根据微软的漏洞和威胁分析报告,HTML和Java利用在2011年下半年大幅上涨,这主要是由恼人的自动化工具包造成,它使攻击相对容易实现。
此外,据微软近段时间发布的微软安全情报报告第12版,针对HTML弱点和Java漏洞的利用在2011年是主要攻击。该分析使用的数据来自微软公司安全软件的用户(主要是微软的恶意软件清除工具的用户),其中包括6亿多用户系统。
JS/Blacole,或者更通常被称为黑洞开发工具包,被认为是大部分攻击背后的主谋。该自动化攻击工具包帮助攻击者构建Zeus、Cutwail、 Spyeye和用于传播垃圾邮件和恶意软件的Carberp僵尸网络。它还在另一份年度威胁报告中有详细陈述,该报告由惠普DVLabs在前一段时间发布,发现常见Web应用漏洞的广泛利用与黑洞开发工具包有关。
HTML和JavaScript是最常见的网站脚本语言,一直深受网络犯罪分子们喜爱。一个盛行的攻击类型还涉及恶意IFrame,这是一种与广告软件相关的攻击技术。尽管在浏览器中添加了反跨站点脚本(XSS)的功能,攻击者却发现可以成功利用Java的弱点来引诱用户下载恶意软件。一份最近来自IBM的X-Force威胁研究小组的年度威胁报告支持了微软的数据。研究发现,尽管浏览器漏洞修复在不断增加,但攻击者通过自动化工具包针对的是浏览器组件,而不是浏览器。
微软可信赖计算部门的产品管理总监 Tim Rains表示,这些攻击之所以成功,是因为企业里充斥着弱密码和未修补漏洞。员工也容易受到社会工程技术的影响。关注高级持续性威胁(APT)或针对性的网络攻击对企业首席信息安全官们来说都是无用的,因为大多数人将会受到拥有广泛基础的自动化攻击,Rains解释道。
Rains说,“我们不认为APT或针对性的攻击比(目前为止我们有时看到的)自动化攻击更先进、更复杂。”
披露的漏洞很少
据微软称,比起2010年,整个行业在2011年披露的漏洞数量下降了11.8%。其中,高严重性漏洞在2011年上半年下降了31%,基本上延续了自 2010年上半年以来的下降速率。微软的数据基于漏洞的严重性,采用了常见漏洞评分系统(Common Vulnerability Scoring System ,CVSS)的评分方法。
微软的Rains表示,漏洞披露数量的整体减少可归于多种因素。企业一直在改进他们的软件开发过程,包括安全。“漏洞猎人”也在找出新的方式继续他们的研究,导致一些人认为关键漏洞未报告。
“我们正试图改变方法,从以前发现漏洞到开发新的缓解和防御程序,使得即使有漏洞,攻击者也不能接触到这些漏洞,”他说道。
在SearchSecurity.com网站最近的一次采访中,微软安全响应中心的高级安全战略家Katie Moussouris介绍了漏洞披露是如何在改变的。直接与安全研究人员一起工作的Moussouris说,厂商已经变得更加敏感,并加大了与研究员的合作。据Moussouris估计,相对于浮出水面作为零日攻击的漏洞,80%的漏洞微软自己知道的。
“我们可以从研究社区(research community)中学到很多东西,包括微软内部的和外部的,”Moussouris说道,“其中我们可以寻找会被利用的问题,与研究界的分享合作。”
在披露的漏洞中,应用漏洞占了绝大部分,在2011年下半年披露的所有漏洞中,它占71%,其中,应用漏洞和Web浏览器漏洞的数量都增加了。与此同时,2011年下半年中被披露的操作系统漏洞的数量下降超过了34%。微软表示,至少自2003年以来,这是首次被披露的操作系统漏洞数量低于被披露的浏览器漏洞数量。
因此,微软发布的安全更新也少了。在2011年,微软安全响应中心共发布了100个安全公告,解决确认了236个个人的公共漏洞问题( CVE,Common Vulnerabilities and Exposures),它们比起2010年,其数量分别减少了7%和6%。
【编辑推荐】
- 绿盟科技:黑洞那些事儿
- 云计算、虚拟化技术会增加企业安全黑洞?
- 虚拟化不再是网络安全黑洞
- CSDN数据泄密凸显数据安全黑洞 飞客提示注意数据库保护
- 加密软件的黑洞系列四:二次开发是“无底洞”
推荐阅读
担忧“火焰”病毒的Windows管理员们可以松一口气了,因为Windows更新和Windows服务器更新服务都提前提前于周二进行了修补。微软补丁于上周公布,解决了证书被攻破被火焰病毒利用的问题。Microsoft称,&ldq>>>详细阅读
本文标题:微软称:利用黑洞工具包的Java、HTML漏洞成为攻击主流
地址:http://www.17bianji.com/anquan/buding/9166.html
1/2 1