Microsoft ha pubblicato la decima edizione del suo “Security Intelligence Report“, storico resoconto semestrale che fotografa lo stato della sicurezza ed esamina vulnerabilità e malware. Lo studio elaborato dai tecnici del colosso di Redmond è frutto delle indagini condotte su un totale di 600 milioni di sistemi, in tutto il mondo. I dati relativi ad infezioni e tendenze sono raccolti utilizzando le informazioni anonime provenienti dai software e dai servizi Microsoft quali “Security Essentials“.
Il report inizia con l’indicazione del numero di vulnerabilità scoperte, globalmente, nei software impiegati dagli utenti: secondo la società guidata da Steve Ballmer, il numero delle lacune di sicurezza via a via individuate, dal 2006 a fine 2010, è progressivamente diminuito. Le vulnerabilità che affliggono i prodotti Microsoft sono invece aumentate del 4,5% rispetto al 2009 sfiorando quota 7,2%. Indipendentemente dalla piattaforma utilizzata, la gravità delle falle è risultata essere più contenuta rispetto agli anni passati.
Nel 2010, secondo Microsoft, le vulnerabilità a livello di applicazione hanno continuato a fare la parte del leone (seppur facendo registrare un calo del 22,2% rispetto all’anno precedente) mentre è decisamente più contenuto il numero di bug di sicurezza rilevati nei sistemi operativi e nei browser web.
E quando ci sono delle vulnerabilità, spesso gli agressori non mancano di mettere a punto speciali codici exploit in grado di sfruttarle ed avere così talvolta la possibilità di eseguire codice potenzialmente dannoso sul sistema dell’utente. Alcuni software non dispongono di alcun sistema per l’aggiornamento automatico pertanto, se il produttore pubblica un aggiornamento che corregge la vulnerabilità, è possibile che l’utente non sia al corrente di tale aggiornamento o delle modalità per ottenerlo, rimanendo di fatto vulnerabile agli attacchi. Le operazioni d'”inventario” dei software installati sulle proprie macchine rivestono quindi un’importanza fondamentale: “navigare” in Rete utilizzando applicazioni obsolete può esporre a concreti rischi d’infezione.
Nell’ultimo semestre del 2010, spiega Microsoft, Java si è ancora una volta riconfermato come l’obiettivo più comune per gli attacchi sferrati dai malintenzionati: la società di Redmond avrebbe infatti rilevato, nel periodo preso in esame, qualcosa come circa 6 milioni di tentativi di exploit di versioni non aggiornate della piattaforma Java. Nel terzo trimestre del 2010, il numero di attacchi nei confronti di Java appare cresciuto di quattordici volte rispetto a quanto registrato nel secondo trimestre del 2010, principalmente a causa dello sfruttamento di due vulnerabilità della JVM di Oracle (CVE-2008-5353 e CVE-2009-3867). Insieme, queste due vulnerabilità hanno rappresentato l’85% degli exploit Java rilevati nella seconda metà del 2010.
Al secondo posto, in crescita, si posizionano gli attacchi HTML/JScript. Tale “etichetta” viene usata da Microsoft per riferirsi alle infezioni con le quali gli aggressori riescono a piazzare tag IFRAME facenti riferimento ad elementi nocivi nelle pagine web (spesso si tratta di siti noti e legittimi). Nettamente aumentati anche gli attacchi studiati per aggredire gli utenti di Internet Explorer, in particolare coloro che si servono ancora di vecchie versione del browser (6.0 e 7.0).
Gli exploit destinati ad editor e lettori di documenti, quali Microsoft Word e Adobe Reader, sono diminuiti nel secondo trimestre del 2010 e sono rimasti successivamente a un livello più basso.
Il quadro in Italia non è roseo: il nostro Paese si posiziona al decimo posto, a livello mondiale, per numero di infezioni rilevate dai software targati Microsoft e, nel 2010, ha fatto registrare una crescita del 19,3% in termini del numero di infezioni (le prime tre piazze della classifica sono occupate da Stati Uniti, Brasile e Cina).
Paragonato alle varie versioni di Windows, Windows 7 avrebbe fatto registrare i tassi di infezione più bassi per qualsiasi combinazione di sistema operativo client/Service Pack a 32 bit negli ultimi sei trimestri.
Per quanto riguarda le minacce più frequentemente rilevate, Microsoft pone al top “JS/Pornpop“, una famiglia di minacce che, mediante l’uso di codice JavaScript, mostra finestre popup all’interno di annunci pubblicitari nei browser web, solitamente con contenuto pornografico. Pornpop è indicato come uno dei malware a più rapida diffusione degli ultimi anni. La minaccia è stata rilevata per la prima volta nell’agosto del 2010 e ne è aumentata la diffusione fino a diventare la famiglia più prevalente nel terzo trimestre del 2010, nel quarto trimestre del 2010 e nell’intera seconda metà dell’anno.
A seguire i worm che traggono vantaggio, per diffondersi, dalla funzionalità Autorun di Windows e Taterf, una minaccia studiata per intercettare le password per l’accesso a famosi videogiochi online con lo scopo di ritrasmetterle agli autori del virus. In quarta posizione Microsoft colloca “Win32/Zwangi“, applicazione maligna eseguita come servizio di sistema che modifica le impostazioni del browser in modo che l’utente visiti un particolare sito. Al quinto posto “W32/Renos“, una famiglia di trojan downloader spesso utilizzati per installare falsi software antimalware (“rogue antivirus“). Dal 2006, rappresenta una delle minacce rilevata e rimossa più di frequente dai prodotti e dai servizi Microsoft antimalware per i sistemi desktop.
Nel periodo tra luglio e dicembre 2010, la società di Redmond ha rilevato una notevole crescita nella diffusione dei cosiddetti “rogue antimalware“, programmi maligni presentati come software antivirus od antimalware. Come sottolinea il report di Microsoft, tali software nocivi mettono in campo tecniche di “ingegneria sociale” per infondere timori negli utenti e tentare di convincere le vittime ad acquistare sedicenti “versioni complete” del programma (in realtà applicazioni pericolose) al fine di rimuovere infezioni (inesistenti) o di interrompere la visualizzazione di continui messaggi di allerta.
La versione integrale dello studio di Microsoft può essere prelevata, in italiano, facendo riferimento a questo link.