You are on page 1of 19

Uma perspectiva detalhada sobre

vulnerabilidades e exploraes de software,


malware, softwares potencialmente
indesejados e sites mal-intencionados.

Relatrio de Inteligncia sobre


Segurana da Microsoft

Volume 14
Julho a dezembro de 2012

RESUMO DAS PRINCIPAIS


CONCLUSES
Resumo das principais concluses sobre
o Relatrio de Inteligncia sobre Segurana da
Microsoft
Este documento tem apenas carter informativo. A MICROSOFT NO OFERECE
NENHUMA GARANTIA, SEJA ELA EXPRESSA, IMPLCITA OU OBRIGATRIA, EM
RELAO S INFORMAES APRESENTADAS NESTE DOCUMENTO.

Este documento fornecido no estado em que se encontra. As informaes


e opinies expressas aqui, incluindo URLs e outras referncias a sites na Internet,
podero ser alteradas sem aviso prvio. Voc assume o risco de us-lo.

Copyright 2013 Microsoft Corporation. Todos os direitos reservados.

Os nomes de empresas e produtos reais aqui mencionados podem ser marcas


comerciais de seus respectivos proprietrios.

Julhodezembro de 2012 1
Relatrio de Inteligncia sobre
Segurana da Microsoft, Volume 14
O Volume 14 do ReportRelatrio de Inteligncia sobre Segurana da Microsoft
(SIRv14) oferece perspectivas detalhadas sobre vulnerabilidades em softwares
da Microsoft e de terceiros, exploraes, ameaas de cdigos mal-
intencionados e softwares potencialmente indesejados. A Microsoft
desenvolveu essas perspectivas com base em anlises detalhadas de tendncias
de vrios anos anteriores, com nfase no segundo semestre de 2012.

Este documento resume as principais concluses do relatrio. O SIRv14 inclui


um artigo especial que ilustra que executar o software de segurana em tempo
real de um fornecedor bem-conceituado e mant-lo atualizado uma das
etapas mais importantes para reduzir a exposio a malware.

O site do SIR tambm inclui uma anlise profunda das tendncias encontradas
em mais de 100 pases/regies do mundo inteiro e oferece sugestes para
ajudar a gerenciar os riscos a organizaes, softwares e pessoas.

Voc pode baixar o SIRv14 em www.microsoft.com/sir.

2 Relatrio de Inteligncia sobre Segurana da Microsoft, Volume 14, resumo das principais concluses
Avaliao de ameaas mundiais
Vulnerabilidades
Vulnerabilidades so pontos fracos do software que permitem que um invasor
comprometa a integridade, a disponibilidade e/ou a confidencialidade do
software ou dos dados que ele processa. Algumas das vulnerabilidades mais
severas permitem que os invasores explorem o sistema comprometido fazendo
com que ele execute cdigos mal-intencionados sem o conhecimento do
usurio.
Figura 1. Tendncias de severidade da vulnerabilidade (CVE), complexidade da vulnerabilidade, divulgaes por tipo e divulgaes
de produtos da Microsoft e de terceiros, em todo o setor de software, do 1S10 ao 2S12 1

As divulgaes de vulnerabilidades no setor diminuram em 7,8% desde


o 1S12, principalmente devido a uma reduo de divulgaes de
vulnerabilidades de aplicativos. Apesar dessa queda, as divulgaes de
vulnerabilidades aumentaram em 20% no 2S12 em comparao com o 2S11,
um ano antes.

1 Em todo o relatrio, os perodos semestrais e trimestrais so mencionados com o uso dos formatos nSaa ou
nTaa , onde aa indica o ano do calendrio e n indica o semestre ou o trimestre. Por exemplo, 2S12 representa
o segundo semestre de 2012 (de 1 de julho a 31 de dezembro), e 4T12 representa o quarto trimestre de 2012
(de 1 de outubro a 31 de dezembro).

Julhodezembro de 2012 3
A reduo geral em divulgaes de vulnerabilidades em todo o setor
foi inteiramente causada por uma reduo de vulnerabilidades de alta
severidade, que diminuram em 25,1% desde o 1S12. As vulnerabilidades de
alta severidade foram responsveis por 30,9% do total de divulgaes no
2S12, em comparao com o total de 38% no perodo anterior.

Um aumento de divulgaes de vulnerabilidades de aplicativos no 1S12


interrompeu uma tendncia de diminuies consistentes de perodo
a perodo que comeou no 2S09.

Exploraes
Uma explorao um cdigo mal-intencionado que se aproveita das
vulnerabilidades do software para infectar, interromper ou assumir o controle
de um computador sem o consentimento e, geralmente, sem o conhecimento
do usurio. As exploraes tm como destino as vulnerabilidades de sistemas
operacionais, navegadores da Web, aplicativos ou componentes de software
que estejam instalados no computador. Para obter mais informaes, baixe
o SIRv14 em www.microsoft.com/sir.

A Figura 2 mostra a predominncia de diferentes tipos de exploraes


detectados por produtos antimalware da Microsoft em cada trimestre do 3T11
ao 4T12, por nmero de computadores exclusivos afetados.
Figura 2. Computadores exclusivos relatando diferentes tipos de exploraes, do 3T11 ao 4T12

4 Relatrio de Inteligncia sobre Segurana da Microsoft, Volume 14, resumo das principais concluses
O nmero de computadores relatando exploraes distribudas por HTML ou
JavaScript permaneceu alto durante o segundo semestre de 2012, principalmente
devido predominncia contnua da famlia de exploraes multiplataforma Blacole.
As exploraes que tm como objetivo criar vulnerabilidades em leitores e editores de
documentos cresceu expressivamente no 4T12, estimuladas pelas maiores deteces
de Win32/Pdfjsc.
As deteces de exploraes Java caram no 3T12 para menos de um tero do
total no 2T12, mas, por outro lado, constituam cerca de metade da diferena no
4T12 para se tornarem o terceiro tipo de explorao mais detectado no segundo
semestre do ano.

Famlias de exploraes
A Figura 3 lista as famlias relacionadas s exploraes mais detectadas durante
o segundo semestre de 2012.
Figura 3. Tendncias trimestrais das principais famlias de exploraes detectadas por produtos antimalware da Microsoft no 2S12, por nmero
de computadores exclusivos com deteces, com tons de cores de acordo com a predominncia relativa

Explorao Plataforma ou tecnologia 1T12 2T12 3T12 4T12

Win32/Pdfjsc* Documentos 1.430448 1.217348 1.187265 2.757.703


Blacole HTML/JavaScript 3.154.826 2.793.451 2.464.172 2.381.275
CVE-2012-1723* Java 110.529 1.430.501
Malicious IFrame HTML/JavaScript 950.347 812.470 567.014 1.017.351
CVE-2010-2568
726.797 783.013 791.520 1.001.053
(MS10-046) Sistema operacional
CVE-2012-0507* Java 205.613 1.494.074 270.894 220.780
CVE-2011-3402
42 24 66 199.648
(MS11-087) Sistema operacional
CVE-2011-3544* Java 1.358.266 803.053 149.487 116.441
ShellCode* Cdigo de shell 105.479 145.352 120.862 73.615
JS/Phoex Java 274.811 232.773 201.423 25.546
* Esta vulnerabilidade tambm usada pelo kit Blacole; os totais fornecidos aqui para essa vulnerabilidadeexcluem deteces de
Blacole.

As deteces de Win32/Pdfjsc, uma deteco para arquivos PDF


especialmente confeccionados que exploram vulnerabilidades no Adobe
Reader e no Adobe Acrobat, mais que dobraram do 3T12 ao 4T12. Essa foi a
explorao mais detectada no ltimo trimestre do ano e a segunda mais
comum no perodo semestral em geral.

Julhodezembro de 2012 5
Blacole o nome da deteco da Microsoft para componentes do
kit de explorao chamado Blackhole, que distribui softwares mal-
intencionados por meio de pginas da Web infectadas. Blacole foi a
famlia de exploraes mais detectada no segundo semestre de 2012. Os
invasores em potencial compram ou alugam o kit Blacole em fruns de
hackers e outras fontes ilegtimas. Ele consiste em uma coleo de pginas
da Web mal-intencionadas que contm exploraes de vulnerabilidades em
verses do Adobe Flash Player, do Adobe Reader, do Microsoft Data Access
Components (MDAC), do Oracle Java Runtime Environment (JRE) e outros
produtos e componentes populares. Quando o invasor carrega o kit Blacole
em um servidor Web, os visitantes que no tm as atualizaes de
segurana adequadas instaladas correm o risco de infeco por um ataque
drive-by download.

6 Relatrio de Inteligncia sobre Segurana da Microsoft, Volume 14, resumo das principais concluses
Malware e softwares potencialmente
indesejados
Exceto quando especificado o contrrio, as informaes desta seo foram compiladas
a partir de dados de telemetria gerados em mais de 600 milhes de computadores no
mundo inteiro e alguns dos servios online mais usados da Internet. Os ndices de
infeco so apresentados com base em CCM (computadores limpos por mil), e
representam o nmero de computadores relatados como tendo sido limpos em um
trimestre para cada 1.000 execues da Ferramenta de Remoo de Software Mal-
intencionado do Windows, disponvel por meio do Microsoft Update e do site da
Central de Proteo e Segurana da Microsoft.

Para mostrar uma perspectiva de padres de infeco no mundo inteiro,


a Figura 4 exibe os ndices de infeco em locais do mundo com base em CCM.
As deteces e remoes em pases/regies individuais podem variar
significativamente de acordo com o trimestre.
Figura 4. ndices de infeco por pas/regio no 4T12, por CCM

Julhodezembro de 2012 7
Figura 5. ndice de infeco (CCM) por sistema operacional e service pack no 4T12

32 = edio de 32 bits; 64 = edio de 64 bits. SP = Service Pack. RTM = Release to Manufacturing. Os sistemas operacionais
com pelo menos 0,1% do total de execues da MSRT no 4T12 so mostrados.

Os dados so normalizados, ou seja, o ndice de infeco para cada verso do


Windows calculado comparando-se um nmero igual de computadores por
verso (por exemplo, 1.000 computadores com Windows XP SP3 e 1.000
computadores com Windows 8 RTM).

8 Relatrio de Inteligncia sobre Segurana da Microsoft, Volume 14, resumo das principais concluses
Famlias de ameaas
Figura 6. Tendncias de deteco para uma srie de famlias em destaque em 2012

As deteces de Win32/Keygen, a deteco mais comum em geral no 2S12,


aumentaram a cada trimestre, de 4,8 milhes de computadores no 2T12
para 6,8 milhes no 4T12. Keygen uma deteco para ferramentas que
geram chaves de produtos para vrios produtos de software, o que pode
permitir que os usurios executem os produtos ilegalmente.

A deteco de adware Win32/DealPly, que apareceu pela primeira vez no 4T12,


rapidamente se tornou a segunda deteco mais comum do trimestre. O DealPly
um programa adware que exibe ofertas relacionadas aos hbitos de navegao do
usurio na Web. Ele foi observado sendo includo em determinados programas de
instalao de software de terceiros, inclusive o Win32/Protlerdob.
As deteces da famlia genrica JS/IframeRef aumentou em cinco vezes no 4T12 depois
de uma queda expressiva entre o 2T12 e o 3T12. O IframeRef uma deteco genrica
para marcas de IFrame (quadro embutido) HTML especialmente formadas, que fazem o
redirecionamento para sites remotos que possuem contedo mal-intencionado. O
aumento de deteces de IframeRef no 2T12 e no 4T12 foi resultado da descoberta de um
par de novas variaes amplamente usadas em abril e novembro de 2012. (Em janeiro de
2013, essas variaes foram reclassificadas como Trojan:JS/Seedabutor.A e
Trojan:JS/Seedabutor.B, respectivamente.)

Julhodezembro de 2012 9
Ameaas domsticas e empresariais
Comparando-se as ameaas encontradas em computadores associados
a domnios e em computadores no associados a domnios, possvel ter
noo das diferenas dos ataques a usurios domsticos e empresariais,
e tambm de quais ameaas tm mais chances de xito em cada ambiente.
Seis famlias so comuns em ambas as listas, particularmente as famlias
genricas Win32/Keygen e INF/Autorun e a famlia de exploraes Blacole.
A famlia mais detectada em computadores no associados a domnios no
2S12, Keygen, foi detectada duas vezes mais nesses computadores do que
nos computadores associados a domnios, embora ela tenha predominado
o suficiente nos ltimos para ficar em terceiro lugar na lista de
computadores associados a domnios, em ambos os trimestres.
As deteces na categoria Worms permaneceu alta para computadores
associados a domnios, lideradas por Win32/Conficker, que diminuiu um
pouco durante o ano, mas permaneceu a segunda famlia mais detectada
em computadores associados a domnios. Consulte How Conficker
continues to propagate (Como o Conficker continua a se propagar)
no Relatrio de Inteligncia sobre Segurana da Microsoft, Volume 12
(julhodezembro de 2011) para obter mais informaes.

As deteces de adware costumam ser muito mais comuns em


computadores no associados a domnios do que nos computadores
associados. A famlia de adware Win32/DealPly foi a segunda famlia de
ameaas mais detectada em computadores no associados a domnios
no 4 trimestre, com outra famlia de adware, Win32/Hotbar, em dcimo
lugar. Em contrapartida, nenhuma das 10 principais famlias detectadas em
computadores associados a domnios eram famlias de adware.

10 Relatrio de Inteligncia sobre Segurana da Microsoft, Volume 14, resumo das principais concluses
Figura 7. As tendncias trimestrais das 10 principais famlias detectadas em computadores associados a domnios no 2S12, por
percentual de deteces do relatrio nesses computadores

16%
Percent of all domain-joined computers cleaned

14%

12%

10%

8%

6%
1Q12

4% 2Q12
3Q12
2%
4Q12
0%

Blacole
JS/IframeRef

Win32/Pdfjsc
Win32/Keygen

Win32/Conficker

Win32/Dorkbot
JS/BlacoleRef

Win32/Sirefef

INF/Autorun

Win32/Zbot
Misc. Trojans Misc. Potentially Unwanted Worm Exploit Password
Software Stealers &
Monitoring
Tools

Figura 8. As tendncias trimestrais das 10 principais famlias detectadas em computadores no associados a domnios no 2S12, por
percentual de deteces do relatrio nesses computadores

16%
Percent of all non-domain computers cleaned

14%

12%

10%

8%

6%
1Q12

4% 2Q12
3Q12
2%
4Q12
0%
Win32/Pdfjsc
Blacole

Win32/Sality
Win32/Keygen

Win32/Hotbar

Win32/DealPly
INF/Autorun

Win32/Dorkbot

JS/IFrameRef
Win32/Obfuscator

Misc. Potentially Unwanted Exploits Adware Viruses Worms Misc.


Software Trojans

Julhodezembro de 2012 11
Ameaas por email
Mensagens de spam bloqueadas
As informaes desta seo do relatrio foram compiladas a partir de dados de
telemetria fornecidos pelo Microsoft Exchange Online Protection, que fornece servios
de filtragem de spam, phishing e malware para milhares de clientes empresariais
da Microsoft que processam dezenas de bilhes de mensagens por ms.
Figura 9. Mensagens bloqueadas pelo Exchange Online Protection por ms em 2012

Os volumes de emails bloqueados no 2S12 aumentaram um pouco em relao


ao 1S12, mas permanecem em nveis bem abaixo daqueles observados antes
do final de 2010. A queda vertiginosa de spams observada nos ltimos dois
anos ocorreu em consequncia da neutralizao bem-sucedida de uma srie
de botnets grandes de envio de spams, principalmente o Cutwail (agosto de
2010) e o Rustock (maro de 2011).2 No 2S12, cerca de 1 em 4 mensagens de
email foram entregues nas caixas de entrada dos destinatrios sem serem

2Para obter mais informaes sobre a neutralizao do Cutwail, consulte o Relatrio de Inteligncia sobre
Segurana da Microsoft, Volume 10 (julho-dezembro de 2010). Para obter mais informaes sobre a
neutralizao do Rustock, consulte Lutando contra a ameaa Rustock, disponvel no Centro de Download da
Microsoft.

12 Relatrio de Inteligncia sobre Segurana da Microsoft, Volume 14, resumo das principais concluses
bloqueadas ou filtradas, em comparao com apenas 1 em 33 mensagens em
2010.
Figura 10. Mensagens bloqueadas pelo Exchange Online Protection em cada semestre, do 1S09 ao 2S12

Figura 11. Mensagens de entrada bloqueadas pelos filtros do Exchange Online Protection no 2S12 por categoria

Os filtros de contedo do Exchange Online Protection reconhecem diversos


tipos comuns de mensagens de spam. A Figura 11 mostra a predominncia
relativa dos tipos de spam que foram detectados no 2S12.

Julhodezembro de 2012 13
Sites mal-intencionados
Sites de phishing
Os sites de phishing so hospedados no mundo inteiro em sites de hospedagem
gratuita, em servidores Web comprometidos e em vrios outros contextos.
Figura 12. Sites de phishing por 1.000 hosts da Internet em locais no mundo inteiro no 4T12

O Filtro SmartScreen detectou 5,1 sites de phishing a cada 1.000 hosts da


Internet no mundo inteiro no 4T12.
Os locais com concentraes de sites de phishing mais altas do que a mdia
incluem o Brasil (12,6 por 1.000 hosts da Internet no 4T12), a Austrlia (9,1) e
a Rssia (8,3). Os locais com baixas concentraes de sites de phishing
incluem o Japo (1,8), a Finlndia (1,9) e a Sucia (2,8).

14 Relatrio de Inteligncia sobre Segurana da Microsoft, Volume 14, resumo das principais concluses
Sites de hospedagem de malware
O Filtro SmartScreen no Internet Explorer ajuda a oferecer proteo contra sites que
so conhecidos por hospedar malware, alm de sites de phishing. Ele usa dados de
reputao da URL e tecnologias antimalware da Microsoft para determinar se os sites
distribuem contedo inseguro. Assim como os sites de phishing, a Microsoft controla
quantas pessoas visitam cada site de hospedagem de malware e usa as informaes
para aprimorar o Filtro SmartScreen e combater melhor a distribuio de malware.
Figura 13. Sites de distribuio de malware por 1.000 hosts da Internet em locais no mundo inteiro no 4T12

O Filtro SmartScreen detectou3 10,8 sites de hospedagem de malware a


cada 1.000 hosts da Internet no mundo inteiro no 4T12.
A China, que apresentava uma concentrao de sites de phishing mais baixa
do que a mdia (3,4 sites de phishing por 1.000 hosts da Internet no 4T12),
tambm apresentou uma concentrao muito alta de sites de hospedagem
de malware (25,1 sites de hospedagem de malware a cada 1.000 hosts no
4T12). Outros locais com grandes concentraes de sites de hospedagem
de malware incluram o Brasil (32,0), a Coreia (17,9) e a Rssia (15,9). Os
locais com baixas concentraes de sites de hospedagem de malware
incluram o Japo (5,3), a Sucia (5,4) e a Polnia (6,1).

3Para proporcionar uma perspectiva mais exata sobre o cenrio de hospedagem de phishing e malware, a metodologia
usada para calcular o nmero de hosts da Internet em cada pas ou regio foi revisado. Por esse motivo, as estatsticas
apresentadas aqui no devem ser comparadas diretamente com as concluses em volumes anteriores.

Julhodezembro de 2012 15
Sites de drive-by download
Um site de drive-by download um site que hospeda uma ou mais
exploraes com o objetivo de infectar atravs de vulnerabilidades em
navegadores da Web e em complementos do navegador. Os usurios com
computadores vulnerveis podem ser infectados com malware simplesmente
visitando um site como esse, mesmo sem tentar baixar nada.
Figura 14. Pginas de drive-by download indexadas pelo Bing no final do 4T12, por 1.000 URLs em cada pas/regio

Este documento resume as principais concluses do relatrio. O site do SIR


tambm inclui uma anlise profunda das tendncias encontradas em mais
de 100 pases/regies do mundo inteiro e oferece sugestes para ajudar
a gerenciar os riscos a organizaes, softwares e pessoas.

Voc pode baixar o SIRv14 em www.microsoft.com/sir.

16 Relatrio de Inteligncia sobre Segurana da Microsoft, Volume 14, resumo das principais concluses
One Microsoft Way
Redmond, WA 98052-6399
microsoft.com/brasil/security

You might also like