利用黑洞工具包的Java、HTML漏洞成为攻击主流

根据微软的漏洞和威胁分析报告，HTML和Java利用在2011年下半年大幅上涨，这主要是由恼人的自动化工具包造成，它使攻击相对容易实现。

此外，据微软近段时间发布的微软安全情报报告第12版，针对HTML弱点和Java漏洞的利用在2011年是主要攻击。该分析使用的数据来自微软公司安全软件的用户(主要是微软的恶意软件清除工具的用户)，其中包括6亿多用户系统。

JS/Blacole，或者更通常被称为黑洞开发工具包，被认为是大部分攻击背后的主谋。该自动化攻击工具包帮助攻击者构建Zeus、Cutwail、Spyeye和用于传播垃圾邮件和恶意软件的Carberp僵尸网络。它还在另一份年度威胁报告中有详细陈述，该报告由惠普DVLabs在前一段时间发布，发现常见Web应用漏洞的广泛利用与黑洞开发工具包有关。

HTML和JavaScript是最常见的网站脚本语言，一直深受网络犯罪分子们喜爱。一个盛行的攻击类型还涉及恶意IFrame，这是一种与广告软件相关的攻击技术。尽管在浏览器中添加了反跨站点脚本(XSS)的功能，攻击者却发现可以成功利用Java的弱点来引诱用户下载恶意软件。一份最近来自IBM的X-Force威胁研究小组的年度威胁报告支持了微软的数据。研究发现，尽管浏览器漏洞修复在不断增加，但攻击者通过自动化工具包针对的是浏览器组件，而不是浏览器。

微软可信赖计算部门的产品管理总监Tim Rains表示，这些攻击之所以成功，是因为企业里充斥着弱密码和未修补漏洞。员工也容易受到社会工程技术的影响。关注高级持续性威胁(APT)或针对性的网络攻击对企业首席信息安全官们来说都是无用的，因为大多数人将会受到拥有广泛基础的自动化攻击，Rains解释道。

Rains说，“我们不认为APT或针对性的攻击比(目前为止我们有时看到的)自动化攻击更先进、更复杂。”

披露的漏洞很少

据微软称，比起2010年，整个行业在2011年披露的漏洞数量下降了11.8%。其中，高严重性漏洞在2011年上半年下降了31%，基本上延续了自2010年上半年以来的下降速率。微软的数据基于漏洞的严重性，采用了常见漏洞评分系统(Common Vulnerability Scoring System ，CVSS)的评分方法。

微软的Rains表示，漏洞披露数量的整体减少可归于多种因素。企业一直在改进他们的软件开发过程，包括安全。“漏洞猎人”也在找出新的方式继续他们的研究，导致一些人认为关键漏洞未报告。

“我们正试图改变方法，从以前发现漏洞到开发新的缓解和防御程序，使得即使有漏洞，攻击者也不能接触到这些漏洞，”他说道。

在SearchSecurity.com网站最近的一次采访中，微软安全响应中心的高级安全战略家Katie Moussouris介绍了漏洞披露是如何在改变的。直接与安全研究人员一起工作的Moussouris说，厂商已经变得更加敏感，并加大了与研究员的合作。据Moussouris估计，相对于浮出水面作为零日攻击的漏洞，80%的漏洞微软自己知道的。

“我们可以从研究社区(research community)中学到很多东西，包括微软内部的和外部的，”Moussouris说道，“其中我们可以寻找会被利用的问题，与研究界的分享合作。”

在披露的漏洞中，应用漏洞占了绝大部分，在2011年下半年披露的所有漏洞中，它占71%，其中，应用漏洞和Web浏览器漏洞的数量都增加了。与此同时，2011年下半年中被披露的操作系统漏洞的数量下降超过了34%。微软表示，至少自2003年以来，这是首次被披露的操作系统漏洞数量低于被披露的浏览器漏洞数量。

因此，微软发布的安全更新也少了。在2011年，微软安全响应中心共发布了100个安全公告，解决确认了236个个人的公共漏洞问题( CVE，Common Vulnerabilities and Exposures)，它们比起2010年，其数量分别减少了7%和6%。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友