Публикации

Отчет «Лаборатории Касперского»: оценка уровня опасности уязвимостей в ПО

Обзор

Программы, содержащие уязвимости, – это наиболее популярный путь для атак пользователей и кражи персональных данных. Эксплойты, части вредоносного кода, которые используют для инфицирования систем уязвимости в популярном ПО, применяются во вредоносных программах для кражи персональных данных потребителей, однако они же являются «философским камнем» магии киберпреступлений, когда речь идет о точечных атак и кибервойнах. Все известное кибероружие, такое как Stuxnet и Duqu, для проникновения в защищенные IT-инфраструктуры с целью совершения вредоносных действий и кибершпионажа использовало эксплойты.

Главная цель экспертов по безопасности и аналитиков «Лаборатории Касперского» — обнаружение и блокирование всех новых киберугроз, в том числе эксплойтов. В отличие от традиционных методов обнаружения и блокирования каждого отдельного образца вредоносного ПО на основе сигнатур, новые интеллектуальные технологии применяются для блокирования даже неизвестных прежде эксплойтов, а также тех, которые используют только что открытые уязвимости или уязвимости нулевого дня. Ярким примером этой инновационной технологии является Automatic Exploit Prevention. Она обнаруживает и блокирует эксплойты на основе их поведения прежде, чем они смогут причинить вред нашим пользователям. Для развития подобных технологий необходимо полностью понимать потребности наших клиентов: какими программами они пользуются и как они реагируют на уязвимости в программном обеспечении.

Мы собрали информацию на основе облачной сети Kaspersky Security Network: в обмен на эту ценнейшую информацию наши клиенты получают самые актуальные новости о последних угрозах практически в режиме реального времени. Прежде чем поступить на серверы «Лаборатории Касперского», данные о локальных инцидентах IT-безопасности и история посещений сайтов очищаются от персональных данных, т.е. поддерживается строгая анонимность передаваемых данных.

Этот отчет основан на информации об уязвимых программах, обнаруженных на компьютерах наших пользователей. Сканирование на предмет уязвимостей – одна из стандартных функций продуктов «Лаборатории Касперского», таких как Kaspersky Internet Security 2013: она помогает пользователям находить и обновлять критически уязвимое ПО. Цель этого исследования – понять, как пользователи реагируют на уязвимые программы, и проанализировать потенциальные угрозы язвимого ПО.

Методика

  • Источник информации: данные клиентов, использующих защитные решения «Лаборатории Касперского» для домашних пользователей и давших свое согласие на передачу данных в облачную сеть безопасности Kaspersky Security Network.
    • Данные собирались с компьютеров на базе ОС Windows.
    • Общее число пользователей: свыше 11 млн.
  • Период исследования: январь – декабрь 2012, еженедельно, всего 52 недели.
  • При анализе уязвимостей учитывались следующие параметры:
    • Год, когда уязвимость была обнаружена впервые
    • Уровень опасности
  • 37 наиболее опасных уязвимостей были выбраны на основе следующих критериев:
  • Свыше 10% пользователей как минимум в течение одной недели 2012 года не устанавливали на своем компьютере патч для данной уязвимости в ПО. Из таких уязвимостей мы выбрали восемь, которые активно эксплуатировались злоумышленниками, и подвергли их более глубокому анализу, изучая, как степень их распространенности менялся в течение года.
  • Дополнительно мы проанализировали, как и в каких случаях используется Oracle Java, — на основе анонимных данных Kaspersky Security Network по версиям продукта, которые пользователи действительно запускали в период с сентября по октябрь 2012 года.

Основные результаты

  • Всего было найдено свыше 132 млн уязвимых приложений
    • В среднем на одного пользователя приходится 12 уязвимостей
  • Обнаружено 806 уникальных уязвимостей. Только 37 из них найдены по меньшей мере на 10% компьютеров в течение как минимум одной недели в период анализа. Это уязвимости, способные привлечь внимание злоумышленников.
  • Эти 37 уязвимостей были обнаружены в 11 различных группах ПО. ПО с наибольшим числом уязвимостей — Adobe Shockwave/Flash Player, Apple iTunes/QuickTime и Oracle Java.
  • Дальнейший анализ уязвимостей из этого списка выявил восемь уязвимостей, которые регулярно используются злоумышленниками в широко распространенных пакетах эксплойтов.
  • Самые серьезные последствия имеют уязвимости в Oracle Java: пять из восьми наиболее активно используемых уязвимостей обнаружено в ПО Java. Оставшиеся две принадлежат Adobe Flash, а последняя находится в Adobe Reader.
  • Средний уровень опасности для 37 самых часто встречающихся угроз – 3,7. Показатель рассчитан на основании уровня опасности каждой уязвимости и попадает в промежуток между средним (Moderately Critical) и высоким (Highly Critical).
  • Самый тревожный вывод из этого исследования таков пользователи трех наиболее уязвимых программ (Java, Flash Player и Adobe Reader) крайне неохотно переходят на новые, безопасные версии. При дальнейшем изучении использования Oracle Java становится видно, насколько серьезна ситуация: через семь недель после выпуска новой версии обновление выполнили менее 30% пользователей, несмотря на реальную угрозу кражи данных. Для достижения таких же показателей по установке пользователями свежих обновлений наиболее популярных веб-браузеров требуется всего 5-7 дней.

Основные цифры

В целом в течение 52 недель мы обнаружили 806 уникальных уязвимостей на компьютерах наших пользователей. Самая старая уязвимость была впервые обнаружена в феврале 2003 года, самая новая – в декабре 2012.


Доля уникальных уязвимостей по годам обнаружения, все уязвимости

Наилучшей стратегией во избежание потенциальных рисков безопасности в отношении уязвимого ПО является поддержание всех ваших программ в актуальном состоянии (хотя одного этого недостаточно). «Возраст» этих уязвимостей показывает, что пользователи не слишком заботятся об этом. И лишь в редких случаях виноват оказывается разработчик ПО, поскольку он сам не выпустил обновления. Разумеется, бывает, что каждый из нас забывает о редко используемой программе или выключает раздражающие уведомления. Анализ дат обнаружения всех уязвимостей рисует мрачную картину: почти две трети (64%) обнаруженных брешей в ПО найдены в более или менее устаревших программах (выпущенных в 2010 году и раньше). Однако для получения полной картины нам необходимо принимать во внимание уровень популярности некоторых уязвимых программ. Поэтому мы учли только те уязвимости, которые были обнаружены за год по крайней мере на 10% компьютеров.


The top vulnerabilities by year of discovery

Здесь вы можете заметить разницу. Только 37 уязвимостей были достаточно широко распространены, чтобы пройти через созданный нами фильтр. Распределение по времени обнаружения тоже довольно разное: преобладающее количество популярных уязвимостей было обнаружено в 2011 и 2012 годах, и только три уязвимых программы датируются 2010 годом и ранее (среди них отдельно нужно отметить уязвимость, найденную в Microsoft Office 2007).

  • В действительности 70% всех обнаружений уязвимого ПО в 2012 году приходится на 37 уязвимостей из этого рейтинга.

Однако необходимо учитывать, что сотни редких уязвимостей все еще могут использоваться в целевых атаках на предприятия.

ПО, имеющее уязвимости


Differentiation of top vulnerabilities by software families. Распределение уязвимостей по группам ПО. Для каждой группы ПО приведено количество преобладающих уязвимостей, а также тот период, когда уязвимости были обнаружены

Основные 37 уязвимостей были найдены в 10 различных группах продуктов. Наиболее уязвимыми продуктами являются Adobe Shockwave/Flash Player, Apple iTunes/QuickTime и Oracle Java. В них было обнаружено 28 уязвимостей из тех, что были найдены в 2012 году в 10% пользовательских компьютеров и более.

Уровень опасности угрозы

Одна из важнейших характеристик уязвимостей – это уровень опасности угрозы. В базе уязвимостей «Лаборатории Касперского» наименьший уровень опасности – 1 (not critical), а наивысший – 5 (extremely critical). Уязвимости с уровнем опасности 5 считаются наиболее опасными, их легко эксплуатировать, и они скорее всего могут привести к потере данных. Исходя из уровня опасности каждой из 37 основных уязвимостей мы можем вычислить средний уровень опасности – он будет равен 3,7 и располагается между умеренно и особо критическим.

Особо опасные бреши в ПО

В этом разделе мы проанализировали восемь из 37 уязвимостей в ПО – таких, которые активно используются киберпреступниками в широко распространенных пакетах эксплойтов. Хотя большинство уязвимостей обнаружено в продуктах Adobe, наиболее часто используемые уязвимости находятся в продуктах Oracle Java.


Число наиболее часто эксплуатируемых уязвимостей – распределение по программам, в которых они обнаружены

Ниже приведен анализ этих уязвимостей, сгруппированных по ПО соответственно.

Уязвимости в Oracle Java

Если говорить об обнаруженных уязвимостях, то здесь – явным «лидером» среди программ стала Java , и 2012 год оказался для Oracle очень тяжелым. В этом ПО мы выделили пять основных уязвимостей, самая ранняя обнаружена в октябре 2011 года, а последняя – в октябре 2012. На графике ниже отображена эволюция уязвимостей Java и степень их распространенности:


Распространенность уязвимостей Oracle Java в 2012 году

При сканировании уязвимостей в каждой программе зафиксировано только одно потенциально слабое место, даже при возможном наличии в программе нескольких уязвимостей. Однако в случае с Oracle Java все пять уязвимостей активно использовались злоумышленниками. Это значит, что нам необходимо учесть их все, чтобы оценить число пострадавших пользователей. Мы видим, что на протяжении всего 2012 года риску со стороны уязвимостей Java подвергалось большое количество пользователей. В самой нижней точке, которая приходится на февраль, пострадало 34,5% (более чем каждый третий пользователь); пик был в октябре, когда сразу от трех уязвимостей пострадали 61,1% пользователей.

Мы видим, что пользователи крайне неохотно переходят на новые версии ПО, даже если это избавит их от опасности быть атакованными злоумышленниками. Характерен пример с множественными уязвимостями Java, обнаруженными в феврале 2012 года, когда самая большая доля пострадавших пользователей (54,2%) пришлась на конец февраля. Обновление для 6 и 7 версий Java было выпущено 14 февраля. 16 недель спустя (то есть через целых четыре месяца!) это число сократилось до 37,7% — процент все еще очень высокий. В течение этого времени было выпущено еще одно обновление для Java (26 апреля) с исправлениями, не затрагивающими защиту, а в конце означенного периода появилось еще одно, исправляющее свеженайденные бреши. Другими словами, у пользователей было около четырех месяцев на обновление до новой версии (на тот момент – безопасной), однако для реакции им потребовалось поразительно много времени.

Анализ реального использования Java

Мы провели дальнейший анализ реального использования продуктов Java в период между двумя обновлениями. 30 августа Oracle запустила 7-е обновление Java SE 7 и 35-е обновление Java SE 6. 16 октября вышло 9-е обновление Java SE 7 и 37-е обновление Java SE 6. Все эти обновления исправляли серьезные уязвимости. Используя информацию, поступающую от наших пользователей, то есть такую, которая отражает, какое ПО используется в действительности, мы обнаружили, что используется 41 различная версия Java 6 и 7. Уязвимость, которой посвящено обновление от 30 августа (подробности вы можете найти на Oracle website) содержится и во всех предыдущих версиях Java. Поэтому мы совместили доли всех предыдущих версий (уязвимых/Affected) и сравнили их с двумя свежими версиями (исправленными/Fixed). Результаты видны на графике ниже:


Доля пользователей новейших версий Java (Fixed) в сравнении со старыми уязвимыми версиями (Affected), по неделям.

Учитывая серьезные последствия эксплуатации уязвимостей Java, мы проанализировали, насколько быстро пользователи переходят на новые версии ПО. В этом случае у пользователей было семь недель, чтобы обновиться до безопасной (на тот момент) версии Java 6 или Java 7, но в действительности менее 30% пользователей сделали это до выхода более новой версии (исправляющей очередной набор множественных уязвимостей). В предыдущем отчете об использовании веб-браузеров , мы использовали похожие данные для вычисления скорости обновления Google Chrome, Firefox и Opera. Во всех трех случаях 30% пользователей и более переходили на новые версии в течение недели после выхода обновления. Совершенно очевидно, что процесс обновления Oracle Java идет крайне медленно.

Уязвимости в Adobe Flash Player

По количеству часто встречающихся уязвимостей, обнаруженных в 2012 году, Adobe Flash Player превосходит Java – в это период мы зафиксировали 11(!) широкораспространенных уязвимостей (еще пять уязвимостей приходятся на Shockwave Player, программном обеспечении другого типа). К счастью, в действительности только две из них использовались злоумышленниками (по сравнению с пятью уязвимостями Java). Для начала мы бы хотели выделить одну уязвимость Flash, которая стоит особо в ряду остальных.


Доля уязвимостей Adobe Flash Player, обнаруженных и исправленных в октябре 2012, по неделям.

В отличие от других уязвимостей Adobe Flash Player, которые мы проанализируем ниже, эта брешь была обнаружена и закрыта более двух лет назад. Однако, как мы видим, пользователи, у которых была установлена именно эта версия ПО, не были проинформированы об обновлении или не желали реагировать на уведомления автоматического обновления. Устаревшая уязвимая версия Adobe Flash Player в среднем была установлена на 10,2% компьютеров – это поразительное количество машин, учитывая тот факт, что обнаружен эксплойт для этой уязвимости, который, однако, не применялся активно. Вполне возможно, что эта уязвимость исчезнет только тогда, когда все компьютеры с установленной устаревшей версией заменят на новые.

Уязвимости в Adobe Flash: общая картина


Уровень опасности уязвимостей Adobe Flash Player в 2012 году

Ситуация с остальными десятью уязвимостями Flash более сложная. Сканирование уязвимостей выявляет только одну уязвимость на программу, поэтому данный график отображает более новые уязвимости, которые перекрывают показатели некоторых уязвимостей и замещают собой другие. Хотя только две уязвимости из рассмотренных 10 действительно эксплуатировались (уязвимости, обнаруженные в мае и августе 2012), график также демонстрирует очень небольшое понижение уровня опасности уязвимостей: пользователи очень медленно обновляют ПО независимо от того, насколько опасны обнаруженные уязвимости. В следующих отчетах мы рассмотрим статистику реального использования Adobe Flash Player и определим быстроту установления обновлений от версии к версии.

Уязвимости в Adobe Reader/Acrobat


Изменение процента уязвимости, по неделям, 2012 г.

Единственная популярная и активно эксплуатируемая в этот период уязвимость в Adobe Reader впервые обнаруженная в начале декабря 2011 г., в 2012 году была найдена в среднем на 13,5% пользовательских компьютеров. Несмотря на то что для исправления уязвимости был тут же выпущен патч, показатель почти не изменился, а в январе 2012 года достиг своего годового максимума — 16,8%. Как в случаях с уязвимостями других подвергшихся анализу программ, почти ничто не указывает на какое-либо сокращение числа этой уязвимости. И опять это подводит к мысли, что пользователи крайне неохотно обновляют приложения – возможно, вследствие неэффективной системы автоматических обновлений.

Заключение

Это исследование позволяет взглянуть на уровень опасности уязвимостей в ПО с необычной точки зрения: бреши в защите ПО – это бомба, которая ждет, когда злоумышленник повернет ручку детонатора. Наши данные получены с компьютеров наших пользователей, защищенных продуктами «Лаборатории Касперского» и вследствие этого менее уязвимых к эксплуатации злоумышленниками. Но даже учитывая этот фактор, картина далека от идеальной.

Даже когда производитель ПО прикладывает все усилия для обнаружения брешей в защите и своевременно выпускает обновления, для существенной части пользователей это ничего не значит. Известная, опасная и эксплуатируемая злоумышленниками уязвимость на миллионах компьютеров остается незакрытой и через месяцы после того, как была обнаружена и исправлена. Существуют уязвимости, продолжающие оставаться на компьютерах и через несколько лет после обнаружения и исправления.

Мы не можем винить в этом пользователей: они не являются и не должны являться специалистами в сфере информационной безопасности. Что действительно необходимо, так это хорошо налаженный автоматизированный процесс обновления для уже установленного ПО и на практике большее внимание к безопасности со стороны разработчиков. Пользователям необходимо понять, что свобода выбирать любую версию любой программы требует соблюдения определенных мер предосторожности, и первый шаг здесь – это должная защита от современных угроз, включая инструменты обнаружения и обновления уязвимого ПО.

Рекомендации пользователям

  • Всегда используйте защитное ПО: наличие самых свежих версий всех программ не защищает вас от новейших эксплойтов, использующих уязвимости «нулевого дня». «Лаборатория Касперского» предлагает новую технологию, разработанную для обнаружения и блокирования даже новых и неизвестных эксплойтов, получившую название Automatic Exploit Prevention.
  • Ваш компьютер используется в течение нескольких лет, и операционная система на нем не переустанавливалась. Это обычная ситуация. В этом случае проверьте актуальность версий установленного у вас ПО. Удалите программы, которыми вы совсем не пользуетесь. Остальные обновите до самых новых версий, если это возможно.
  • Используйте специальное ПО для проверки установленных программ на предмет уязвимостей. Обязательно обновите программы, чья защита критически уязвима. Проще всего это сделать при помощи полнофункционального комплекса, такого как Kaspersky Internet Security.
  • Особое внимание уделите программам Oracle Java, Adobe Flash Player и Adobe Reader – уязвимости в этих программах используются чаще всего.
  • Не думайте, что вы автоматически защищены от уязвимостей, если используете компьютер Apple. К сожалению, угрозы чаще всего работают на нескольких платформах сразу. К примеру, небезызвестный ботнет Flashfake использовал уязвимость в Java. То же касается и платформы Linux: хотя злоумышленники атакуют ее меньше, она может стать точкой входа для целевой атаки на компанию.

Рекомендации компаниям

  • Программное обеспечение, используемое в вашей компании, должно быть под контролем. Другими словами, нужно знать, какие программы и какие их версии используются сотрудниками и, конечно, убедиться, что они безопасны. Контроль приложений должен осуществляться централизованно, своевременно, как, например, это происходит при использовании Kaspersky Endpoint Security for Business совместно с консолью Kaspersky Security Center. Разнообразный набор инструментов позволяет следить за приложениями, устройствами и активностью в интернете.
  • Когда речь идет об уязвимостях, первым шагом является ревизия ПО. И нередко эта задача оказывается для многих IT-отделов такой же трудоемкой, как и защита от киберпреступлений. К счастью, новое корпоративное решение «Лаборатории Касперского» позволяет взять под контроль абсолютно все аспекты IT-безопасности, от учета аппаратного и программного обеспечения до конфигурирования и развертывания конечных устройств и других узлов сети. Оценка уязвимостей и универсальный функционал по установлению патчей также включены в этот список функций.
  • Впервые проведенное сканирование уязвимостей может нарисовать довольно мрачную картину, поскольку политики безопасности на предприятии зачастую ограничивают возможности сотрудников самостоятельно обновлять программы. Как показано в этом отчете, многие пользователи даже не задумываются об обновлении приложения, чья работа их и так устраивает. Ввод ограниченных прав может закончится тем, что полностью устаревшее ПО будет годами повсеместно использоваться в компании.
  • Каково же решение? Прежде всего, обратите внимание на наиболее часто используемое уязвимое ПО, описанное в этом отчете. Сравните его с тем, что используется в вашей компании. Такие приложения – первые потенциальные жертвы целевых атак – все такие атаки начинаются запуском эксплойтов, нацеленных на ПО, которое используется именно в вашей компании. Также уделите внимание «застарелым» уязвимостям, которые широко распространены уже долгое время. Обновление корпоративного ПО, как и его ревизия, должно выполняться централизованно с использованием правильного решения для управления патчами.
  • Еще один способ усовершенствовать корпоративную защиту – новый подход Default Deny. Продукты «Лаборатории Касперского» используют обширную базу, насчитывающую свыше 600 млн легитимных программ чтобы гарантировать запуск только известного ПО с хорошей репутацией. В соответствии с этим подходом программы, не допущенные к использованию в компании, а также неизвестное и вредоносное ПО полностью исключаются. В то же время, критически важные для компании программы и системные компоненты попадают в категорию необходимых приложений Golden Image. То, что «Лаборатория Касперского» сотрудничает более чем с 200 основными разработчиками ПО гарантирует, что в список разрешенных попадают самые последние версии ключевых приложений.
  • Шифрование критически важных данных поможет снизить вероятность утечки данных. Одной из основных задач целевых атак на компании является кража данных, а шифрование поможет защитить ваши данные, даже если заражение уже произошло.

Отчет «Лаборатории Касперского»: оценка уровня опасности уязвимостей в ПО

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике