На прошлой неделе корпорация Symantec опубликовала очередной отчет об интернет-угрозах Symantec Internet Security Threat Report XV (Trends for 2009). Отчет огромный и содержит очень много интересных цифр и фактов, но обо всем по порядку. В данном посте я расскажу о статистике реализаций атак через веб, когда заходя на какую-то страницу (URL) происходит заражение.
Ни для кого не секрет, что подавляющая часть заражений в настоящее время происходит через веб. Киберпреступники создают для заражения специальные сайты, на которые тем или иным способом заманиваются интернет-пользователи или стремятся взломать и заразить уже существующие популярные сайты.
Открывая зараженную страницу, вы активируете так называемый эксплойт, который используя одну из известных и еще не закрытых на вашем компьютере уязвимостей, загружает и устанавливает на вашем компьютере вредоносную программу или их набор.
Давайте посмотрим, какие уязвимости для этого чаще всего используются. Ведь закрыв существующие в системе дыры патчами, мы существенным образом снижаем риски заражения. Ниже представлены Top-5 уязвимостей, используемых в 2009 году, рассмотрим их поближе.
Наиболее атакуемая уязвимость в 2009 году была связана с Microsoft Windows SMB2 ‘_Smb2ValidateProviderCallback()’ Remote Code Execution Vulnerability. Она была обнаружена в сентябре и закрыта Microsoft уже в октябре 2009. Уязвимость затрагивает Windows Vista/7 и Windows Server 2008.
Вторая и пятая по популярности уязвимости связаны с исполнением вредоносного кода в Adobe Reader и Adobe Flash Player. Третья, Microsoft Internet Explorer 7 Uninitialized Memory Code Execution, была опубликована 10 февраля, а закрыта Microsoft уже 16 февраля. Четвертая уязвимость затрагивает Windows XP SP2 и Windows Server 2003. Она была обнаружена 10 июля и также оперативно закрыта вендором.
Несмотря на оперативные реакции вендоров и выпуск патчей в кратчайшее время, эти уязвимости очень активно использовались в 2009 году, что хорошо видно в следующей таблице.
Здесь мне хочется обратить внимание на две важные вещи. Первая состоит в том, что даже старинные уязвимости все еще достаточно активно используются, что хорошо видно из таблицы выше (5 из 10 использовались еще в 2008 году).
Вторая, пожалуй, самая важная вещь, состоит в том, что в 2009 году заметно сместился акцент в сторону эксплуатации уязвимостей не в ПО Microsoft, а в ПО других ведоров. Главной мишенью здесь выступила компания Adobe со своими Adobe Reader и Adobe Flash Player. Если верить данным Symantec, то в сумме 52% всех атак была направлено на уязвимости именно в этом ПО.
Очень показательна вторая строка в таблице, связанная с Microsoft Internet Explorer ADODB.Stream Object File Installation Weakness. Было бы смешно, если бы не было так грустно. Уязвимость была опубликована 23 августа 2003 года, а закрыта 2 июля 2004 года, но это не мешает ей находится в топе - 18% атак в 2009 году направлены именно на нее!
Выводы из этого делать нам с вами: максимально оперативно накатывать патчи и по возможности избегать использования популярных программных продуктов Adobe. Если не хотите отказываться от Adobe, то хотя бы проверьте у себя на компьютере версии Adobe Reader и Adobe Flash Player, и настройки функции автоматического обновления для этих программ.
При всем моем уважении к Adobe, она оказалась не готова к угрозам сегодняшнего дня. Увы, находить уязвимости в его ПО и эксплуатировать их стало намного проще, чем делать тоже самое в критикуемом всеми на каждом углу ПО от Microsoft.
***********************
P.S. Еще раз проверьте актуальность версий Adobe Reader и Adobe Flash Player, а также включены ли у вас функции автоматического обновления этих программ. Проверьте, включен ли Windows Update, установите все обновления от Microsoft не только на Windows, но и на Microsoft Office и другие программы. Проверьте актуальность версии установленной у вас Java, браузеров Firefox, Opera, Chrome, при необходимости обновите ее включите автообновление.
Быстрое закрытие уязвимостей существенным образом сократит риски заражения вредоносными программами, возможно, вы станете меньше думать о том, какой у вас установлен антивирус