Неожиданные результаты исследования ландшафта атак с помощью эксплойтов под продукты Microsoft
В «Лаборатории Касперского» мы регулярно проводим исследования, посвященные конкретному типу киберугроз. В начале этого года мы подробно исследовали финансовые киберугрозы, а в конце прошлого года – на фоне обнаружения все новых и новых уязвимостей в Java, мы исследовали ландшафт атак на пользователей наших продуктов, в которых использовались эксплойты под уязвимости в популярной программной среде компании Oracle.
Этим летом мы подготовили отчет под названием «Windows: популярность и уязвимости», в котором попытались понять, велика ли доля пользователей, использующих устаревшие версии Windows, и как часто они сталкиваются с эксплойтами под Windows и другие продукты Microsoft. Некоторые из результатов этого исследования оказались весьма неожиданным.
Летом 2010 года стало известно о существовании Stuxnet, компьютерного червя, который – как выяснилось впоследствии – был создан специально для саботажа процесса обогащения урана на нескольких предприятиях в Иране. Stuxnet стал настоящей бомбой, продемонстрировавшей, на что способно вредоносное ПО, если предельно сузить его цели и тщательно подготовиться. Для распространения червь использовал эксплойт под уязвимость CVE-2010-2568. Она представляет собой ошибку в обработке ярлыков в ОС Windows, позволяющая загружать произвольную динамическую библиотеку без ведома пользователей. Уязвимость затронула системы Windows XP, Vista, 7, а также Windows Server 2003 и 2008.
Впервые вредоносные программы, эксплуатирующие эту уязвимость, были замечены в июле 2010 года. В частности, червь Sality использовал ее для распространения собственного кода: червь генерирует уязвимые ярлыки и распространяет их в локальной сети. Стоит пользователю открыть папку, содержащую такой ярлык, как тут же начнется запуск зловредной программы. После Sality и Stuxnet эту же уязвимость использовали известные шпионские программы Flame и Gauss.
Microsoft выпустила обновление безопасности, закрывающее эту уязвимость еще осенью 2010 года. Несмотря на это, системы детектирования «Лаборатории Касперского» до сих пор регистрируют десятки миллионов срабатываний на эксплойты, использующие CVE-2010-2568. Если конкретно, то за исследуемый период было зафиксировано более 50 миллионов срабатываний на более чем 19 миллионах компьютеров по всему миру.
Весьма красноречиво и распределение операционных систем компьютеров, на которых были зафиксированы срабатывания на эксплойт под LNK-уязвимость. Львиная доля срабатываний (64,19%) за последние восемь месяцев пришлось на XP и только 27,99% — на Windows 7. Продукты «Лаборатории Касперского», защищающие серверные операционные системы Windows Server 2003 и 2008 также регулярно рапортуют об обнаружении подобных эксплойтов – 1,58% и 3,99% срабатываний соответственно. Большое количество срабатываний, приходящих от пользователей XP свидетельствует о том, что на большинстве этих компьютеров либо не установлено защитное решение, либо используется уязвимая версия Windows, либо сочетаются два фактора. Срабатывания, приходящие от серверных систем – это свидетельство наличия вредоносных ярлыков, эксплуатирующих уязвимость CVE-2010-2568, на сетевых папках с открытым доступом.
Интересно и географическое распределение всех зафиксированных срабатываний на CVE-2010-2568.
Географическое распределение срабатываний продуктов «Лаборатории Касперского» на эксплойты под уязвимость CVE-2010-2568 в период с ноября 2013 года по июнь 2014 года.
Как видно, Вьетнам (42,45%), Индия (11,7%) и Алжир (5,52%) не только в числе лидеров по проценту использования устаревшей XP, но также и в топе по числу срабатываний защитных продуктов «Лаборатории Касперского» на одну из самых опасных уязвимостей в Windows из известных на сегодняшний день. Примечательно, что по данным того же исследования, все три эти страны – среди лидеров по доле пользователей устаревшей Windows XP.
Вьетнам | 38,79% |
Китай | 27,35% |
Индия | 26,88% |
Алжир | 24,25% |
Италия | 20,31% |
Испания | 19,26% |
Россия | 17,40% |
Франция | 12,04% |
Германия | 8,54% |
США | 4,52% |
Топ-10 стран с наибольшей долей пользователей Windows XP
в общем объеме пользователей Windows
Неудивительно, что атаки, эксплуатирующие CVE-2010-2568, до сих пор так распространены. Большое количество пользователей уязвимых систем делает эксплойты под данную уязвимость эффективными даже четыре года спустя после того, как был выпущен патч, уязвимость закрывающий.
Ознакомиться с другими результатами исследования «Windows: популярность и уязвимости» можно в полной версии отчета.
Эхо Stuxnet