Há CCMs para mais de 200 países/regiões no Relatório de inteligência de segurança completo. Figura 3: Categorias de ameaças no mundo inteiro e nos oito países que detêm a maioria dos computadores infectados, segundo a incidência entre todos os computadores desinfectados pelos produtos antimalware para estações de trabalho da Microsoft, no 2H09 60% 50% 40% 30% 20% 10% 0% Mundial Estados China Brasil Reino Unido Espanha França Coreia Alemanha -10% Unidos Misc. Cavalos de Troia Worms Downloaders e droppers de cavalos de Troia Misc. Softwares potencialmente indesejados Adware Ladrões de senha e ferramentas de monitoramento Backdoors Vírus Exploits Spyware  Os ambientes de ameaça nos Estados Unidos e no Reino Unido são muito similares. Ambos os países têm praticamente a mesma proporção de categorias de ameaça, e 7 das 10 principais famílias desses países são as mesmas. Os diversos tipos de cavalos de Troia são responsáveis pela maior categoria única de ameaça. As famílias Win32/FakeXPA, Win32/Renos e Win32/Alureon estão no topo da lista dos dois países. 2 Para produzir uma medição eficiente de infecções que possa ser usada para comparar populações de computadores de diferentes países, as taxas de infecção deste relatório são expressas usando uma métrica denominada "computadores desinfectados por milhar", ou CCM, a qual representa a quantidade de computadores desinfectados relatados a cada 1.000 execuções da MSRT. (O M de CCM significa "mille", uma palavra latina que significa milhar.)
  • 4.  Na China, várias das ameaças predominantes são famílias localizadas que não aparecem na lista das principais ameaças de nenhum outro país. Essas ameaças incluem algumas versões do Win32/BaiduSobar — uma barra de ferramentas de navegador em chinês — e ladrões de senha como o Win32/Lolyda e o Win32/Ceekat, que atacam vários jogos online populares na China.  No Brasil, a categoria "Ladrões de senha e ferramentas de monitoramento" é a categoria mais comum, principalmente devido à existência de uma grande quantidade de ladrões de senha em português que visam a usuários de bancos online brasileiros. Win32/Bancos é o mais comum desses ladrões de senhas.  A Coreia está dominada pelos worms, principalmente o Win32/Taterf, que visa aos usuários de jogos online. A prevalência do Taterf na Coreia pode ter como causa parcial a propensão do worm de se espalhar facilmente nas cafeterias com acesso à Internet e em centros de jogos em rede, populares neste país. Tendências por sistema operacional Figura 4: Quantidade de computadores desinfectados a cada 1.000 execuções de MSRT, por sistema operacional, no 2H09 25.0 21.7 20.0 14.5 15.0 32 bits 64 bits 10.0 7.0 5.4 4.7 4.5 5.0 2.9 3.6 2.8 3.6 3.0 3.6 3.0 2.3 2.21.4 1.8 1.4 0.0 Windows Windows Windows Windows Windows Windows Windows Windows Windows Windows Windows Windows XP SP1 XP SP2 XP SP3 Vista Vista SP1 Vista SP2 7 RTM 2000 SP4 Server Server Server Server RTM 2003 SP2 2008 2008 SP2 2008 R2 RTM  Como em períodos anteriores, as taxas de infecção para sistemas operacionais e service packs lançados mais recentemente são, de forma consistente, inferiores às anteriores, tanto para plataformas cliente quanto para plataformas de servidor.  O Windows 7, lançado no 2H09, e o Windows Vista® com Service Pack 2 têm taxas de infecção mais baixas que qualquer outra plataforma do gráfico.  As versões de 64 bits do Windows 7 e do Windows Vista SP2 tiveram taxas de infecção inferiores (1,4 para ambas) àquelas de qualquer outra configuração de sistema operacional no 2H09, apesar de as duas versões de 32 bits terem apresentado taxas de infecção inferiores à metade das taxas do Windows XP com o service pack mais atualizado, o SP3.  Para sistemas operacionais com service packs, cada service pack sucessivo apresenta uma taxa de infecção inferior àquela do seu predecessor.  A taxa de infecção do Windows XP com SP3 é inferior à metade daquela do SP2, e inferior a um terço daquela do SP1.  Do mesmo modo, o Windows Vista SP2 possui uma taxa de infecção inferior àquela do SP1, que possui uma taxa de infecção inferior à do Windows Vista RTM.  Nos sistemas operacionais de servidor, a taxa de infecção do Windows Server® 2008 com SP2 é 3,0, o que é 20% inferior àquela do seu predecessor, o Windows Server 2008 RTM. A figura a seguir mostra a consistência dessas tendências ao longo do tempo, indicando as taxas de infecção de diferentes versões das edições de 32 bits do Windows XP e do Windows Vista para cada período de seis meses entre o 1H07 e o 2H09.
  • 5. Figura 5: Tendências do CCM para versões de 32 bits do Windows XP e do Windows Vista, 1H07–2H09 40.0 35.0 30.0 Windows XP RTM Windows XP SP1 25.0 Windows XP SP2 20.0 Windows XP SP3 Windows Vista RTM 15.0 Windows Vista SP1 Windows Vista SP2 10.0 Windows 7 RTM 5.0 0.0 1H07 2H07 1H08 2H08 1H09 2H09 Tendência por categoria em todo o mundo Figura 6: As 10 principais famílias de softwares malware e potencialmente indesejados detectadas pelos produtos antimalware para estações de trabalho da Microsoft no 2H09 (o Relatório de inteligência de segurança completo inclui as 25 famílias mais importantes) Família Categoria mais significativa Computadores desinfectados (2H09) 1 Win32/Taterf Worms 3.921.963 2 Win32/Renos† Downloaders e droppers de cavalos de Troia 3.640.697 3 Win32/FakeXPA* Cavalos de Troia diversos 2.939.542 4 Win32/Alureon† Cavalos de Troia diversos 2.694.128 5 Win32/Conficker† Worms 1.919.333 3 6 Win32/Frethog Ladrões de senha e ferramentas de 1.823.066 monitoramento 7 Win32/Agent Cavalos de Troia diversos 1.621.051 8 Win32/BaiduSobar Misc. Softwares potencialmente indesejados 1.602.230 9 Win32/GameVance Adware 1.553.646 10 Win32/Hotbar Adware 1.476.838 O asterisco (*) indica família de software de segurança não autorizado. A cruz (†) indica família que foi observada fazendo download de software de segurança não autorizado.  No geral, as detecções das principais ameaças apresentam uma considerável margem de redução em relação ao primeiro semestre de 2009.  No 1H09, as ferramentas antimalware para estações de trabalho da Microsoft removeram 7 famílias de, pelo menos, 2 milhões de computadores, em comparação com apenas 4 famílias no 2H09. 3 A Shadowserver Foundation, que rastreia infecções ativas do Win32/Conficker, relatou que 4,6 milhões de computadores infectados pelo Conficker estavam sendo rastreados pelos sinkholes operados pela Shadowserver no último dia do 2H09, menos do que os 5,2 milhões do último dia do 1H09. Às vezes, a contagem dos malwares encontrados e desinfectados pelo software antimalware pode gerar números muito diferentes das estimativas produzidas através da observação dos computadores infectados ativos, e não há consenso sobre o método preferível.
  • 6.  Até mesmo o Win32/Taterf, a família mais importante no 2H09, foi removido de quase 1 milhão de computadores a menos nesse período do que no 1H09.  O Taterf, que infectou 3,9 milhões de computadores no 2H09, é significativamente menos importante que a principal família do 1H09 — Win32/Zlob — que foi removida de 9 milhões de computadores nesse período.  Vários invasores usam downloaders de cavalo de Troia e droppers de cavalo de Troia, tais como Win32/Renos e ASX/Wimad (a 2ª e a 11ª famílias mais comuns no 2H09, respectivamente) para distribuir aos computadores outras ameaças, como botnets, invasores e ladrões de senhas.  Em geral, o cenário de malwares no 2H09 foi marcado por uma maior diversidade de famílias moderadamente predominantes, com menos famílias únicas dominando o topo da lista, com números de remoções muito grandes. A rápida adoção do Microsoft Security Essentials também pode ser parcialmente responsável pela redução nas remoções. Tendências na proliferação de amostras Os autores de malware tentam escapar da detecção ao liberar, continuamente, novas variantes, num esforço para sobrepujar a liberação de novas assinaturas por parte dos fornecedores de antivírus. Uma maneira de determinar quais famílias e categorias de malware estão mais ativas no momento é contar amostras exclusivas. Figura 7: Amostras exclusivas enviadas ao MMPC, por categoria, 1H09–2H09 Categoria 2H09 1H09 Diferença Vírus 71.991.221 68.008.496 5,9% ▲ Cavalos de Troia diversos 26.881.574 23.474.539 14,5% ▲ Downloaders e droppers de cavalos de 9.107.556 6.251.286 45,7% ▲ Troia Misc. Softwares potencialmente 4.674.336 2.753.008 69,8% ▲ indesejados Adware 3.492.743 3.402.224 2,7% ▲ Exploits 3.341.427 1.311.250 154,8% ▲ Worms 3.006.966 2.707.560 11,1% ▲ Ladrões de senha e ferramentas de 2.217.902 7.087.141 -68,7% ▼ monitoramento Backdoors 812.256 589.747 37,7% ▲ Spyware 678.273 269.556 151,6% ▲ Total 126.204.254 115.854.807 8,9%  Mais de 126 milhões de amostras mal-intencionadas foram detectadas no 2H09.  A redução na categoria "Ladrões de senha e ferramentas de monitoramento" ocorreu, principalmente, no Win32/Lolyda, que caiu de 5,7 milhões de amostras no 1H09 para menos de 100.000 no 2H09.  O aumento na categoria "Spyware" ocorreu, principalmente, no Win32/ShopAtHome, que no 2H09 tinha quase o quíntuplo das amostras exclusivas do período anterior.  O grande número de amostras de vírus decorre do fato de que os vírus podem infectar vários arquivos diferentes, sendo cada um deles uma amostra exclusiva. Portanto, as contagens de amostras de vírus não devem ser consideradas como indicativo de grandes quantidades de variedades verdadeiras dessas famílias. Software de segurança não autorizado O software de segurança não autorizado — um software que exibe alertas falsos ou enganosos sobre infecções ou vulnerabilidades no computador da vítima e que oferece a correção dos supostos problemas por determinado preço — tem se tornado um dos métodos mais comuns para os invasores usurparem o dinheiro das vítimas. Figura 8: Falsos "exames de segurança" das variantes do Win32/FakeXPA, a família de software não autorizado predominante no 2H09
  • 7.  Os produtos de segurança da Microsoft desinfectaram malwares relacionados com software de segurança não autorizado em 7,8 milhões de computadores no 2H09, acima dos 5,3 milhões de computadores do 1H09. Trata-se de um aumento de 46,5%, o que sugere que o software de segurança não autorizado proporciona aos seus distribuidores um grande retorno, se comparado com algum outro tipo de ameaça menos predominante.  A família de software de segurança não autorizado Win32/FakeXPA foi a terceira ameaça mais comum detectada pelos produtos de segurança para estações de trabalho da Microsoft em todo o mundo no 2H09. Outras três — Win32/Yektel, Win32/Fakespypro e Win32/Winwebsec — ficaram em 11º, 14º e 17º lugares, respectivamente.  Um detalhamento geográfico completo dos locais nos quais a Microsoft encontra a maioria dos softwares de segurança não autorizados e as principais famílias dessas ameaças em cada região encontra-se no Relatório de inteligência de segurança completo.  Três novos vídeos voltados para o consumidor foram publicados em http://www.microsoft.com/protect com o objetivo de instruir os consumidores sobre a crescente ameaça à segurança e à privacidade por parte dos softwares de segurança não autorizados. Cenário de ameaças na residência x empresa Os dados sobre infecção gerados pelos produtos e ferramentas antimalware para estações de trabalho da Microsoft informam se o computador infectado pertence a um domínio de Serviços de Domínio do Active Directory®. Os domínios são usados quase que exclusivamente em ambientes empresariais, e os computadores que não pertencem a um domínio são mais provavelmente usados na residência ou em outros contextos não empresariais. A comparação das ameaças encontradas pelos computadores de domínio e pelos computadores que estão fora do domínio pode proporcionar uma percepção sobre as diferentes maneiras usadas pelos invasores para atacar usuários empresariais e residenciais e quais ameaças são mais prováveis de acontecer em cada ambiente.
  • 8. Figura 9: Detalhamento das categorias de ameaças para computadores com e sem domínio no 2H09 35% 31.5% Computadores do domínio 30% 25.4% Computadores não-domínio 25% 20% 17.8% 16.4% 14.8% 15.2% 15% 13.1% 12.5% 11.5% 10% 9.0% 7.3% 4.5% 4.4% 4.1% 5% 3.2% 2.9% 2.5% 1.9% 1.5% 0.6% 0% Worms Misc. Cavalos de Misc. Softwares Downloaders e Ladrões de Backdoors Vírus Exploits Adware Spyware Troia potencialmente droppers de senha e indesejados cavalos de Troia ferramentas de monitoramento  Os computadores que ingressaram no domínio tinham muito mais probabilidade de encontrar worms do que os computadores que estão fora de domínio, principalmente devido à forma de propagação dos worms. Geralmente, os worms se espalham com maior eficiência por meio de compartilhamento de arquivos não protegidos e volumes de armazenamento removíveis, sendo ambos frequentemente numerosos nos ambientes empresariais e menos comuns nas residências.  Os worms foram responsáveis por 4 das 10 principais famílias detectadas em computadores associados a um domínio.  O Win32/Conficker, que utiliza vários métodos de propagação que funcionam com maior eficácia em um ambiente típico de rede corporativa do que pela Internet pública, lidera a lista com grande vantagem.  Do mesmo modo, o Win32/Autorun, que visa às unidades removíveis, era mais comum em ambientes de domínio nos quais os volumes eram frequentemente usados para trocar arquivos.  Contrastivamente, as categorias "Adware" e "Cavalos de Troia diversos" são muito mais comuns em computadores que estão fora de domínio. Ameaças por email Os dados desta seção são baseados em emails filtrados pelo Microsoft Forefront Online Protection for Exchange (FOPE), que oferece serviços de filtragem de spam, phishing e malware a milhares de clientes empresariais. As mensagens de spam associadas à fraude de taxa adiantada (os chamados "419 scams") e a jogos aumentaram significativamente no 2H09. A maioria das outras categorias permaneceu relativamente estável em termos percentuais.
  • 9.  Uma fraude de taxa antecipada é um abuso de confiança comum, no qual o remetente de uma mensagem alega ter direito a uma grande soma em dinheiro, mas à qual não tem acesso direto por algum motivo. Geralmente, o motivo especificado envolve formalidades burocráticas ou corrupção na política. O remetente pede à futura vítima um empréstimo temporário a ser usado para subornar funcionários ou para pagar taxas, a fim de obter a liberação de toda a quantia. Em troca, o remetente promete ao "alvo" uma parte da fortuna, que é uma soma muito superior ao empréstimo original.  Geralmente, essas mensagens estão associadas à Nigéria ("419" se refere ao artigo do Código Criminal da Nigéria que lida com fraude) e outros países da África Ocidental, incluindo Serra Leoa, Côte d'Ivoire (Costa do Marfim) e Burquina Faso. Figura 10: Mensagens de entrada bloqueadas por filtros de conteúdo do FOPE, por categoria, 2H08–2H09 11% 419 Scams Apenas imagens 9% Farmacêutico - conteúdo sexual Apostas 7% Encontros/Materiais sexualmente explícitos Diplomas fraudulentos 5% Financeiros Phishing 3% Fique rico rapidamente Malware 1% Ações 2H08 1H09 2H09 Software -1% Figura 11: Os 5 principais países no envio de spams, por percentual de todos os spams enviados, no 2H09 País Percentual 1 Estados Unidos 27,0% 2 Coreia 6,9% 3 China 6,1% 4 Brasil 5,8% 5 Rússia 2,9% As redes de botnets e spams de computadores infectados com malware que podem ser controlados remotamente por um invasor são responsáveis por muitos ou por grande parte dos spams enviados atualmente. Para medir o impacto dos botnets no cenário de spams, o FOPE monitora as mensagens de spam enviadas a partir de endereços IP que foram relacionados como sendo endereços associados a botnets conhecidos.
  • 10. Figura 12: Um pequeno número de botnets é responsável pelo envio de praticamente todos os spams de botnet observados no 2H09 (o Relatório de inteligência de segurança completo inclui mais detalhes) Grum Donbot DarkMailer Lethic 6.7% 1.8% 1.6% 8.6% Todos os outros 2.5% Cutwail 10.4% Rustock 39.7% Bagle-cb 28.6% Sites mal-intencionados Conforme publicado em volumes anteriores do Relatório de inteligência de segurança, as propriedades das redes sociais sofreram o maior volume total de incidências de phishing, bem como o maior índice de incidências de phishing por site. As instituições financeiras receberam o menor volume de incidências de phishing por site, embora tenham sido alvo, de longe, do maior volume total de sites fraudulentos diferentes. A figura a seguir mostra o percentual de incidências de phishing registradas pela Microsoft em cada mês do 2H09 para cada um dos tipos de instituição mais frequentemente atacados. Figura 13: À esquerda: Incidências para cada tipo de site de phishing em cada mês do 2H09 | À direita: Sites de phishing ativos rastreados em cada mês, por tipo de destino, no 2H09 100% 100% 90% 90% 80% Sites de redes 80% Sites de redes 70% sociais 70% sociais 60% 60% Serviços online Serviços online 50% 50% 40% 40% 30% Sites de comércio 30% Sites de comércio eletrônico eletrônico 20% 20% 10% Sites financeiros 10% Sites financeiros 0% 0%
  • 11. Figura 14: Detalhamento por categoria de ameaças hospedadas em URLs bloqueadas pelo filtro SmartScreen no 1H09 e 2H09 45% 40% 35% 30% 1H09 25% 2H09 20% 15% 10% 5% 0% Misc. Softwares Misc. Cavalos de Exploits Downloaders e Ladrões de senha Worms Backdoors Vírus Adware Spyware potencialmente Troia droppers de e ferramentas de indesejados cavalos de Troia monitoramento  As categorias "Diversos softwares potencialmente indesejados" e "Cavalos de Troia diversos" dominaram a lista nos dois períodos.  A categoria "Downloaders e droppers de cavalos de Troia", que praticamente predominou tanto quanto Cavalos de Troia diversos no 1H09, caiu aproximadamente 50% no segundo semestre do ano, enquanto Exploits mais do que dobrou. Principais descobertas do Microsoft Security Response Center Identificação das vulnerabilidades mais comuns na indústria Vulnerabilidades são pontos fracos do software que permitem a um invasor comprometer a integridade, a disponibilidade ou a confidencialidade daquele software. Algumas das vulnerabilidades mais graves permitem que os invasores executem códigos arbitrários em um computador comprometido. Uma divulgação — como o termo é usado neste relatório — é a revelação da vulnerabilidade de um software ao público em geral. Não faz referência a nenhum tipo de divulgação privada nem de divulgação para um número limitado de pessoas. Figura 15: À esquerda: Divulgações das vulnerabilidades mais comuns na indústria por semestre, 1H06–2H09 | À direita: Divulgações das vulnerabilidades mais comuns na indústria por gravidade, 1H06–2H09 2000 3500 1800 3000 1600 1400 2500 1200 1000 2000 800 600 1500 400 1000 200 0 500 1H06 2H06 1H07 2H07 1H08 2H08 1H09 2H09 0 Severidade alta Severidade média 1H06 2H06 1H07 2H07 1H08 2H08 1H09 2H09 Severidade baixa
  • 12.  A identificação de vulnerabilidades no 2H09 apresentou uma redução de 8,4% em relação ao primeiro semestre do ano, o que dá continuidade a uma tendência geral de reduções moderadas desde 2006.  As vulnerabilidades de gravidade baixa foram responsáveis por apenas 3,5% das vulnerabilidades em geral no 2H09, menos que os 4,1% do primeiro semestre do ano.  As vulnerabilidades de gravidade alta divulgadas no 2H09 caíram 9% em relação ao primeiro semestre do ano e 30,7% em relação ao 2H08.  Um predomínio continuado de divulgações de vulnerabilidades de alta e média gravidades é provavelmente causado, pelo menos em parte, pela tendência, tanto dos invasores quanto dos pesquisadores da segurança legítima, a priorizar a pesquisa sobre as vulnerabilidades mais graves. Figura 16: Vulnerabilidades de aplicativos, navegadores e sistemas operacionais na indústria, 1H06–2H09 3,500 3,000 2,500 2,000 Vulnerabilidades dos aplicativos 1,500 Vulnerabilidades do sistema operacional 1,000 Vulnerabilidades do navegador 500 0 1H06 2H06 1H07 2H07 1H08 2H08 1H09 2H09  As vulnerabilidades dos aplicativos continuam sendo responsáveis pela maioria das vulnerabilidades no 2H09, apesar de a quantidade total de vulnerabilidades de aplicativos ter diminuído significativamente em relação ao 2H08 e 1H09.  As vulnerabilidades de sistemas operacionais e navegadores ficaram relativamente estáveis, e cada uma delas foi responsável por uma pequena fração do total. Figura 17: Divulgações de vulnerabilidades de produtos Microsoft e não-Microsoft, 1H06–2H09 3500 3000 2500 2000 Microsoft 1500 Não-Microsoft 1000 500 0 1H06 2H06 1H07 2H07 1H08 2H08 1H09 2H09  As divulgações das vulnerabilidades dos produtos Microsoft aumentaram de 113 no 1H09 para 127 no 2H09.  Em termos gerais, as tendências das divulgações de vulnerabilidades da Microsoft refletiram as tendências de toda a indústria, com picos no 2H06-1H07 e novamente no 2H08.
  • 13.  Nos quatro últimos anos, as divulgações de vulnerabilidades da Microsoft têm sido responsáveis, de forma consistente, por 3% a 5% de todas as divulgações da indústria. Divulgação responsável significa informar, de maneira sigilosa, um fabricante sobre as vulnerabilidades encontradas para que ele possa desenvolver uma atualização de segurança abrangente, a fim de solucionar essas vulnerabilidades antes que os detalhes se tornem públicos. Figura 18: Divulgações responsáveis como um percentual de todas as divulgações envolvendo softwares Microsoft, 1H05- 2H09 100% 90% 80% 70% 60% Divulgação total 50% 40% Casos de agentes de vulnerabilidade 30% Outras divulgações responsáveis 20% 10% 0% 1H05 2H05 1H06 2H06 1H07 2H07 1H08 2H08 1H09 2H09  No 2H09, 80,7% das divulgações de vulnerabilidades da Microsoft aderiram a práticas de divulgação responsável, acima dos 79,5% do 1H09 e superior a qualquer período anteriormente controlado.  O percentual de divulgações enviadas pelos agentes de vulnerabilidade caiu para 8,6% de todas as divulgações no 2H09, se comparado com os 10,5% no primeiro semestre do ano. Figura 19: À esquerda: Boletins de segurança liberados e CVEs solucionados pela Microsoft a cada semestre, 1H05–2H09 | À direita: Média de CVEs solucionados por boletim de segurança, 1H05–2H09 120 3.5 3.1 104 98 97 100 3.0 85 78 2.5 2.3 80 2.1 2.2 2.2 57 58 60 50 51 CVEs únicos 2.0 1.8 46 47 1.6 1.6 42 1.5 1.5 33 34 35 34 36 1.5 40 32 27 21 Boletins de 1.0 20 segurança 0 0.5 0.0 1H05 2H05 1H06 2H06 1H07 2H07 1H08 2H08 1H09 2H09  No 2H09, a Microsoft liberou 47 boletins de segurança que solucionaram 104 vulnerabilidades individuais identificadas na lista CVE (Common Vulnerabilities and Exposures).  Apesar de a quantidade geral de boletins enviados ter aumentado de 27 no 1H09 para 47 no 2H09, a quantidade de vulnerabilidades solucionadas por boletim diminuiu de 3,1 para 2,2.
  • 14. Conforme ilustrado na figura seguinte, a adoção do Microsoft Update aumentou significativamente nos últimos anos. A quantidade de computadores que utilizam o serviço mais abrangente aumentou mais de 17% desde 1H09. Figura 20: Utilização do Windows Update e do Microsoft Update, 2H06–2H09, indexada pela utilização total no 2H06 180% 161% 160% 147% 150% 140% 137% 140% 121% 120% 100% Microsoft Update 100% 80% Apenas Windows 60% Update 40% 20% 0% 2H06 1H07 2H07 1H08 2H08 1H09 2H09  O Windows Update fornece atualizações para componentes do Windows, para drivers de dispositivos fornecidos pela Microsoft e por outros fornecedores de hardware. O Windows Update também distribui atualizações de assinatura para produtos antimalware da Microsoft e a liberação mensal da MSRT.  O Microsoft Update (http://update.microsoft.com/microsoftupdate) fornece todas as atualizações disponibilizadas pelo Windows Update, além de atualizações para outros softwares Microsoft. Os usuários podem optar pelo serviço ao instalar o software, sendo atendidos pelo Microsoft Update ou no site Microsoft Update. A Microsoft recomenda configurar os computadores para uso com o Microsoft Update em vez do Windows Update, a fim de assegurar que eles receberão atualizações de segurança oportunas para os produtos Microsoft. Principais descobertas do Microsoft Security Engineering Center Ciência da segurança: tendências do exploit Um exploit é um código mal-intencionado projetado para infectar um computador sem o consentimento do usuário e, frequentemente, sem o conhecimento do usuário. Geralmente, os exploits são distribuídos através das páginas da Web, apesar de os invasores também usarem uma variedade de outros métodos de distribuição, tais como serviços de email e mensagens instantâneas. As informações sobre o modo como os invasores exploram os navegadores e os complementos podem proporcionar aos pesquisadores de segurança um maior entendimento dos riscos causados por downloads drive-by e outros ataques baseados no navegador.  No passado, os criadores de kits exploit costumavam desenvolver pacotes com 4 a 6 exploits por kit para aumentar as chances de um ataque bem-sucedido.  A média caiu para 3,2 exploits por pacote no primeiro semestre de 2009, já que os invasores tiraram proveito de várias vulnerabilidades confiáveis e predominantes de componentes de terceiros, que tornavam desnecessário ter grandes quantidades de exploits.  Essa tendência continuou até o 2H09, quando a média de exploits por pacote caiu para 2,3.  No entanto, alguns invasores ainda preferiam usar grandes quantidades de exploits: o maior kit exploit observado no 2H09 incluía 23 exploits.
  • 15. Figura 21: Exploits baseados no navegador encontrados no 2H09, por percentual CVE-2008-0015/MS09-037 CVE-2007-5601 (RealNetworks (Microsoft MSVidCtl) RealPlayer) CVE-2007-0015 (Apple CVE-2006-5820 (AOL CVE-2007-5659 (Adobe Reader) 4.9% 3.3% QuickTime) SuperBuddy) 10.9% 3.0% 2.9% CVE-2008-4844/MS08-078 (Microsoft Internet Explorer) 2.7% CVE-2006-0003/MS06- 014 (Componentes do CVE-2007-5755 (AOL AmpX) Microsoft Data Access) CVE-2009-0075/MS09-002 2.2% 2.3% (Microsoft Internet Explorer) 15.7% CVE-2008-2992 (Adobe Reader) 2.1% CVE-2009-0927 (Adobe Reader) 33.2% Todos os outros 16.9%  O CVE-2007-0071, uma vulnerabilidade drive-by do Adobe Flash Player que foi a vulnerabilidade de navegador mais comumente explorada no 1H09, desceu para a 23ª posição no segundo semestre do ano e foi responsável por apenas 0,4% dos exploits.  Mudanças significativas como essas podem estar relacionadas com a tendência de os criadores de kits exploit frequentemente substituírem exploits mais antigos pelos mais novos.  Como o gráfico à direita na Figura 21 mostra, a incidência de vários dos exploits mais comuns variou de forma significativa mês a mês no 2H09.  Uma vulnerabilidade listada na Figura 21 recebeu um patch em 2006.  Todas as vulnerabilidades incluídas na Figura 21 tinham atualizações de segurança disponíveis antes do período do Relatório de inteligência de segurança. Figura 22: À esquerda: Exploits baseados no navegador e destinados a softwares Microsoft e de terceiros em computadores com Windows XP no 2H09 | À direita: Exploits baseados no navegador e destinados a softwares Microsoft e de terceiros em computadores com Windows Vista e Windows 7 no 2H09 Microsoft Microsoft Terceiros Terceiros
  • 16.  A comparação dos exploits destinados a softwares Microsoft com os exploits de terceiros (aqueles centrados nas vulnerabilidades de softwares produzidos por outros fornecedores) sugere que o cenário de vulnerabilidades do Windows Vista e do Windows 7 é muito diferente daquele do Windows XP.  No Windows XP, as vulnerabilidades da Microsoft são responsáveis por 55,3% de todos os ataques da amostra estudada.  No Windows Vista e no Windows 7, a proporção de vulnerabilidades da Microsoft é significativamente menor, respondendo por apenas 24,6% dos ataques da amostra estudada.  Isso chega a 15,5% no 1H09 (incluindo apenas o Windows Vista) devido aos crescentes ataques à CVE-2009-0075/MS09-002, uma vulnerabilidade no Internet Explorer 7 que afeta o Windows Vista RTM e SP1 (mas não afeta o Windows Vista SP2 nem o Windows 7), a qual foi solucionada pela atualização de segurança da Microsoft em janeiro de 2009. Na página seguinte, as Figuras 23 e 24 mostram as 10 vulnerabilidades mais frequentemente exploradas no Windows XP (Figura 23) e no Windows Vista/Windows 7 (Figura 24). Figura 23: As 10 vulnerabilidades, baseadas no navegador, mais frequentemente exploradas no Windows XP, por percentual de todos os exploits, no 2H09 12% 10% Vulnerabilidades da Microsoft 8% Vulnerabilidades de terceiros 6% 4% 2% 0%
  • 17. Figura 24: As 10 vulnerabilidades, baseadas no navegador, mais frequentemente exploradas no Windows Vista/Windows 7, por percentual de todos os exploits, no 2H09 50% 45% 40% Vulnerabilidades de terceiros 35% Vulnerabilidades da Microsoft 30% 25% 20% 15% 10% 5% 0% Geralmente, as páginas de downloads drive-by são hospedadas em sites da Web legítimos, na qual um invasor publicou código exploit. Os invasores obtêm acesso a sites legítimos por meio de invasões ou ao publicar código mal-intencionado em um formulário da Web pouco seguro, como o campo de comentário de um blog.  Uma análise das vulnerabilidades específicas que são alvo de sites de download drive-by indica que a maioria dos exploits utilizados por tais sites mal-intencionados destinam-se a navegadores mais antigos e são ineficazes nos mais novos. Conforme ilustrado na figura a seguir, os exploits que afetam o Internet Explorer 6 apareceram em quatro vezes mais sites drive-by no 2H09 do que os exploits que afetam a sua versão mais recente, o Internet Explorer 7. Figura 25: Sites de download drive-by destinados ao Internet Explorer 6 e ao Internet Explorer 7, indexados pelo total do Internet Explorer 7, no 2H09 450% 400% 350% 300% 250% 200% 150% 100% 50% 0% Internet Internet Explorer 6 Explorer 7
  • 18.  Enquanto o Bing indexa a Web, as páginas são avaliadas quanto a elementos mal-intencionados ou comportamento mal-intencionado.  O Bing detecta uma grande variedade de páginas de download drive-by todos os meses, com o controle, em qualquer momento, de várias centenas de milhares de sites que hospedam páginas drive-by ativas.  Como os donos dos sites comprometidos são, via de regra, vítimas também, os sites não são removidos do índice do Bing. Em vez disso, ao clicar no link da lista de resultados da pesquisa, é apresentado um aviso com destaque, informando que essa página pode conter software mal-intencionado.  No 2H09, cerca de 0,3% das páginas de resultados de pesquisa que o Bing apresentava aos usuários continham avisos sobre sites mal-intencionados.  Em termos gerais, a quantidade de sites afetados que eram controlados pelo Bing aumentou no 2H09, atingindo 0,24% de todos os sites que hospedam ao menos uma página mal-intencionada, acima dos 0,16% no 1H09. Esse aumento se deve, provavelmente, a uma variedade de novos mecanismos de detecção aprimorados que o Bing implantou no segundo semestre de 2009.  Apesar de o Bing ter detectado sites de download drive-by no mundo inteiro, o risco não é distribuído igualmente entre todos os usuários da Internet. Os usuários de algumas partes do mundo estão mais expostos ao perigo do que aqueles de outras partes. A figura a seguir mostra o grupo dos sites da Web de cada domínio de nível superior com código por país (ccTLD - country-code top-level domain) que foram identificados como hosts de páginas de download drive-by no 2H09.  Foram descobertas páginas de download drive-by em mais de 2,1% dos sites no ccTLD .th (associados à Tailândia) e quase 1% no ccTLD .cn (China). Figura26: [BingGeo_Heatmap] Percentual de sites da Web em cada ccTLD que hospedavam páginas de download drive-by no 2H09  Comparativamente, os domínios de nível superior patrocinados e genéricos que não atendem a países/regiões específicos não apresentam o mesmo nível de variação que os ccTLDs apresentam.  O domínio de nível superior (TLD - Top Level Domain) .biz, destinado a negócios, contém o maior percentual de sites que hospedam páginas de download drive-by; em 0,76% de todos os sites .biz ativos, tais páginas foram encontradas.  Apesar de as páginas de download drive-by poderem ser encontradas em quantidade na maioria dos TLDs genéricos, patrocinados e com códigos de países, os servidores de exploits estão concentrados em um número muito menor de TLDs, liderados pelo .com (33,2%) e .cn (19,0%).  No 2H08, o servidor de exploits mais usado no mundo tinha um alcance de cerca de 100.000 páginas. Esse número aumentou para mais de 450.000 páginas no 1H09 e para quase 750.000 páginas no 2H09.  Apesar do aumento, pouquíssimos desses servidores que estavam no topo da lista no 1H09 estavam lá no 2H09.
  • 19.  As redes de distribuição de malware tendem a ser alvos em movimento, com servidores que constantemente aparecem e desaparecem em diferentes países. Cada vez mais, os invasores utilizam os formatos de arquivos comuns como vetores de transmissão para exploits (formatos como .doc, .pdf, .ppt e .xls, por exemplo). As vulnerabilidades do analisador são um tipo de vulnerabilidade na qual o invasor cria um documento especialmente preparado para se aproveitar de um erro no modo utilizado pelo código para processar ou analisar o formato de arquivo. Muitos desses formatos são complexos e foram projetados visando ao desempenho. Um invasor pode criar um arquivo com uma seção malformada que explore a vulnerabilidade no programa. Figura 27: Exploits de formato de arquivo do Microsoft Office encontrados, por percentual, no 2H09 CVE-2006-2492 CVE-2008-0081 MS06-027 MS08-014 Vulnerabilidade de 8.6% indicador de objeto malformado do Microsoft CVE-2006-0022 Word MS06-028 75.7% 6.3% CVE-2007-0671 MS07-015 3.6% CVE-2009-0556 MS09-017 3.4% CVE-2007-1747 Outros MS07-025 1.1% 1.3%  A maioria das vulnerabilidades exploradas na amostra de dados existia há vários anos, e para todas elas havia atualizações de segurança disponíveis para ajudar na proteção contra o exploit; um terço delas foi identificado pela primeira vez em 2006.  75,7% dos ataques exploraram uma única vulnerabilidade (CVE-2006-2492, na Vulnerabilidade de indicador de objeto malformado do Microsoft Office Word), cuja correção de segurança, ao término de 2009, estava disponível há mais de três anos.  Os usuários que não mantêm atualizadas suas instalações do programa Office com os service packs e as atualizações de segurança estão sujeitos a um maior risco de ataques. A maioria dos ataques envolvia computadores com instalações extremamente desatualizadas do programa Office.  Mais da metade (56,2%) dos ataques afetaram instalações do programa Office que não eram atualizadas desde 2003.  A maioria desses ataques envolveu usuários do Office 2003 que não aplicaram um único service pack nem outras atualizações de segurança desde o lançamento do Office 2003 em outubro de 2003.  Não é de nenhuma maneira incomum que as vítimas dos ataques de exploit do programa Office tenham instalações do Windows que são muito mais atualizadas. Quase dois terços (62,7%) dos ataques ao Office observados no 2H09 afetaram computadores que executavam versões do Windows que haviam sido atualizadas nos últimos 12 meses.  O valor da mediana do tempo decorrido desde a última atualização do sistema operacional nos computadores da amostra era de cerca de 8,5 meses, comparados aos 6,1 anos para a maioria das atualizações mais recentes dos programas do Office — quase nove vezes maior.
  • 20.  Esses dados ajudam a ilustrar o fato de que os usuários podem manter o Windows rigorosamente atualizado e ainda assim enfrentar um risco maior com os exploits, a menos que os usuários também atualizem os outros programas regularmente. Tendências nas violações de segurança Incidentes de segurança que acarretaram consequências na privacidade Ao longo dos últimos anos, foram aprovadas leis em várias jurisdições ao redor do mundo que exigiam que as pessoas afetadas fossem notificadas quando uma organização perdesse o controle sobre as informações de identificação pessoal (PII - Personally Identifiable Information) que lhes haviam sido confiadas. Essas notificações obrigatórias oferecem uma visão exclusiva de como os esforços para proteger as informações precisam solucionar os problemas de negligência e da tecnologia4. Figura 28: Incidentes de violação resultantes de ataques e negligência, 1H08–2H09 120 100 80 Incidentes Negligência 60 Ataque 40 20 0 1H08 2H08 1H09 2H09 4 Desde 2005, os pesquisadores de segurança voluntários controlaram relatórios mundiais sobre tais violações da segurança de dados e as registraram no Data Loss Database (DataLossDB) em http://datalossdb.org.
  • 21. Figura 29: Incidentes de violação da segurança, por tipo de incidente, 1H08–2H09 120 110 100 95 Equipamento furtado 80 Eliminação 71 Equipamento perdido Incidentes Acidentes pela Web 60 Fraude 49 45 Email 42 40 34 33 Correspondência postal 30 Malware 27 25 22 Hacker 20 0 1H08 2H08 1H09 2H09  Há uma clara tendência descendente no número absoluto de incidentes em cada categoria única, exceto para ataques de malware, os quais permanecem inalterados.  O furto de equipamentos e mídias e a perda acidental na Web são responsáveis pelas maiores quedas.  A eliminação imprópria dos registros comerciais é responsável por muitos incidentes. As organizações podem solucionar esse tipo de violação de dados de forma relativamente fácil, adotando políticas eficazes para a destruição de papel e registros eletrônicos que contenham informações confidenciais.  Apesar de muitas pessoas ligarem violações de segurança a pessoas mal-intencionadas que buscam e ganham acesso ilegal a dados confidenciais, os incidentes que envolvem ataques (hacking, malware e fraude) foram significativamente superados nos últimos anos pelos incidentes que envolvem negligência (equipamento perdido, furtado ou ausente; divulgação acidental; ou eliminação imprópria).  Os incidentes envolvendo negligência têm decrescido vertiginosamente nos últimos dois anos, de 110 no 1H08 para apenas 34 no 2H09.  É possível que as empresas estejam adotando mais procedimentos para proteger equipamentos com dados confidenciais, como as verificações de segurança nos portões do prédio ou os programas para informar práticas seguras aos funcionários.  A adoção de soluções com criptografia forte, como o Windows BitLocker® Drive Encryption, também poderia interferir nesse declínio. Em várias jurisdições, as leis sobre divulgação não exigem notificação quando são perdidos ou furtados dados criptografados, já que a extração é muito mais difícil para o ladrão ou para quem os encontrar do que no caso de dados não criptografados.
  • 22. Estratégias atenuantes Como a TI da Microsoft gerencia o risco na Microsoft A TI da Microsoft é responsável pelas operações e segurança diárias da rede mundial da Microsoft. Nesta nova seção do Relatório de inteligência de segurança, a TI da Microsoft compartilha muitas das estratégias atenuantes específicas que utiliza para gerenciar riscos nesse ambiente extremamente complexo e oferece orientações práticas que os profissionais de TI e de segurança podem empregar para ajudar a proteger os seus próprios ambientes. Os tópicos discutidos incluem várias maneiras de ajudar a proteger a infraestrutura de rede da empresa, bem como promover a conscientização e o comportamento de computação segura dentro da empresa. A Microsoft também preparou ampla orientação para profissionais de TI, a fim de ajudar a gerenciar o processo de avaliação, priorização e implantação de atualizações de segurança para produtos da Microsoft. O Guia de atualização de segurança da Microsoft encontra-se disponível para download gratuito em www.microsoft.com/securityupdateguide. O Relatório de inteligência de segurança completo também contém estratégias atenuantes e informações sobre as melhores práticas para ajudar as empresas a reduzirem muitos dos riscos de segurança identificados no Relatório de inteligência de segurança. O Relatório de inteligência de segurança completo pode ser baixado em www.microsoft.com/sir. Ajude a Microsoft a aprimorar o Relatório de inteligência de segurança Obrigado por dedicar o seu tempo à leitura do mais recente volume do Relatório de inteligência de segurança da Microsoft. Queremos assegurar que este relatório continue sendo utilizado e relevante ao máximo para os nossos clientes. Se você tiver algum comentário sobre este volume do relatório ou sugestões sobre como podemos aprimorar os próximos volumes, envie um email para sirfb@microsoft.com. Obrigado e saudações, Computação confiável da Microsoft