Professional Documents
Culture Documents
Volume 14
Julho a dezembro de 2012
Julhodezembro de 2012 1
Relatrio de Inteligncia sobre
Segurana da Microsoft, Volume 14
O Volume 14 do ReportRelatrio de Inteligncia sobre Segurana da Microsoft
(SIRv14) oferece perspectivas detalhadas sobre vulnerabilidades em softwares
da Microsoft e de terceiros, exploraes, ameaas de cdigos mal-
intencionados e softwares potencialmente indesejados. A Microsoft
desenvolveu essas perspectivas com base em anlises detalhadas de tendncias
de vrios anos anteriores, com nfase no segundo semestre de 2012.
O site do SIR tambm inclui uma anlise profunda das tendncias encontradas
em mais de 100 pases/regies do mundo inteiro e oferece sugestes para
ajudar a gerenciar os riscos a organizaes, softwares e pessoas.
2 Relatrio de Inteligncia sobre Segurana da Microsoft, Volume 14, resumo das principais concluses
Avaliao de ameaas mundiais
Vulnerabilidades
Vulnerabilidades so pontos fracos do software que permitem que um invasor
comprometa a integridade, a disponibilidade e/ou a confidencialidade do
software ou dos dados que ele processa. Algumas das vulnerabilidades mais
severas permitem que os invasores explorem o sistema comprometido fazendo
com que ele execute cdigos mal-intencionados sem o conhecimento do
usurio.
Figura 1. Tendncias de severidade da vulnerabilidade (CVE), complexidade da vulnerabilidade, divulgaes por tipo e divulgaes
de produtos da Microsoft e de terceiros, em todo o setor de software, do 1S10 ao 2S12 1
1 Em todo o relatrio, os perodos semestrais e trimestrais so mencionados com o uso dos formatos nSaa ou
nTaa , onde aa indica o ano do calendrio e n indica o semestre ou o trimestre. Por exemplo, 2S12 representa
o segundo semestre de 2012 (de 1 de julho a 31 de dezembro), e 4T12 representa o quarto trimestre de 2012
(de 1 de outubro a 31 de dezembro).
Julhodezembro de 2012 3
A reduo geral em divulgaes de vulnerabilidades em todo o setor
foi inteiramente causada por uma reduo de vulnerabilidades de alta
severidade, que diminuram em 25,1% desde o 1S12. As vulnerabilidades de
alta severidade foram responsveis por 30,9% do total de divulgaes no
2S12, em comparao com o total de 38% no perodo anterior.
Exploraes
Uma explorao um cdigo mal-intencionado que se aproveita das
vulnerabilidades do software para infectar, interromper ou assumir o controle
de um computador sem o consentimento e, geralmente, sem o conhecimento
do usurio. As exploraes tm como destino as vulnerabilidades de sistemas
operacionais, navegadores da Web, aplicativos ou componentes de software
que estejam instalados no computador. Para obter mais informaes, baixe
o SIRv14 em www.microsoft.com/sir.
4 Relatrio de Inteligncia sobre Segurana da Microsoft, Volume 14, resumo das principais concluses
O nmero de computadores relatando exploraes distribudas por HTML ou
JavaScript permaneceu alto durante o segundo semestre de 2012, principalmente
devido predominncia contnua da famlia de exploraes multiplataforma Blacole.
As exploraes que tm como objetivo criar vulnerabilidades em leitores e editores de
documentos cresceu expressivamente no 4T12, estimuladas pelas maiores deteces
de Win32/Pdfjsc.
As deteces de exploraes Java caram no 3T12 para menos de um tero do
total no 2T12, mas, por outro lado, constituam cerca de metade da diferena no
4T12 para se tornarem o terceiro tipo de explorao mais detectado no segundo
semestre do ano.
Famlias de exploraes
A Figura 3 lista as famlias relacionadas s exploraes mais detectadas durante
o segundo semestre de 2012.
Figura 3. Tendncias trimestrais das principais famlias de exploraes detectadas por produtos antimalware da Microsoft no 2S12, por nmero
de computadores exclusivos com deteces, com tons de cores de acordo com a predominncia relativa
Julhodezembro de 2012 5
Blacole o nome da deteco da Microsoft para componentes do
kit de explorao chamado Blackhole, que distribui softwares mal-
intencionados por meio de pginas da Web infectadas. Blacole foi a
famlia de exploraes mais detectada no segundo semestre de 2012. Os
invasores em potencial compram ou alugam o kit Blacole em fruns de
hackers e outras fontes ilegtimas. Ele consiste em uma coleo de pginas
da Web mal-intencionadas que contm exploraes de vulnerabilidades em
verses do Adobe Flash Player, do Adobe Reader, do Microsoft Data Access
Components (MDAC), do Oracle Java Runtime Environment (JRE) e outros
produtos e componentes populares. Quando o invasor carrega o kit Blacole
em um servidor Web, os visitantes que no tm as atualizaes de
segurana adequadas instaladas correm o risco de infeco por um ataque
drive-by download.
6 Relatrio de Inteligncia sobre Segurana da Microsoft, Volume 14, resumo das principais concluses
Malware e softwares potencialmente
indesejados
Exceto quando especificado o contrrio, as informaes desta seo foram compiladas
a partir de dados de telemetria gerados em mais de 600 milhes de computadores no
mundo inteiro e alguns dos servios online mais usados da Internet. Os ndices de
infeco so apresentados com base em CCM (computadores limpos por mil), e
representam o nmero de computadores relatados como tendo sido limpos em um
trimestre para cada 1.000 execues da Ferramenta de Remoo de Software Mal-
intencionado do Windows, disponvel por meio do Microsoft Update e do site da
Central de Proteo e Segurana da Microsoft.
Julhodezembro de 2012 7
Figura 5. ndice de infeco (CCM) por sistema operacional e service pack no 4T12
32 = edio de 32 bits; 64 = edio de 64 bits. SP = Service Pack. RTM = Release to Manufacturing. Os sistemas operacionais
com pelo menos 0,1% do total de execues da MSRT no 4T12 so mostrados.
8 Relatrio de Inteligncia sobre Segurana da Microsoft, Volume 14, resumo das principais concluses
Famlias de ameaas
Figura 6. Tendncias de deteco para uma srie de famlias em destaque em 2012
Julhodezembro de 2012 9
Ameaas domsticas e empresariais
Comparando-se as ameaas encontradas em computadores associados
a domnios e em computadores no associados a domnios, possvel ter
noo das diferenas dos ataques a usurios domsticos e empresariais,
e tambm de quais ameaas tm mais chances de xito em cada ambiente.
Seis famlias so comuns em ambas as listas, particularmente as famlias
genricas Win32/Keygen e INF/Autorun e a famlia de exploraes Blacole.
A famlia mais detectada em computadores no associados a domnios no
2S12, Keygen, foi detectada duas vezes mais nesses computadores do que
nos computadores associados a domnios, embora ela tenha predominado
o suficiente nos ltimos para ficar em terceiro lugar na lista de
computadores associados a domnios, em ambos os trimestres.
As deteces na categoria Worms permaneceu alta para computadores
associados a domnios, lideradas por Win32/Conficker, que diminuiu um
pouco durante o ano, mas permaneceu a segunda famlia mais detectada
em computadores associados a domnios. Consulte How Conficker
continues to propagate (Como o Conficker continua a se propagar)
no Relatrio de Inteligncia sobre Segurana da Microsoft, Volume 12
(julhodezembro de 2011) para obter mais informaes.
10 Relatrio de Inteligncia sobre Segurana da Microsoft, Volume 14, resumo das principais concluses
Figura 7. As tendncias trimestrais das 10 principais famlias detectadas em computadores associados a domnios no 2S12, por
percentual de deteces do relatrio nesses computadores
16%
Percent of all domain-joined computers cleaned
14%
12%
10%
8%
6%
1Q12
4% 2Q12
3Q12
2%
4Q12
0%
Blacole
JS/IframeRef
Win32/Pdfjsc
Win32/Keygen
Win32/Conficker
Win32/Dorkbot
JS/BlacoleRef
Win32/Sirefef
INF/Autorun
Win32/Zbot
Misc. Trojans Misc. Potentially Unwanted Worm Exploit Password
Software Stealers &
Monitoring
Tools
Figura 8. As tendncias trimestrais das 10 principais famlias detectadas em computadores no associados a domnios no 2S12, por
percentual de deteces do relatrio nesses computadores
16%
Percent of all non-domain computers cleaned
14%
12%
10%
8%
6%
1Q12
4% 2Q12
3Q12
2%
4Q12
0%
Win32/Pdfjsc
Blacole
Win32/Sality
Win32/Keygen
Win32/Hotbar
Win32/DealPly
INF/Autorun
Win32/Dorkbot
JS/IFrameRef
Win32/Obfuscator
Julhodezembro de 2012 11
Ameaas por email
Mensagens de spam bloqueadas
As informaes desta seo do relatrio foram compiladas a partir de dados de
telemetria fornecidos pelo Microsoft Exchange Online Protection, que fornece servios
de filtragem de spam, phishing e malware para milhares de clientes empresariais
da Microsoft que processam dezenas de bilhes de mensagens por ms.
Figura 9. Mensagens bloqueadas pelo Exchange Online Protection por ms em 2012
2Para obter mais informaes sobre a neutralizao do Cutwail, consulte o Relatrio de Inteligncia sobre
Segurana da Microsoft, Volume 10 (julho-dezembro de 2010). Para obter mais informaes sobre a
neutralizao do Rustock, consulte Lutando contra a ameaa Rustock, disponvel no Centro de Download da
Microsoft.
12 Relatrio de Inteligncia sobre Segurana da Microsoft, Volume 14, resumo das principais concluses
bloqueadas ou filtradas, em comparao com apenas 1 em 33 mensagens em
2010.
Figura 10. Mensagens bloqueadas pelo Exchange Online Protection em cada semestre, do 1S09 ao 2S12
Figura 11. Mensagens de entrada bloqueadas pelos filtros do Exchange Online Protection no 2S12 por categoria
Julhodezembro de 2012 13
Sites mal-intencionados
Sites de phishing
Os sites de phishing so hospedados no mundo inteiro em sites de hospedagem
gratuita, em servidores Web comprometidos e em vrios outros contextos.
Figura 12. Sites de phishing por 1.000 hosts da Internet em locais no mundo inteiro no 4T12
14 Relatrio de Inteligncia sobre Segurana da Microsoft, Volume 14, resumo das principais concluses
Sites de hospedagem de malware
O Filtro SmartScreen no Internet Explorer ajuda a oferecer proteo contra sites que
so conhecidos por hospedar malware, alm de sites de phishing. Ele usa dados de
reputao da URL e tecnologias antimalware da Microsoft para determinar se os sites
distribuem contedo inseguro. Assim como os sites de phishing, a Microsoft controla
quantas pessoas visitam cada site de hospedagem de malware e usa as informaes
para aprimorar o Filtro SmartScreen e combater melhor a distribuio de malware.
Figura 13. Sites de distribuio de malware por 1.000 hosts da Internet em locais no mundo inteiro no 4T12
3Para proporcionar uma perspectiva mais exata sobre o cenrio de hospedagem de phishing e malware, a metodologia
usada para calcular o nmero de hosts da Internet em cada pas ou regio foi revisado. Por esse motivo, as estatsticas
apresentadas aqui no devem ser comparadas diretamente com as concluses em volumes anteriores.
Julhodezembro de 2012 15
Sites de drive-by download
Um site de drive-by download um site que hospeda uma ou mais
exploraes com o objetivo de infectar atravs de vulnerabilidades em
navegadores da Web e em complementos do navegador. Os usurios com
computadores vulnerveis podem ser infectados com malware simplesmente
visitando um site como esse, mesmo sem tentar baixar nada.
Figura 14. Pginas de drive-by download indexadas pelo Bing no final do 4T12, por 1.000 URLs em cada pas/regio
16 Relatrio de Inteligncia sobre Segurana da Microsoft, Volume 14, resumo das principais concluses
One Microsoft Way
Redmond, WA 98052-6399
microsoft.com/brasil/security