• Artikel

Netzwerk

Der Microsoft Security Intelligence Report

Tim Regen

 

Kurz zusammengefasst:

  • Trends bei der Veröffentlichung von Softwaresicherheitsrisiken sowie bei Exploits und Malware
  • Die Auswirkung von Bedrohungen für verschiedene Windows-Versionen
  • Die am stärksten und am wenigsten infizierten Bereiche der Welt

Daten von vielen hundert Millionen mit dem Internet verbundenen Systemen und der weltweit am stärksten ausgelasteten Onlinedienste vermitteln Microsoft ein einzigartiges Bild der Sicherheitsbedrohungen, denen sich Internetbenutzer heute gegenüber sehen.

Microsoft veröffentlicht diese Daten zweimal jährlich im Security Intelligence Report (SIR). Mitwirkende an dem Bericht sind unter anderem das Microsoft®-Malwareschutzcenter (MMPC), das Microsoft Security Response Center (MSRC), die Trustworthy Computing Group (TwC) sowie zahlreiche andere Produktgruppen. Der Bericht bietet ein detailliertes Bild neuer Trends bei der Veröffentlichung von Softwaresicherheitsrisiken, Malware und möglicherweise unerwünschter Software wie Spyware und Adware. Er umfasst weiterhin Details dazu, welche Leistung verschiedene Versionen des Windows-Betriebssystems gegenüber Bedrohungen gezeigt haben und welche Regionen der Welt am meisten mit Malware und anderer schädlicher Software infiziert sind. Die aktuelle Version des Berichts, der sich auf die im ersten Halbjahr 2007 beobachteten Trends konzentriert, umfasst einen neuen Abschnitt über Exploits in Bezug auf Sicherheitsrisiken. Wenn Sie für die Computersicherheit verantwortlich sind oder sich dafür interessieren, ist dieser Bericht sicher von großem Interesse für Sie, da er über Bedrohungen im Zusammenhang mit dem Internet informiert.

Der aktuelle SIR offenbart, dass bei der Sicherheitsforschung mehr Sicherheitsrisiken in der Software aller Anbieter festgestellt werden. Tatsächlich wurden allein im ersten Halbjahr 2007 über 3.400 neue Softwaresicherheitsrisiken offen gelegt! Doch trotz dieser bedeutenden Zahl nimmt der Gesamtprozentsatz offen gelegter Sicherheitsrisiken bei Betriebssystemen ab.

Was bedeutet dies? Eine Möglichkeit besteht darin, dass sich die Sicherheitsforschung stärker auf Anwendungen konzentriert, da sich die Sicherheit von Betriebssystemen fortwährend verbessert. Da zudem die Anzahl neuer Anwendungen die Anzahl neuer Betriebssysteme überholt, ist die Verbreitung von Anwendungen wahrscheinlich eine treibende Kraft bei diesen neuen Trends zur Veröffentlichung von Sicherheitsrisiken.

Im Jahr 2006 hatten 29,3 Prozent der bekannten Sicherheitsrisiken in Microsoft-Produkten einen öffentlich verfügbaren Exploitcode, während dies am 1. August 2007 nur bei 20,9 Prozent der bekannten Sicherheitsrisiken der Fall war. Obwohl die Anzahl der Sicherheitsrisiken zunimmt, bleibt das Verhältnis des Exploitcodes konstant und hat sogar leicht abgenommen. Bei neueren Produkten ist es schwieriger, Exploitcode zu finden. Wir haben einen Vergleich nach Produkten durchgeführt, der nahe legt, dass neuere Versionen von Produkten weniger gefährdet sind als Produktversionen, die seit längerer Zeit auf dem Markt sind. Im Durchschnitt nimmt die Ausnutzbarkeit eines Sicherheitsrisikos über den Produktlebenszyklus hinweg ab, sodass bei der Mehrzahl der Produkte spätere Versionen weniger ausnutzbare Sicherheitsrisiken aufweisen. Dies ist am offensichtlichsten bei den Windows- und Microsoft Office System-Produkten. Spätere Versionen von beiden (Windows Server® 2003, Windows Vista®, Office 2003 und das 2007 Office System) zeigen eine deutliche Abnahme bei der Anzahl der Sicherheitsrisiken während des Produktlebenszyklus.

Der SIR gewährt wertvolle Einblicke in die Trends bei Malware. Diese Trends sind Hinweise auf die derzeit für Angriffe auf Benutzer verwendeten Taktiken. Die Betrachtung von Daten aus verschiedenen wichtigen Primärquellen, darunter Microsoft Exchange Hosted Services (EHS), Windows Live® OneCare und Windows Live OneCare-Sicherheitsscanner, das Windows-Tool zum Entfernen von Malware (Malicious Software Removal Tool, MSRT) und Windows Defender bietet eine Sichtweise der Bedrohungen aus verschiedenen Blickwinkeln.

Social Engineering spielt eine zunehmend wichtige Rolle bei der Malwareverteilung. Solche Angriffe täuschen Benutzer oft, sodass diese eine Aktivität durchführen, durch die sich die Wirksamkeit der Sicherheitsmechanismen verringert. EHS-Daten deuten darauf hin, dass im ersten Halbjahr 2006 klassische E-Mail-Würmer mit 95 Prozent der in E-Mails entdeckten Malware die größte per E-Mail übertragene Bedrohung darstellten. Zu Beginn des zweiten Halbjahrs 2006 hat sich diese Zahl auf 49 Prozent verringert und ist im ersten Halbjahr 2007 konstant geblieben (siehe Abbildung 1). Phishing und E-Mails, die IFrame-Angriffe enthielten, machten 27 Prozent der E-Mail-Malwareerkennung im zweiten Halbjahr 2006 aus und stiegen im ersten Halbjahr 2007 auf 37 Prozent an. Heruntergeladene Trojaner, die in E-Mails übermittelt wurden, erreichten mit 20 Prozent im zweiten Halbjahr 2006 einen Höhepunkt und fielen im ersten Halbjahr 2007 auf 7 Prozent ab.

Abbildung 1 Die Zusammensetzung infizierter E-Mails im ersten Halbjahr 2007

Abbildung 1** Die Zusammensetzung infizierter E-Mails im ersten Halbjahr 2007 **(Klicken Sie zum Vergrößern auf das Bild)

Von Windows Live OneCare und vom Windows Live OneCare-Sicherheitsscanner (safety.live.com) gesammelte Telemetriedaten zeigen, dass die Infektionsraten von Viren, Hintertüren, Kennwortdieben und Daten stehlenden Trojanern im ersten Halbjahr 2007 zugenommen haben.

Das MSRT ist auf die Identifizierung und Entfernung verbreiteter Malware auf Kundencomputern ausgelegt. Es wird hauptsächlich als kritisches Update über Windows Update (WU), Microsoft Update (MU) und automatische Updates (AU) veröffentlicht. In den letzten zwei Jahren hat das MSRT 50,3 Millionen Infektionen auf weltweit 20,5 Millionen Computern entfernt. Die Gesamtzahl von MSRT-Ausführungen beträgt bisher 7,4 Milliarden, wobei 1,9 Milliarden Ausführungen im ersten Halbjahr 2007 stattfanden.

Das MSRT ist eine hervorragende Datenquelle für Microsoft und seine Kunden. Die vom MSRT beobachteten Infektionsraten sind bei Windows Vista- und Windows XP SP2-Systemen weitaus niedriger als bei älteren Windows-Betriebssystemen, wie Abbildung 2 zeigt. Durch das MSRT wurde Malware auf 60 Prozent weniger Computern entfernt, auf denen Windows Vista ausgeführt wird, als auf Computern, auf denen Windows XP SP2 ausgeführt wird, und 91,5 Prozent weniger Malware als auf Computern, auf denen Windows XP ohne installiertes Service Pack ausgeführt wird. Interessanterweise ist die Anzahl von Desinfektionen pro Computer im Lauf der Zeit konstant geblieben und beträgt durchschnittlich 2,2 Desinfektionen pro infiziertem Computer.

Abbildung 2 Durch das MSRT im ersten Halbjahr 2007 bereinigte Betriebssystemversionen

Abbildung 2** Durch das MSRT im ersten Halbjahr 2007 bereinigte Betriebssystemversionen **(Klicken Sie zum Vergrößern auf das Bild)

Im Allgemeinen wird vom MSRT verhältnismäßig mehr Malware in Entwicklungsländern als in Industriestaaten gefunden. Die am stärksten infizierten europäischen Länder beispielsweise sind Albanien und die Türkei, während Italien und Finnland die am wenigsten infizierten sind. Im asiatisch-pazifischen Raum sind die Mongolei und Thailand die am stärksten infizierten Länder und Neuseeland und Japan die am wenigsten infizierten. Die USA sind verhältnismäßig weniger infiziert als die meisten Länder und Regionen in Nord- und Südamerika, und die Infektionsrate entspricht ungefähr der Durchschnittsrate weltweit. Im Durchschnitt hat MSRT im ersten Halbjahr 2007 jeweils einen von 216 Computern bereinigt.

Windows Defender wird auf Windows Vista, Windows XP und Windows Server 2003 ausgeführt. Insgesamt wurden im ersten Halbjahr 2007 50,7 Millionen möglicherweise unerwünschter Softwareprogramme entdeckt, wobei im Vergleich zu Computern, auf denen Windows XP SP2 ausgeführt wurde, 2,8 Mal weniger Programme auf Computern entdeckt wurden, auf denen Windows Vista ausgeführt wurde. Ebenso war die Anzahl von Erkennungen von möglicherweise unerwünschter Software bei Computern, auf denen Windows Vista ausgeführt wurde, halb so groß wie die Anzahl bei Computern, auf denen Windows Server 2003 ausgeführt wurde.

Obwohl diese Statistiken alle recht interessant sind, fragen Sie sich vielleicht jetzt, wie sie zu Ihrem Schutz und zum Schutz Ihrer Umgebung beitragen. Im aktuellen SIR wird jeder Hauptabschnitt mit einer Zusammenfassung der wesentlichen Themen des betreffenden Abschnitts und einem Satz von „Strategien, Schutzmaßnahmen und Gegenmaßnahmen“ eingeleitet. Mithilfe dieser Listen erhalten Sie schnell einen Überblick über die wichtigsten Ergebnisse in jedem Abschnitt des Berichts.

Zudem können Sie die Daten, Einblicke und Anleitungen im SIR zum Bewerten und Verbessern Ihres aktuellen Sicherheitsansatzes angesichts der sich ständig ändernden Bedrohungen verwenden. Der vollständige Bericht, der Strategien, schadensbegrenzende Maßnahmen und Gegenmaßnahmen auf Grundlage der wichtigsten Ergebnisse bietet, kann unter microsoft.com/sir heruntergeladen werden.

Tim Regen ist als Produktmanager im Microsoft-Malwareschutzcenter (Microsoft Malware Protection Center, MMPC) tätig. Er ist für die Produktion des Microsoft Security Intelligence Report (SIR) verantwortlich. Die Autoren des SIR sind Jeff Jones (Direktor, Microsoft Trustworthy Computing Group), Jeff William (Director für das MMPC), Mike Reavey (Group Manager, Microsoft Security Response Center) und Ziv Mador (leitender Programmmanager und Response Coordinator, MMPC).

© 2008 Microsoft Corporation und CMP Media, LLC. Alle Rechte vorbehalten. Die nicht genehmigte teilweise oder vollständige Vervielfältigung ist nicht zulässig.