Informe de inteligencia sobre seguridad

Documentos relacionados
Microsoft Security Intelligence Report


Windows Server 2012: Infraestructura de Escritorio Virtual

Windows Server 2012: Infraestructura de Escritorio Virtual

TECNOLÓGICO NACIONAL DE MÉXICO Instituto Tecnológico De Tijuana SEMESTRE 1 ENERO-JUNIO TI1A. UNIDAD 5.

Windows Server 2012: Identidad y Acceso. Módulo 2: Descripción General de Windows Server 2012 Remote Desktop Services.

Guía de Instalación. Antivirus PC Tools Internet Security

F-Secure Anti-Virus for Mac 2015

Windows Server 2012: Identidad and Acceso

infinitum Guía de Instalación Antivirus Pc Tools Internet Security

Informe de inteligencia sobre seguridad de Microsoft Volumen 8 (de julio a diciembre de 2009) Resumen de las conclusiones clave

LOS VIRUS IMFORMÁTICOS

Antivirus PC (motor BitDefender) Manual de Usuario

Windows Server 2012 Manejabilidad y automatización. Module 3: Adaptación del Administrador de servidores a sus necesidades

Guía Rápida de Inicio

Informe de Amenazas CCN-CERT IA-02/14. Riesgos de uso de Windows XP tras el fin de soporte

ECBTI/Sur/Herramientas Teleinformáticas Malware. Hernando Arbey Robles Puentes. Neiva, 8 de Septiembre de 2014

Lorena Ceballos Jesenia Gómez 10 I2

Qué son y cómo combatirlas

ESET NOD32 Antivirus 4.2 ESET NOD32 Antivirus 4.2 (Business Edition)

Lección 6: Malware. Bernardo Quintero Hispasec VirusTotal Founder

BLOQUEADORES POR ROBO DE IDENTIDAD EN CIRCULACIÓN

ESET NOD32 ANTIVIRUS 8

TEMA 3. SEGURIDAD INFORMÁTICA

ESET NOD32 ANTIVIRUS 6

ESET NOD32 ANTIVIRUS 9

Contenidos. Procedimientos iniciales Análisis del equipo para detectar archivos perjudiciales Qué es un cortafuegos...

Un sistema adecuadamente refrigerado debe mantener una temperatura de grados.

Cisco ProtectLink Endpoint

Capítulo 1: Empezando...3

No sabe con seguridad qué sistema operativo Windows tiene?

FALSOS ANTIVIRUS Y ANTIESPÍAS

Guía de Instalación. Seguridad Esencial PC Tools

Cómo puedo actualizar mi sistema operativo Windows?

Software Intel para administración de sistemas. Guía del usuario del Paquete de administración de servidores modulares Intel

SOLUCIÓN HOSPEDADA. Introducción a los modelos de asociación de partners de Microsoft Dynamics CRM

EL SOFTWARE MALICIOSO MALWARE

SEGURIDAD INFORMATICA VIRUS INFORMATICOS Y OTROS CODIGOS DAÑINOS

Controlan las descargas de ficheros desde Internet o desde el correo electrónico, analizando si se trata de un software espía.

Métodos de verificación de usuarios en ELMS 1.1

PUA o Aplicaciones potencialmente peligrosas

Visión general. Buscar en tu equipo Mejorado! Resultados útiles

SEGURIDAD INFORMATICA PHISHING: Definición:

Samsung Data Migration v2.7 Guía de instalación e introducción

Información destacada para Coordinadores TIC sobre el Portal Educamadrid

ModernBiz. Nombre del socio. Logotipo del socio USD

Qué es un antivirus? Son programas cuya función es detectar y eliminar Virus informáticos y otros programas maliciosos (a veces denominados malware).

Microsoft Security Intelligence Report


Guía de inicio rápido. Microsoft Windows 8 / 7 / Vista / XP / Home Server

Sophos Computer Security Scan Guía de inicio

Guía Rápida de Inicio

Copyright. Todos los derechos reservados. Aranda Software Corp.

Introducción a Spamina

Infraestructura Tecnológica. Sesión 2: Mejoras adicionales al servidor de archivos

Sophos Anti-Virus para NetApp Storage Systems Guía de inicio. Para Windows 2000 y posterior

Archivo de correo con Microsoft Outlook contra Exchange Server

LIMPIEZA DE MALWARE: seguridadticmelilla.es

McAfee Security-as-a-Service

ecafé TM Update Manager

Soluciones para Lotería Móvil.

INFORME TÉCNICO ADQUISICIÓN DE SOFTWARE ANTIVIRUS APLICACIÓN DE REGLAMENTO DE LA LEY N SOBRE USO Y ADQUISICIÓN DE SOFTWARE EN EL ESTADO

Kaspersky Anti-Virus 2012 Kaspersky Internet Security 2012

Bloquean el tráfico basándose en un esquema de aplicaciones fiables - no fiables.

Portal Del Emisor MANUAL DEL USUARIO. Plataforma de Facturación Electrónica

Rogue: Falsos antivirus gratis

F-Secure Anti-Virus for Mac 2015

Windows Server 2012: Identidad y Acceso

Seguridad en la red. Fuga o robo de información a causa de las siguientes razones:

Seguridad en el ordenador

WINDOWS : TERMINAL SERVER

Nero AG SecurDisc Viewer

Guía del usuario final

Reputació n Web. Actualmente la forma por la que se infectan los equipos puede ocurrir, como norma general, de tres formas distintas:

Windows Cuotas de disco. Bajado desde Sistema operativo. Resumen

MINISTERIO DE COMERCIO EXTERIOR Y TURISMO LEY LEY QUE NORMA LA ADQUISION Y ADECUACION DEL SOFTWARE EN LA ADMINISTRACION PUBLICA

Guía de inicio. NetWare. Documento versión 1.0

ESET NOD32 ANTIVIRUS 8


Webroot SecureAnywhere. Preguntas Frecuentes

ISITOS PARA EL USO DEL PORTAL DE CONSULTA COMPROBANTES FISCALES DIGITALES POR INTERNET (CFDI

ANTIVIRUS EN LiNEA: seguridadticmelilla.es

Guía de Usuario. Seguridad Internet. Triara.com SA de CV. Todos los derechos reservados

Windows Server 2012: Identidad y Acceso. Módulo 3: Introducción a DirectAccess en Windows Server 2012.

INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE

G Data Informe técnico. Behaviour Blocking. (Escudo de comportamiento) Go safe. Go safer. G Data. Marco Lauerwald Marketing

Endpoint Access Manager de ControlGuard

Manual de instalación de Kaspersky Internet Security

Introducción a las redes de computadores

Experiencia de incentivos para socios Administración de usuarios en el portal

Autor: Microsoft Licencia: Cita Fuente: Ayuda de Windows

VIRUS INFORMATICO. Carolina García Ramírez

Samsung Data Migration v3.0 Guía de instalación e introducción

PROYECTO ESPECIAL CHAVIMOCHIC INFORME TECNICO PREVIO DE EVALUACION DE SOFTWARE N GR-LL/PECH-05-INF

SEGURIDAD EN LA RED. David Saura Alcalde Mª Carmen Azcuénaga Cavia Matilde Bianchi Torres

MSYTNMU13/V3.0/Nov10/ES. OEM v3.0 Notas de lanzamiento

Spyware y su impacto en los sistemas de información

PRIMAVERA RISK ANALYSIS

Solución: Descargar e instalarse el componente desde la página Web de Microsoft:

Factores en el mercado de seguridad TI en la protección de la información y los accesos remotos

Transcripción:

Informe de inteligencia sobre seguridad De enero a junio de 2007 Resumen de resultados clave

Informe de inteligencia sobre seguridad de Microsoft (enero junio de 2007) Resumen de resultados clave El informe de inteligencia sobre seguridad de Microsoft (enero junio de 2007) ofrece una perspectiva detallada de las vulnerabilidades de software (tanto en el software de Microsoft como en el software de terceros), las vulnerabilidades de seguridad de software (existe un boletín de seguridad de Microsoft al respecto), el software malintencionado y el software potencialmente no deseado, que Microsoft ha observado en los últimos años, con un enfoque especial en la primera mitad de 2007 (1M07) 1. Este documento es un resumen de los resultados clave de dicho informe. El informe completo, en el que también se indican estrategias, minimizaciones y contramedidas basadas en los resultados clave, se puede descargar de http://www.microsoft.com/sir. Vulnerabilidades de software El número de divulgaciones de nuevas vulnerabilidades de software en todo el sector sigue contándose por miles, tal y como reflejan las más de 3.400 nuevas vulnerabilidades divulgadas en la 1M07. Aun así, esta cifra representa un declive respecto a la 2M06, siendo el primer descenso en el número total de vulnerabilidades en dos períodos consecutivos desde el 2003. Figura 1. Vulnerabilidades según la Vulnerabilidades gravedad según la gravedad 4.000 3.500 3.000 2.500 2.000 1.500 Baja Media Alta 1.000 500 0 1M02 2M02 1M03 2M03 1M04 2M04 1M05 2M05 1M06 2M06 1M07 1 En el informe se usa una nomenclatura específica para hacer referencia a diferentes períodos: en nmaa, nm se refiere a la primera (1) mitad del año o a la segunda (2) y AA indica el año. Por ejemplo, 1M07 representa la primera mitad de 2007 (del 1 de enero al 30 de junio) y 2M06 representa la segunda mitad de 2006 (del 1 de julio al 31 de diciembre). 2

Las divulgaciones de vulnerabilidades de gravedad Alta 2 continúan multiplicándose en todo el sector, mientras que el aumento de los problemas de gravedad Baja y Media parece ralentizarse. Este último punto supone una inversión de la tendencia de los últimos años y sugiere que existe un grupo más amplio de objetivos para los atacantes malintencionados. El gráfico siguiente ilustra estas tendencias: En los sistemas operativos se detecta un porcentaje en descenso de las divulgaciones de vulnerabilidades. Una interpretación posible es que los investigadores en materia de seguridad se están centrando más en las aplicaciones, puesto que la seguridad de los sistemas operativos sigue mejorando. Asimismo, el número de aplicaciones nuevas crece más rápido que el número de sistemas operativos nuevos y es probable que dicha proliferación contribuya a perfilar esta tendencia de divulgaciones de vulnerabilidades. Puesto que las aplicaciones siguen una tendencia multianual en la que se aprecia un porcentaje superior de vulnerabilidades en relación con el número total de divulgaciones, se puede deducir que las aplicaciones se están convirtiendo en un objetivo más atractivo para los investigadores en materia de seguridad en relación con los sistemas operativos. Vulnerabilidades de seguridad En el año 2006, el 29,3% de las vulnerabilidades conocidas y notificadas en los productos Microsoft tenían un código que aprovechaba las vulnerabilidades y que estaba disponible para el público. En cambio, a partir del 1 de agosto de 2007, sólo el 20,9% de las vulnerabilidades conocidas presentaban un código de este tipo. Si bien el número de vulnerabilidades sigue aumentando, la proporción del código disponible que aprovecha dichas vulnerabilidades permanece constante e incluso muestra un ligero descenso. La conclusión es que el código que aprovecha las vulnerabilidades es más difícil de localizar. Este descenso puede deberse a los cambios producidos en el entorno como la introducción de la selección aleatoria de espacio de direcciones, así como a las presiones sociales o legales entre la comunidad de desarrolladores de vulnerabilidades de seguridad. En una comparación producto a producto se observa que los productos nuevos están menos expuestos al riesgo del código que aprovecha la vulnerabilidad y disponible para el público que los productos que se encuentran en el mercado desde hace más tiempo. En proporción, se aprecia que la capacidad para aprovechar vulnerabilidades disminuye durante la vigencia de los productos, lo que significa que dicha capacidad se reduce en las versiones posteriores de la mayoría de los productos. Este hecho se aprecia claramente en las líneas de productos de los sistemas Microsoft Windows y Microsoft Office. En general, Windows XP y Microsoft Office XP se sitúan en la misma posición en cuanto al número de vulnerabilidades aprovechables, detectadas entre 2006 y 2007. En las versiones posteriores de los productos Windows Server 2003, Windows Vista, Microsoft Office 2003 y Microsoft Office 2007 system se observa un descenso significativo en el número de vulnerabilidades durante la vigencia del producto. 2 La información sobre las clasificaciones de gravedad se puede consultar en http://nvd.nist.gov.

Software malintencionado Actividad de malware En la figura siguiente se muestra el número de las variantes aparecidas durante la 1M07, clasificadas según la categoría de malware. Los troyanos representaron el mayor número de variantes reunidas a lo largo de la 1M07. Determinadas familias de malware presentaron un número muy elevado de variantes nuevas en la 1M07. Por ejemplo, Win32/Busky, Win32/Nuwar y Win32/Zlob tuvieron casi 20.000 variantes nuevas en cada familia durante la 1M07. Figura 2. Número de variantes de más Actividad de 7.000 de familias malware de 1M07 malware en la 1M07 160.000 120.000 100.000 80.000 60.000 40.000 20.000 0 Troyano Descargador/instalador Vulnerabilidad de seguridad Gusano Programas de interceptación de contraseñas/ registradores de claves Puerta trasera Virus Rootkit

Malware electrónico La ingeniería social desempeña un papel cada vez más importante en la distribución actual de malware. Los ataques de ingeniería social van en aumento y, a menudo, pueden engañar al usuario y conseguir que éste realice acciones que impiden o reducen la efectividad de la protección existente. Durante la primera mitad de 2006, los clásicos gusanos de correo electrónico fueron, con diferencia, la amenaza más importante de malware electrónico, ya que constituyeron el 95% del total de malware detectado en el correo electrónico. Sin embargo, a partir de la segunda mitad de 2006 y con la misma tendencia constante a lo largo de la primera mitad de 2007, los clásicos gusanos de correo electrónico disminuyeron hasta el 49% del total de malware detectado en el correo electrónico. Las estafas de suplantación de identidad (phishing) y el correo electrónico con ataques iframe malintencionados supusieron el 27% de las detecciones de malware por correo electrónico en la segunda mitad de 2006 y aumentaron hasta el 37% en la primera mitad de 2007. Los troyanos descargadores incluidos en el correo electrónico llegaron a la cifra máxima del 20% durante la segunda mitad de 2006, pero bajaron hasta el 7% en la primera mitad de 2007. Figura 3. Composición del correo electrónico infectado, procesado por los Servicios hospedados de Microsoft Exchange (EHS) en la 1M07 Estafas con tarjeta de felicitación (7%) Descargadores troyanos (7%) Gusanos de correo electrónico (49%) Suplantación de identidad (phishing) y fraude (37%) Mensajería instantánea Las puertas traseras, una categoría que incluye robots, son la amenaza que ha crecido de una forma más drástica para los usuarios de mensajería instantánea. Este significativo aumento ocurrido entre la 2M06 y la 1M07 tuvo su origen, casi exclusivamente, en una sola familia Win32/IRCbot que representó el 81% de todas las detecciones de puertas traseras en Windows Live Messenger durante la 1M07. El riesgo de exposición a las puertas traseras, los robots y los troyanos descargadores ha aumentado para los usuarios de mensajería instantánea. De todos modos, la exposición al malware que se replica a sí mismo a través de la mensajería instantánea se mantiene constante o en descenso.

Windows Live OneCare y Windows Live OneCare Safety Scanner Las tasas de infección por virus, puertas traseras, programas de interceptación de contraseñas y troyanos de robo de datos aumentaron en la 1M07. La comparación de las tasas de detección entre Windows Live OneCare y Windows Live OneCare Safety Scanner destaca la importancia de los examinadores para minimizar el riesgo a la exposición e ilustra el papel que tiene la detección en tiempo real como protección para los usuarios. Tal y como se aprecia en la figura siguiente, Windows Live OneCare presenta un número de detecciones muy superior, probablemente, debido a la protección en tiempo real y, en consecuencia, ofrece información adicional sobre los riesgos a la exposición. En cambio, Windows Live OneCare Safety Scanner no ofrece protección en tiempo real, lo que significa que las detecciones del examinador de seguridad son indicativas de exposición posterior. Asimismo, en concordancia con los datos de Windows Live OneCare Safety Scanner, las detecciones de Windows Live OneCare son las más altas en cuanto a adware y software potencialmente no deseado se refiere, así como en descargadores/instaladores y troyanos. Figura 4. Comparación de detecciones de Windows Live OneCare y Windows Live OneCare Safety Scanner en la 1M07 25% 20% 15% 10% 5% Windows Live OneCare Safety Scanner Windows Live OneCare (100%) 0% Adware Puertas traseras Descargadores/instaladores Software potencialmente no deseado Programas de interceptación contraseñas/robo de datos Spyware Troyanos Virus Gusano

Herramienta de eliminación de software malintencionado de Microsoft (MSRT) Las tasas de infección detectadas por la MSRT son significativamente inferiores entre los sistemas de Windows Vista y Windows XP SP2 que entre los sistemas operativos anteriores de Windows. Proporcionalmente 3, la MSRT ha limpiado el malware de un 60% menos de los equipos con Windows Vista que en los que se ejecuta Windows XP SP2. Igualmente, la MSRT ha limpiado el malware, en proporción, de un 91,5% menos de equipos con Windows Vista que en los que usan Windows XP sin ningún Service Pack instalado. Los usuarios que usan el Control de cuentas de usuario (UAC) con Windows Vista obtendrán un mejor resultado, puesto que el UAC proporciona un nivel de protección adicional contra los métodos de envío de malware de ingeniería social que se sustentan en los privilegios administrativos de instalación. Figura 5. Versiones de los sistemas operativos de los equipos limpiados (datos normalizados) por la MSRT en la 1M07 1M07 (normalizado) Windows Vista (2,8%) Windows 2003 SP2 (7,3%) Windows 2003 SP1 (3,4%) Windows 2003 sin SP (5,8%) Windows XP SP2 (7,0%) Windows 2000 SP3 (13,2%) Windows 2000 SP4 (6,6%) Windows XP sin SP (32,9%) Windows XP SP1 (20,9%) La MSRT eliminó una cantidad significativamente superior de malware en la 1M07 que en los períodos anteriores. Esta herramienta eliminó el malware de 1 de cada 217 equipos en la 1M07 frente a la proporción de 1 de cada 409 en el 2006 y de 1 de cada 359 en la 2M05. Los motivos que explican este notable aumento pueden deberse a las mejoras que han reforzado la detección de las familias ya incluidas en la MSRT, junto con la adición de las familias más frecuentes como Win32/Renos, Win32/Stration y Win32/Alureon. Curiosamente, el número de desinfecciones por equipo ha permanecido constante desde la creación de esta herramienta: 2,2 desinfecciones de media por equipo infectado. En la figura 6 se muestra el número de desinfecciones y el número de equipos limpiados por la MSRT desde el primer lanzamiento de esta herramienta en enero de 2005. Nota: la MSRT empezó a registrar las estadísticas de los equipos limpiados a partir de la 2M05. 3 Los datos se han normalizado para reflejar con exactitud las ejecuciones en el sistema operativo (SO) específico. La fórmula de normalización que se usa es: Desinfecciones normalizadasso = DesinfeccionesSO/Porcentaje de ejecuciónso. 7

Figura 6. Equipos limpiados y desinfecciones de malware mediante la MSRT 20 millones 18 millones 16 millones 14 millones 12 millones 10 millones 8 millones Desinfecciones Equipos limpiados 6 millones 4 millones 2 millones 0 1M05 2M05 1M06 2M06 1M07 En la figura siguiente se muestran las categorías de software malintencionado que la MSRT eliminó de los equipos infectados en cada uno de los cuatro períodos de informe anteriores. Se aprecia un aumento muy marcado en el número de descargadores detectados y eliminados por la herramienta. Figura 7. Detecciones de la MSRT según la categoría 7 millones 6 millones 5 millones 4 millones 3 millones 2 millones Desinfecciones 2M05 1M06 2M06 1M07 1 millón 0 Puerta trasera Envío de correo masivo Rootkit Gusano de P2P Descargador/instalador Gusano de red Programas de interceptación contraseñas/registrador de claves Virus Troyano

Por norma general, la MSRT detecta más malware, proporcionalmente, en los países/regiones en desarrollo que en los países/regiones desarrollados. Por ejemplo, los países/regiones más infectados de Europa son Albania y Turquía, mientras que los menos infectados del continente son Italia y Finlandia. En la región Asia- Pacífico, los países/regiones más infectados son Mongolia y Tailandia y los menos, Nueva Zelanda y Japón. En proporción, los Estados Unidos están menos infectados que la mayoría de los países/regiones del continente americano con una tasa de infección que se sitúa alrededor de la media mundial. Software potencialmente no deseado En volumen, los primeros 25 elementos detectados representan el 44% de todo el software potencialmente no deseado que se ha detectado, lo que supone una reducción del 12% respecto al período anterior. Esto podría indicar que existen más distribuidores a gran escala de software potencialmente no deseado, movidos por la oportunidad de hacer negocio. El software de seguridad falso es uno de los factores principales en el aumento de eliminaciones de software potencialmente no deseado durante este período Los aumentos significativos de las categorías, por ejemplo, los descargadores troyanos, el software potencialmente no deseado (incluido el software de seguridad falso) y las vulnerabilidades de seguridad, sugieren que la distribución de software potencialmente no deseado cada vez es menos una cuestión de un modelo afiliado normal y más una intencionalidad y un método malintencionados y/o delictivos. La tabla siguiente incluye las 10 principales categorías de eliminaciones de software potencialmente no deseado en la 1M07. Figura 8. Las 10 principales categorías de eliminaciones de software potencialmente no deseado en la 1M07 y la 2M06 Categoría Total 1M07 Total 2M06 % de cambio Adware 16.673.939 16.709.368-0,2% Software potencialmente no deseado 6.877.582 2.561.809 168,4% Troyano descargador 6.554.225 2.737.200 139,4% Software para control remoto 3.160.543 2.775.996 13,8% Modificador de explorador 3.117.687 1.359.098 129,3% Spyware 3.002.795 3.496.078-14,1% Troyano 2.946.479 1.352.291 117,8% Software que instala varios programas 2.695.015 3.740.722-27,9% Vulnerabilidad de seguridad 1.072.930 481.487 122,8% Modificador de configuración 930.291 1.130.677-17,7%

Proporcionalmente, Windows Defender ha detectado software potencialmente no deseado 2,8 veces menos en los equipos con Windows Vista que en los que ejecutan Windows XP SP2, según datos normalizados. Asimismo, el número de detecciones de software potencialmente no deseado en los equipos con Windows Vista equivalió a la mitad del número de detecciones de software potencialmente no deseado en los equipos con Windows Server 2003, tras la normalización. La ingeniería social y las decisiones de confianza */*óptimas secundarias son los factores principales en la distribución del software potencialmente no deseado. Un ejemplo muy claro de ello es el uso de los controles ActiveX. Los ataques de ingeniería social también siguen aumentando y, a través de ellos, se intenta engañar al usuario para que instale el software no deseado mediante un vínculo malintencionado o con una acción que puede resultar peligrosa. Este tipo de ataques se aprovecha de numerosas tecnologías de Internet y puede transmitirse por correo electrónico o mensajes instantáneos o bien dejarse como mensajes en los foros o blogs de Internet. La finalidad de este resumen es únicamente informativa. MICROSOFT NO OTORGA GARANTÍAS, NI EXPRESAS NI IMPLÍCITAS NI ESTATUTA- RIAS SOBRE LA INFORMACIÓN DE ESTE RESUMEN. Ninguna parte de este resumen puede ser reproducida, almacenada o introducida en un sistema de recuperación, ni transmitida de ninguna forma, ni por ningún medio (ya sea electrónico, mecánico, por fotocopia, grabación o de otra manera) con ningún propósito, sin la previa autorización por escrito de Microsoft Corporation. Microsoft puede ser titular de patentes, solicitudes de patentes, marcas registradas, derechos de autor u otros derechos de propiedad intelectual sobre los contenidos de este resumen. La posesión de este resumen no le otorga ninguna licencia sobre estas patentes, marcas registradas, derechos de autor u otros derechos de propiedad intelectual, a menos que se prevea en un contrato de licencia por escrito de Microsoft. Microsoft, el logotipo de Microsoft, OneCare, Windows Live Messenger, Windows Live OneCare Safety Scanner, los Servicios hospedados de Microsoft Exchange, el logotipo de Security Shield, Win32, Windows, Windows Live, Windows Server y Windows Vista son marcas comerciales registradas o marcas comerciales de Microsoft Corporation en EE. UU. y/o en otros países. 10

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback