根据微软的漏洞和威胁分析报告,HTML和Java利用在2011年下半年大幅上涨,这主要是由恼人的自动化工具包造成,它使攻击相对容易实现。
此外,据微软近段时间发布的微软安全情报报告第12版,针对HTML弱点和Java漏洞的利用在2011年是主要攻击。该分析使用的数据来自微软公司安全软件的用户(主要是微软的恶意软件清除工具的用户),其中包括6亿多用户系统。
JS/Blacole,或者更通常被称为黑洞开发工具包,被认为是大部分攻击背后的主谋。该自动化攻击工具包帮助攻击者构建Zeus、Cutwail、Spyeye和用于传播垃圾邮件和恶意软件的Carberp僵尸网络。它还在另一份年度威胁报告中有详细陈述,该报告由惠普DVLabs在前一段时间发布,发现常见Web应用漏洞的广泛利用与黑洞开发工具包有关。
HTML和JavaScript是最常见的网站脚本语言,一直深受网络犯罪分子们喜爱。一个盛行的攻击类型还涉及恶意IFrame,这是一种与广告软件相关的攻击技术。尽管在浏览器中添加了反跨站点脚本(XSS)的功能,攻击者却发现可以成功利用Java的弱点来引诱用户下载恶意软件。一份最近来自IBM的X-Force威胁研究小组的年度威胁报告支持了微软的数据。研究发现,尽管浏览器漏洞修复在不断增加,但攻击者通过自动化工具包针对的是浏览器组件,而不是浏览器。
微软可信赖计算部门的产品管理总监Tim Rains表示,这些攻击之所以成功,是因为企业里充斥着弱密码和未修补漏洞。员工也容易受到社会工程技术的影响。关注高级持续性威胁(APT)或针对性的网络攻击对企业首席信息安全官们来说都是无用的,因为大多数人将会受到拥有广泛基础的自动化攻击,Rains解释道。
Rains说,“我们不认为APT或针对性的攻击比(目前为止我们有时看到的)自动化攻击更先进、更复杂。”
披露的漏洞很少
据微软称,比起2010年,整个行业在2011年披露的漏洞数量下降了11.8%。其中,高严重性漏洞在2011年上半年下降了31%,基本上延续了自2010年上半年以来的下降速率。微软的数据基于漏洞的严重性,采用了常见漏洞评分系统(Common Vulnerability Scoring System ,CVSS)的评分方法。
微软的Rains表示,漏洞披露数量的整体减少可归于多种因素。企业一直在改进他们的软件开发过程,包括安全。“漏洞猎人”也在找出新的方式继续他们的研究,导致一些人认为关键漏洞未报告。
“我们正试图改变方法,从以前发现漏洞到开发新的缓解和防御程序,使得即使有漏洞,攻击者也不能接触到这些漏洞,”他说道。
在SearchSecurity.com网站最近的一次采访中,微软安全响应中心的高级安全战略家Katie Moussouris介绍了漏洞披露是如何在改变的。直接与安全研究人员一起工作的Moussouris说,厂商已经变得更加敏感,并加大了与研究员的合作。据Moussouris估计,相对于浮出水面作为零日攻击的漏洞,80%的漏洞微软自己知道的。
“我们可以从研究社区(research community)中学到很多东西,包括微软内部的和外部的,”Moussouris说道,“其中我们可以寻找会被利用的问题,与研究界的分享合作。”
在披露的漏洞中,应用漏洞占了绝大部分,在2011年下半年披露的所有漏洞中,它占71%,其中,应用漏洞和Web浏览器漏洞的数量都增加了。与此同时,2011年下半年中被披露的操作系统漏洞的数量下降超过了34%。微软表示,至少自2003年以来,这是首次被披露的操作系统漏洞数量低于被披露的浏览器漏洞数量。
因此,微软发布的安全更新也少了。在2011年,微软安全响应中心共发布了100个安全公告,解决确认了236个个人的公共漏洞问题( CVE,Common Vulnerabilities and Exposures),它们比起2010年,其数量分别减少了7%和6%。