Informe de inteligencia sobre seguridad

Transcripción

1 Informe de inteligencia sobre seguridad De enero a junio de 2007 Resumen de resultados clave

2 Informe de inteligencia sobre seguridad de Microsoft (enero junio de 2007) Resumen de resultados clave El informe de inteligencia sobre seguridad de Microsoft (enero junio de 2007) ofrece una perspectiva detallada de las vulnerabilidades de software (tanto en el software de Microsoft como en el software de terceros), las vulnerabilidades de seguridad de software (existe un boletín de seguridad de Microsoft al respecto), el software malintencionado y el software potencialmente no deseado, que Microsoft ha observado en los últimos años, con un enfoque especial en la primera mitad de 2007 (1M07) 1. Este documento es un resumen de los resultados clave de dicho informe. El informe completo, en el que también se indican estrategias, minimizaciones y contramedidas basadas en los resultados clave, se puede descargar de Vulnerabilidades de software El número de divulgaciones de nuevas vulnerabilidades de software en todo el sector sigue contándose por miles, tal y como reflejan las más de nuevas vulnerabilidades divulgadas en la 1M07. Aun así, esta cifra representa un declive respecto a la 2M06, siendo el primer descenso en el número total de vulnerabilidades en dos períodos consecutivos desde el Figura 1. Vulnerabilidades según la Vulnerabilidades gravedad según la gravedad Baja Media Alta M02 2M02 1M03 2M03 1M04 2M04 1M05 2M05 1M06 2M06 1M07 1 En el informe se usa una nomenclatura específica para hacer referencia a diferentes períodos: en nmaa, nm se refiere a la primera (1) mitad del año o a la segunda (2) y AA indica el año. Por ejemplo, 1M07 representa la primera mitad de 2007 (del 1 de enero al 30 de junio) y 2M06 representa la segunda mitad de 2006 (del 1 de julio al 31 de diciembre). 2

3 Las divulgaciones de vulnerabilidades de gravedad Alta 2 continúan multiplicándose en todo el sector, mientras que el aumento de los problemas de gravedad Baja y Media parece ralentizarse. Este último punto supone una inversión de la tendencia de los últimos años y sugiere que existe un grupo más amplio de objetivos para los atacantes malintencionados. El gráfico siguiente ilustra estas tendencias: En los sistemas operativos se detecta un porcentaje en descenso de las divulgaciones de vulnerabilidades. Una interpretación posible es que los investigadores en materia de seguridad se están centrando más en las aplicaciones, puesto que la seguridad de los sistemas operativos sigue mejorando. Asimismo, el número de aplicaciones nuevas crece más rápido que el número de sistemas operativos nuevos y es probable que dicha proliferación contribuya a perfilar esta tendencia de divulgaciones de vulnerabilidades. Puesto que las aplicaciones siguen una tendencia multianual en la que se aprecia un porcentaje superior de vulnerabilidades en relación con el número total de divulgaciones, se puede deducir que las aplicaciones se están convirtiendo en un objetivo más atractivo para los investigadores en materia de seguridad en relación con los sistemas operativos. Vulnerabilidades de seguridad En el año 2006, el 29,3% de las vulnerabilidades conocidas y notificadas en los productos Microsoft tenían un código que aprovechaba las vulnerabilidades y que estaba disponible para el público. En cambio, a partir del 1 de agosto de 2007, sólo el 20,9% de las vulnerabilidades conocidas presentaban un código de este tipo. Si bien el número de vulnerabilidades sigue aumentando, la proporción del código disponible que aprovecha dichas vulnerabilidades permanece constante e incluso muestra un ligero descenso. La conclusión es que el código que aprovecha las vulnerabilidades es más difícil de localizar. Este descenso puede deberse a los cambios producidos en el entorno como la introducción de la selección aleatoria de espacio de direcciones, así como a las presiones sociales o legales entre la comunidad de desarrolladores de vulnerabilidades de seguridad. En una comparación producto a producto se observa que los productos nuevos están menos expuestos al riesgo del código que aprovecha la vulnerabilidad y disponible para el público que los productos que se encuentran en el mercado desde hace más tiempo. En proporción, se aprecia que la capacidad para aprovechar vulnerabilidades disminuye durante la vigencia de los productos, lo que significa que dicha capacidad se reduce en las versiones posteriores de la mayoría de los productos. Este hecho se aprecia claramente en las líneas de productos de los sistemas Microsoft Windows y Microsoft Office. En general, Windows XP y Microsoft Office XP se sitúan en la misma posición en cuanto al número de vulnerabilidades aprovechables, detectadas entre 2006 y En las versiones posteriores de los productos Windows Server 2003, Windows Vista, Microsoft Office 2003 y Microsoft Office 2007 system se observa un descenso significativo en el número de vulnerabilidades durante la vigencia del producto. 2 La información sobre las clasificaciones de gravedad se puede consultar en

4 Software malintencionado Actividad de malware En la figura siguiente se muestra el número de las variantes aparecidas durante la 1M07, clasificadas según la categoría de malware. Los troyanos representaron el mayor número de variantes reunidas a lo largo de la 1M07. Determinadas familias de malware presentaron un número muy elevado de variantes nuevas en la 1M07. Por ejemplo, Win32/Busky, Win32/Nuwar y Win32/Zlob tuvieron casi variantes nuevas en cada familia durante la 1M07. Figura 2. Número de variantes de más Actividad de de familias malware de 1M07 malware en la 1M Troyano Descargador/instalador Vulnerabilidad de seguridad Gusano Programas de interceptación de contraseñas/ registradores de claves Puerta trasera Virus Rootkit

5 Malware electrónico La ingeniería social desempeña un papel cada vez más importante en la distribución actual de malware. Los ataques de ingeniería social van en aumento y, a menudo, pueden engañar al usuario y conseguir que éste realice acciones que impiden o reducen la efectividad de la protección existente. Durante la primera mitad de 2006, los clásicos gusanos de correo electrónico fueron, con diferencia, la amenaza más importante de malware electrónico, ya que constituyeron el 95% del total de malware detectado en el correo electrónico. Sin embargo, a partir de la segunda mitad de 2006 y con la misma tendencia constante a lo largo de la primera mitad de 2007, los clásicos gusanos de correo electrónico disminuyeron hasta el 49% del total de malware detectado en el correo electrónico. Las estafas de suplantación de identidad (phishing) y el correo electrónico con ataques iframe malintencionados supusieron el 27% de las detecciones de malware por correo electrónico en la segunda mitad de 2006 y aumentaron hasta el 37% en la primera mitad de Los troyanos descargadores incluidos en el correo electrónico llegaron a la cifra máxima del 20% durante la segunda mitad de 2006, pero bajaron hasta el 7% en la primera mitad de Figura 3. Composición del correo electrónico infectado, procesado por los Servicios hospedados de Microsoft Exchange (EHS) en la 1M07 Estafas con tarjeta de felicitación (7%) Descargadores troyanos (7%) Gusanos de correo electrónico (49%) Suplantación de identidad (phishing) y fraude (37%) Mensajería instantánea Las puertas traseras, una categoría que incluye robots, son la amenaza que ha crecido de una forma más drástica para los usuarios de mensajería instantánea. Este significativo aumento ocurrido entre la 2M06 y la 1M07 tuvo su origen, casi exclusivamente, en una sola familia Win32/IRCbot que representó el 81% de todas las detecciones de puertas traseras en Windows Live Messenger durante la 1M07. El riesgo de exposición a las puertas traseras, los robots y los troyanos descargadores ha aumentado para los usuarios de mensajería instantánea. De todos modos, la exposición al malware que se replica a sí mismo a través de la mensajería instantánea se mantiene constante o en descenso.

6 Windows Live OneCare y Windows Live OneCare Safety Scanner Las tasas de infección por virus, puertas traseras, programas de interceptación de contraseñas y troyanos de robo de datos aumentaron en la 1M07. La comparación de las tasas de detección entre Windows Live OneCare y Windows Live OneCare Safety Scanner destaca la importancia de los examinadores para minimizar el riesgo a la exposición e ilustra el papel que tiene la detección en tiempo real como protección para los usuarios. Tal y como se aprecia en la figura siguiente, Windows Live OneCare presenta un número de detecciones muy superior, probablemente, debido a la protección en tiempo real y, en consecuencia, ofrece información adicional sobre los riesgos a la exposición. En cambio, Windows Live OneCare Safety Scanner no ofrece protección en tiempo real, lo que significa que las detecciones del examinador de seguridad son indicativas de exposición posterior. Asimismo, en concordancia con los datos de Windows Live OneCare Safety Scanner, las detecciones de Windows Live OneCare son las más altas en cuanto a adware y software potencialmente no deseado se refiere, así como en descargadores/instaladores y troyanos. Figura 4. Comparación de detecciones de Windows Live OneCare y Windows Live OneCare Safety Scanner en la 1M07 25% 20% 15% 10% 5% Windows Live OneCare Safety Scanner Windows Live OneCare (100%) 0% Adware Puertas traseras Descargadores/instaladores Software potencialmente no deseado Programas de interceptación contraseñas/robo de datos Spyware Troyanos Virus Gusano

7 Herramienta de eliminación de software malintencionado de Microsoft (MSRT) Las tasas de infección detectadas por la MSRT son significativamente inferiores entre los sistemas de Windows Vista y Windows XP SP2 que entre los sistemas operativos anteriores de Windows. Proporcionalmente 3, la MSRT ha limpiado el malware de un 60% menos de los equipos con Windows Vista que en los que se ejecuta Windows XP SP2. Igualmente, la MSRT ha limpiado el malware, en proporción, de un 91,5% menos de equipos con Windows Vista que en los que usan Windows XP sin ningún Service Pack instalado. Los usuarios que usan el Control de cuentas de usuario (UAC) con Windows Vista obtendrán un mejor resultado, puesto que el UAC proporciona un nivel de protección adicional contra los métodos de envío de malware de ingeniería social que se sustentan en los privilegios administrativos de instalación. Figura 5. Versiones de los sistemas operativos de los equipos limpiados (datos normalizados) por la MSRT en la 1M07 1M07 (normalizado) Windows Vista (2,8%) Windows 2003 SP2 (7,3%) Windows 2003 SP1 (3,4%) Windows 2003 sin SP (5,8%) Windows XP SP2 (7,0%) Windows 2000 SP3 (13,2%) Windows 2000 SP4 (6,6%) Windows XP sin SP (32,9%) Windows XP SP1 (20,9%) La MSRT eliminó una cantidad significativamente superior de malware en la 1M07 que en los períodos anteriores. Esta herramienta eliminó el malware de 1 de cada 217 equipos en la 1M07 frente a la proporción de 1 de cada 409 en el 2006 y de 1 de cada 359 en la 2M05. Los motivos que explican este notable aumento pueden deberse a las mejoras que han reforzado la detección de las familias ya incluidas en la MSRT, junto con la adición de las familias más frecuentes como Win32/Renos, Win32/Stration y Win32/Alureon. Curiosamente, el número de desinfecciones por equipo ha permanecido constante desde la creación de esta herramienta: 2,2 desinfecciones de media por equipo infectado. En la figura 6 se muestra el número de desinfecciones y el número de equipos limpiados por la MSRT desde el primer lanzamiento de esta herramienta en enero de Nota: la MSRT empezó a registrar las estadísticas de los equipos limpiados a partir de la 2M05. 3 Los datos se han normalizado para reflejar con exactitud las ejecuciones en el sistema operativo (SO) específico. La fórmula de normalización que se usa es: Desinfecciones normalizadasso = DesinfeccionesSO/Porcentaje de ejecuciónso. 7

8 Figura 6. Equipos limpiados y desinfecciones de malware mediante la MSRT 20 millones 18 millones 16 millones 14 millones 12 millones 10 millones 8 millones Desinfecciones Equipos limpiados 6 millones 4 millones 2 millones 0 1M05 2M05 1M06 2M06 1M07 En la figura siguiente se muestran las categorías de software malintencionado que la MSRT eliminó de los equipos infectados en cada uno de los cuatro períodos de informe anteriores. Se aprecia un aumento muy marcado en el número de descargadores detectados y eliminados por la herramienta. Figura 7. Detecciones de la MSRT según la categoría 7 millones 6 millones 5 millones 4 millones 3 millones 2 millones Desinfecciones 2M05 1M06 2M06 1M07 1 millón 0 Puerta trasera Envío de correo masivo Rootkit Gusano de P2P Descargador/instalador Gusano de red Programas de interceptación contraseñas/registrador de claves Virus Troyano

9 Por norma general, la MSRT detecta más malware, proporcionalmente, en los países/regiones en desarrollo que en los países/regiones desarrollados. Por ejemplo, los países/regiones más infectados de Europa son Albania y Turquía, mientras que los menos infectados del continente son Italia y Finlandia. En la región Asia- Pacífico, los países/regiones más infectados son Mongolia y Tailandia y los menos, Nueva Zelanda y Japón. En proporción, los Estados Unidos están menos infectados que la mayoría de los países/regiones del continente americano con una tasa de infección que se sitúa alrededor de la media mundial. Software potencialmente no deseado En volumen, los primeros 25 elementos detectados representan el 44% de todo el software potencialmente no deseado que se ha detectado, lo que supone una reducción del 12% respecto al período anterior. Esto podría indicar que existen más distribuidores a gran escala de software potencialmente no deseado, movidos por la oportunidad de hacer negocio. El software de seguridad falso es uno de los factores principales en el aumento de eliminaciones de software potencialmente no deseado durante este período Los aumentos significativos de las categorías, por ejemplo, los descargadores troyanos, el software potencialmente no deseado (incluido el software de seguridad falso) y las vulnerabilidades de seguridad, sugieren que la distribución de software potencialmente no deseado cada vez es menos una cuestión de un modelo afiliado normal y más una intencionalidad y un método malintencionados y/o delictivos. La tabla siguiente incluye las 10 principales categorías de eliminaciones de software potencialmente no deseado en la 1M07. Figura 8. Las 10 principales categorías de eliminaciones de software potencialmente no deseado en la 1M07 y la 2M06 Categoría Total 1M07 Total 2M06 % de cambio Adware ,2% Software potencialmente no deseado ,4% Troyano descargador ,4% Software para control remoto ,8% Modificador de explorador ,3% Spyware ,1% Troyano ,8% Software que instala varios programas ,9% Vulnerabilidad de seguridad ,8% Modificador de configuración ,7%

10 Proporcionalmente, Windows Defender ha detectado software potencialmente no deseado 2,8 veces menos en los equipos con Windows Vista que en los que ejecutan Windows XP SP2, según datos normalizados. Asimismo, el número de detecciones de software potencialmente no deseado en los equipos con Windows Vista equivalió a la mitad del número de detecciones de software potencialmente no deseado en los equipos con Windows Server 2003, tras la normalización. La ingeniería social y las decisiones de confianza */*óptimas secundarias son los factores principales en la distribución del software potencialmente no deseado. Un ejemplo muy claro de ello es el uso de los controles ActiveX. Los ataques de ingeniería social también siguen aumentando y, a través de ellos, se intenta engañar al usuario para que instale el software no deseado mediante un vínculo malintencionado o con una acción que puede resultar peligrosa. Este tipo de ataques se aprovecha de numerosas tecnologías de Internet y puede transmitirse por correo electrónico o mensajes instantáneos o bien dejarse como mensajes en los foros o blogs de Internet. La finalidad de este resumen es únicamente informativa. MICROSOFT NO OTORGA GARANTÍAS, NI EXPRESAS NI IMPLÍCITAS NI ESTATUTA- RIAS SOBRE LA INFORMACIÓN DE ESTE RESUMEN. Ninguna parte de este resumen puede ser reproducida, almacenada o introducida en un sistema de recuperación, ni transmitida de ninguna forma, ni por ningún medio (ya sea electrónico, mecánico, por fotocopia, grabación o de otra manera) con ningún propósito, sin la previa autorización por escrito de Microsoft Corporation. Microsoft puede ser titular de patentes, solicitudes de patentes, marcas registradas, derechos de autor u otros derechos de propiedad intelectual sobre los contenidos de este resumen. La posesión de este resumen no le otorga ninguna licencia sobre estas patentes, marcas registradas, derechos de autor u otros derechos de propiedad intelectual, a menos que se prevea en un contrato de licencia por escrito de Microsoft. Microsoft, el logotipo de Microsoft, OneCare, Windows Live Messenger, Windows Live OneCare Safety Scanner, los Servicios hospedados de Microsoft Exchange, el logotipo de Security Shield, Win32, Windows, Windows Live, Windows Server y Windows Vista son marcas comerciales registradas o marcas comerciales de Microsoft Corporation en EE. UU. y/o en otros países. 10