• Artigo

Sistemas de rede

O Relatório de Inteligência de Segurança da Microsoft

Tim Rains

 

Visão geral:

  • Tendências nas divulgações de vulnerabilidades de software, explorações e malwares
  • Impacto de ameaças em diferentes versões do Windows
  • Áreas mais e menos infectadas no mundo

Dados de centenas de milhões de sistemas conectados à Internet e alguns dos mais ocupados serviços online do mundo proporcionam à Microsoft uma visão singular das ameaças de segurança enfrentadas pelos usuários da Internet atualmente.

A Microsoft compartilha esses dados duas vezes ao ano em seu SIR (Relatório de Inteligência de Segurança da Microsoft). Os colaboradores do relatório incluem o MMPC (Microsoft® Malware Protection Center), o MSRC (Microsoft Security Response Center), o grupo TwC (Trustworthy Computing), bem como vários outros grupos de produtos. O SIR possibilita uma visualização profunda das recentes tendências em divulgações de vulnerabilidades de softwares mal-intencionados e potencialmente indesejados como, por exemplo, spywares e adwares. O relatório também inclui detalhes sobre o desempenho de várias versões do sistema operacional Windows em relação às ameaças e quais são as regiões do mundo mais afetadas por malwares e outros softwares intrusivos. A versão mais recente do relatório, que se concentra nas tendências observadas no primeiro semestre de 2007, inclui uma nova seção sobre explorações de vulnerabilidades de softwares. Se a segurança do computador for responsabilidade sua ou de seu interesse, a leitura do SIR será útil, uma vez que ele foi projetado para ajudar você a se manter informado a respeito das ameaças relacionadas à Internet.

O SIR mais recente revela que os pesquisadores de segurança estão encontrando mais vulnerabilidades em softwares de todos os fornecedores. Na verdade, mais de 3.400 novas vulnerabilidades de softwares foram descobertas apenas no primeiro semestre de 2007! Ainda assim, apesar desse número significativo, a porcentagem geral de vulnerabilidades de sistema operacional divulgada está diminuindo.

O que isso significa? Uma possibilidade é de que os pesquisadores de segurança estão se concentrando mais em aplicativos porque a segurança do sistema operacional tem melhorado continuamente. Além disso, como o número de novos aplicativos está ultrapassando o número de novos sistemas operacionais, a proliferação de aplicativos deve estar por trás dessas recentes tendências de divulgação de vulnerabilidades.

Durante 2006, 29,3% das vulnerabilidades em produtos Microsoft apresentavam código de exploração conhecido publicamente, ao passo que, a partir de 1º de agosto de 2007, apenas 20,9% das vulnerabilidades conhecidas apresentavam esse código. Embora o número de vulnerabilidades continue crescendo, a proporção de códigos de exploração permanece estável e chegou até mesmo a mostrar um ligeiro declínio. Códigos de exploração em produtos mais novos são difíceis de encontrar. Realizamos uma comparação produto a produto que sugere que as versões mais recentes dos produtos correm menos riscos do que aquelas que já estão no mercado há mais tempo. Na média, a possibilidade de exploração reduz os tempos de vida dos produtos, o que significa que, para a maioria dos produtos, as versões posteriores estão menos sujeitas à exploração. Isso fica mais claro com os produtos Windows e do Microsoft Office System. As versões posteriores de ambos (Windows Server® 2003, Windows Vista®, Office 2003 e 2007 Office system) mostraram uma redução significativa no número de vulnerabilidades em todo o tempo de vida do produto.

O SIR oferece informações importantes sobre as tendências em softwares mal-intencionados (conhecidos como malwares). Essas tendências são uma indicação das táticas usadas atualmente em ataques aos usuários. Observar os dados de algumas das origens principais mais importantes, inclusive o EHS (Microsoft Exchange Hosted Services), o Windows Live® OneCare e o verificador de segurança Windows Live OneCare, além da MSRT ( Ferramenta de Remoção de Software Mal-Intencionado do Microsoft Windows) e o Windows Defender, nos dá uma visão do panorama de ameaças em relação a alguns pontos vantajosos diferentes.

A engenharia social desempenha um papel cada vez mais importante na distribuição de malwares. Esses ataques costumam conseguir enganar os usuários de forma que eles tomem alguma ação que possa reduzir a eficiência dos mecanismos de segurança. Os dados do EHS indicam que, durante o primeiro semestre de 2006, os worms clássicos por email foram responsáveis pela maior ameaça única por email, representando 95% dos malwares detectados. Observando seu início no segundo semestre de 2006, esse número caiu para 49% e permaneceu estável durante todo o primeiro semestre de 2007 (consulte a Figura 1). Tentativas de phishing e emails contendo ataques IFrame mal-intencionados foram responsáveis por 27% das detecções de malware em emails no segundo semestre de 2006 e chegaram a 37% no primeiro semestre de 2007. Trojans Downloader transmitidos por email atingiram o pico de 20% no segundo semestre de 2006, caindo para 7% no primeiro semestre de 2007.

Figure 1 Composition of infected e-mail in the first half of 2007

Figure 1** Composition of infected e-mail in the first half of 2007 **(Clique na imagem para aumentar a exibição)

Os dados de telemetria obtidos do Windows Live OneCare e do verificador de segurança Windows Live OneCare (safety.live.com) indicam que as proporções de infecção por vírus, backdoors, password stealers e Trojans ladrões de dados cresceram no primeiro semestre de 2007.

A MSRT foi projetada para ajudar na identificação e na remoção de malwares permanentes dos computadores dos clientes. Ela é basicamente lançada como uma atualização crítica por meio do WU (Windows Update), do MU (Microsoft Update) e das AU (Atualizações Automáticas). Nos últimos dois anos, a MSRT já removeu 50,3 milhões de infecções de 20,5 milhões de computadores em todo o mundo. Até hoje, o número total de execuções da MSRT ultrapassa os 7,4 bilhões; isso inclui 1,9 bilhões de execuções no primeiro semestre de 2007.

A MSRT é uma grande origem de dados para a Microsoft e seus clientes. As proporções de infecção observadas pela MSRT são significativamente menores entre os sistemas Windows Vista e Windows XP SP2 do que entre os sistemas operacionais Windows anteriores, como mostra a Figura 2. A MSRT removeu malwares de 60% menos computadores que executavam o Windows Vista do que os que executavam o Windows XP SP2, e 91,5% menos malwares dos computadores que executavam o Windows XP sem nenhum tipo de service pack instalado. Curiosamente, o número de desinfecções por computador permaneceu estável com o passar do tempo, com uma média de 2,2 desinfecções por computador infectado.

Figure 2 OS versions cleaned by the MSRT in the first half of 2007

Figure 2** OS versions cleaned by the MSRT in the first half of 2007 **(Clique na imagem para aumentar a exibição)

Como regra geral, mais malwares são encontrados, proporcionalmente, pela MSRT em países em desenvolvimento do que em países já desenvolvidos. Por exemplo, os países mais infectados na Europa são a Albânia e a Turquia, enquanto os menos infectados são a Itália e a Finlândia. Na região da Ásia/Pacífico, os mais infectados são a Mongólia e a Tailândia, e os menos são a Nova Zelândia e o Japão. Proporcionalmente, os Estados Unidos são menos infectados do que a maioria dos países e regiões das Américas, e seu índice de infecção basicamente acompanha a média mundial. Em média, a MSRT limpou 1 a cada 216 computadores durante o primeiro semestre de 2007.

O Windows Defender é executado no Windows Vista, no Windows XP e no Windows Server 2003. Em geral, 50,7 milhões de softwares potencialmente indesejados foram detectados durante o primeiro semestre de 2007, com 2,8 vezes menos peças sendo detectadas em computadores que executavam o Windows Vista do que naqueles que executavam o Windows XP SP2. Da mesma forma, o número de detecções de softwares potencialmente indesejados em computadores que executavam o Windows Vista foi metade das feitas em computadores que executavam o Windows Server 2003.

Agora você deve estar se perguntando, por mais interessantes que todas essas estatísticas possam ser, como elas podem proteger você e o seu ambiente? No SIR mais recente, todas as seções principais vêm acompanhadas de um resumo dos pontos mais importantes de cada seção e de um conjunto de "Estratégias, reduções e medidas defensivas". É possível usar essas listas para saber rapidamente quais são as principais descobertas em cada uma das seções do relatório.

Além disso, é possível usar os dados, as informações e as orientações oferecidas no SIR para avaliar e melhorar a sua postura atual em relação à segurança, dado o panorama de ameaças em constante alteração. O relatório completo, que oferece estratégias, reduções e medidas preventivas com base nas principais descobertas, pode ser baixado em microsoft.com/sir.

Tim Rains é gerente de produtos do MMPC (Microsoft Malware Protection Center). Ele gerencia a produção do SIR (Relatório de Inteligência de Segurança da Microsoft). Os autores do SIR são Jeff Jones (diretor do Microsoft Trustworthy Computing Group), Jeff Williams (diretor do MMPC), Mike Reavey (gerente de grupos do Microsoft Security Response Center) e Ziv Mador (gerente de programas sênior e coordenador de respostas do MMPC).

© 2008 Microsoft Corporation e CMP Media, LLC. Todos os direitos reservados. A reprodução parcial ou completa sem autorização é proibida..