このレポートには、WindowsおよびMS Officeのさまざまなコンポーネントのクローズド脆弱性に関する詳細情報も含まれています。 これらの脆弱性の多くは、ユーザーに対するサイバー攻撃(いわゆる0day)でサイバー犯罪者によって使用されました。 昨年、有名なトロイの木馬BlackEnergy専用のプレスリリースをリリースしました 。 Officeの0day脆弱性を使用して配布されました。
レポートには次の情報が含まれます。
- 実際のマルウェア配布ベクトル。
- Windowsで最も活発な脅威。
- Windowsのトレンド。
- iOSの脅威の例。
- WindowsおよびOfficeにおけるMicrosoftのクローズド脆弱性に関する情報。
- クローズド脆弱性の統計と2013年以降の比較
- Windowsの主要な操作メカニズムの詳細な説明。
- ASLRバイパスの脆弱性に関する特別な表など、悪用されたインザワイルドの脆弱性に関する情報。
- Internet Explorerの最新のエクスプロイトおよびエクスプロイトプラクティス。
過去1年にわたり、ドライブバイダウンロード攻撃を組織するためにサイバー犯罪者によって使用された多くのエクスプロイトを見てきました。 このような攻撃は、悪意のあるプログラムをステルスモードでユーザーのコンピューターにインストールできる(いわゆるサイレントインストール )ため、非常に有益です。 レポートには、このようなサイバー攻撃の性質に関する詳細情報が含まれています。 Internet Explorer(IE)はサイバー犯罪者の最も一般的な標的の1つであるため、マイクロソフトが昨年追加した主要なセキュリティイノベーションに関する詳細情報をレポートに含め、ユーザーがこのような攻撃から身を守るのに役立ちました。
下の図では、Microsoftが他のすべてのWindowsコンポーネントとIE用のOffice製品の中でIEの脆弱性の最大数をクローズしたという事実を見ることができます。 これらの脆弱性のほとんどすべてはリモートコード実行タイプであり、攻撃者がドライブバイダウンロード攻撃を組織するために使用することができます。 図では、IEはWindows GUIサブシステム用のカーネルモードドライバーwin32k.sys、他のカーネルモードドライバー、.NET Framework製品、カスタムWindowsコンポーネント、Officeなどのコンポーネントと比較されています。
攻撃者は、特別に細工されたWebページを使用して、ブラウザーで悪意のあるコードをリモートで実行できます。 このようなWebページには、エクスプロイトと呼ばれる特別なコードが含まれており、トリガーされる脆弱性に必要な条件を作成するために使用されます。 攻撃者は通常、これらのエクスプロイトを使用して、脆弱なバージョンのWindowsに遭遇した場合にマルウェアをインストールします。 このような攻撃は、ドライブバイダウンロードタイプであり、下の図に示すように、IEの悪用における重要な傾向です。
このレポートには、マイクロソフトが昨年WindowsおよびIEに追加した悪用防止メカニズムに関する詳細情報が含まれています。 これらのメカニズムを説明するセクションには、Windows、Internet Explorer、およびEMETに関する情報が含まれています。 このようなメカニズムにより、ユーザーをさまざまな脆弱性の悪用から保護できます。 たとえば、 古いActiveXコントロールブロック機能は、古いバージョンのOracle JavaおよびMS Silverlightプラグインの脆弱性を使用するすべてのエクスプロイトをブロックするのに非常に便利です。
このレポートには、攻撃者がWebブラウザーのサンドボックス防御メカニズムをバイパスし、システムまたはカーネルモードで高い権限を持つ悪意のあるコードを起動するために使用する一般的なローカル権限エスカレーション(LPE)サイバー攻撃の説明も含まれています。 昨年、このような脆弱性の原因であるwin32k.sysドライバーの脆弱性はほとんどありませんでした。 残念ながら、今日でもwin32k.sysはWindowsのLPE脆弱性の主な原因です。
完全なレポートはこちらからダウンロードできます 。