Підсумки 2014: загрози та експлуатація Windows

Сьогодні ми публікуємо наш звіт за рік, який включає в себе інформацію про різні загрози, а також дані про актуальні тренди кібератак. За минулий рік ми фіксували появу безлічі нових різних шкідливих програм для Windows, так і розвиток вже існуючих сімейств. Мова йде не тільки про Windows, але також про мобільні платформи Google Android і Apple iOS.



Наш звіт також містить детальну інформацію про закритих уразливість в різних компонентах Windows і MS Office. Багато з цих вразливостей використовувалися зловмисниками в кібератаках на користувачів (т. зв. 0day). В минулому році ми випускали окремий прес-реліз, присвячений відомому трояну BlackEnergy. Він поширювався з використанням 0day уразливості в microsoft Office.

Звіт включає в себе наступну інформацію:
  • Актуальні вектори поширення шкідливого ПЗ.
  • Найбільш активні загрози для Windows.
  • Тренди для Windows.
  • Приклади загроз для iOS.
  • Інформація про закриті уразливість в Microsoft Windows & Office.
  • Статистика закритих вразливостей і їх порівняння з 2013 р.
  • Детальний опис ключових механізмів експлуатації Windows.
  • Інформація про експлуатованих in-the-wild вразливості, включаючи спеціальну таблицю для ASLR bypass вразливостей.
  • Актуальні методи експлуатації і запобігання експлуатації для веб-браузера Internet Explorer.
За минулий рік ми спостерігали безліч експлойтів, які використовувалися зловмисниками для організації атак типу drive-by download. Подібні атаки є дуже вигідними для них, оскільки дозволяють встановлювати шкідливі програми на комп'ютер користувача в прихованому режимі (т. зв. silently installing). Звіт містить детальну інформацію про природу таких кібератак. Оскільки Internet Explorer (IE) є однією з найбільш частих мішеней зловмисників, ми включили в звіт детальну інформацію про його ключових security-нововведення, які були додані Microsoft у минулому році та допомагають користувачеві захиститися від таких атак.

На діаграмі нижче можна побачити той факт, що для IE компанія Microsoft закрила найбільшу кількість вразливостей серед всіх інших компонентів Windows і свого продукту Office. Практично всі ці уразливості відносяться до типу Remote Code Execution і можуть бути використані атакуючими для організації атак drive-by download. На діаграмі IE порівнюється з такими компонентами як драйвер режиму ядра GUI-підсистеми Windows win32k.sys інші драйвера режиму ядра, продукт .NET Framework, користувальницькі компоненти Windows, а також продукт Office.



Атакуючі можуть віддалено виконати шкідливий код в браузері за допомогою спеціальним чином сформованої веб-сторінки. Така веб-сторінка містить спеціальний код, який називається експлойтів, і використовується для створення необхідних умов спрацьовування уразливості. Зазвичай хакери використовують такі експлойти для установки шкідливих програм, коли їм трапляється уразлива версія Windows. Подібна атака відноситься до типу drive-by download і є ключовим трендом експлуатації IE, як показано на діаграмі нижче.



Наш звіт включає в себе детальну інформацію про механізми запобігання експлуатації, які були додані Microsoft Windows і IE в минулому році. Розділ з описом цих механізмів містить інформацію про Windows, Internet Explorer, а також EMET. Подібні механізми дозволяють захистити користувача від експлуатації цілого спектру вразливостей. Наприклад, функція Out-of-date ActiveX control blocking є дуже корисною для блокування всіх експлойтів, які використовують уразливості в застарілі версії плагінів oracle Java і MS Silverlight.

Звіт також містить опис популярних Local Privilege Escalation (LPE) кібератак, які використовуються атакуючими для обходу захисних механізмів sandbox веб-браузерів і запуску шкідливого коду з високими привілеями в системі або в режимі ядра. В минулому році було закрито трохи вразливостей для драйвера win32k.sys, який є джерелом таких вразливостей. На жаль, на сьогоднішній день win32k.sys все ще залишається головним джерелом LPE вразливостей в ос Windows.

Повну версію звіту можна завантажити за цією посилання.

Джерело: Хабрахабр
  • avatar
  • 0

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.