Рейтинг распространенности эксплоитов, ноябрь 2006 года

Роджен Томсон, технический директор компании Exploit Prevention Labs и автор ежемесячного отчета распространения эксплоитов “Exploit Prevalence Survey” предупреждает об увеличении активности киберпреступников в ноябре, в связи с обновлением существующих эксплоитов.

В ноябре на верхние позиции вышли 2 новых эксплоита - setSlice и Com CreateObject. Самое интересное, что оба эксплоита были получены из PoC кода, которые опубликовал HD Moore в “месяце дыр в браузерах” в сентябре, и оба с тех пор подверглись дополнительным модификациям в злонамеренных целях.

IE Com CreateObject, опубликованный как PoC код еще в августе, занял первое место в рейтинге эксплоитов с 30.45% всех инцидентов, вытеснив с первого места российский инструмент WebAttacker, который занял второе место с 20.33%.

Как показывают исследования прошлых месяцев, киберпреступники часто ищут новые векторы нападений для старых уязвимостей. Например, уязвимость в Windows Metafile, эксплоит к которой был опубликован год назад, а исправление вышло в январе 2006 года, опять после 2-х месяцев застишься, вышел на 4-е место в списке.

Вот список лидирующих эксплоитов в ноябре 2006 года: 

Эксплоит	Процент распространения	Описание
IE Com CreateObject	30.21	Уязвимость существует из-за ошибок при инициализации COM объектов, которые не должны быть инициализированы в браузере. Удаленный пользователь может с помощью специально сформированной страницы выполнить произвольный код на целевой системе.
WebAttacker	20.33	WebAttacker – российская программа, впервые появившаяся 21 месяц назад, в настоящее время использует  различные эксплоиты, включая новое IE VML переполнение, новый MDAC, firefox эксплоиты, CreateTextRange и эксплоит для виртуальной JAVA машины. Как и коммерческое ПО, WebAttacker продается на различных российских хакерских сайтах по ценам от 20$ до 300$ и требует минимальных технических знаний для ее использования. Приложение обновляется раз в несколько месяцев, как и другое ПО, однако используется в преступных целях. Новая версия содержит IE VML эксплоит.
setSlice	16.26	Целочисленное переполнение буфера в методе "setSlice()" в ActiveX компоненте "WebViewFolderIcon". Удаленный пользователь может с помощью специально сформированной Web страницы или email сообщения вызвать повреждение памяти и выполнить произвольный код на целевой системе.
WMF	7.20	Уязвимость существует в "Windows Picture and Fax Viewer" при обработке Windows метафайлов (".wmf"), содержащих специально сформированные SETABORTPROC "Escape" записи. Эти записи позволяют выполнить произвольные функции, если процесс генерации WMF файла заканчивается неудачно. Удаленный пользователь может с помощью специально сформированного WMF файла выполнить произвольный код на целевой системе с привилегиями пользователя, открывшего злонамеренный файл.
Сценарии в iframe теге	6.26	Распространяется российской криминальной группировкой, которая ответственна за распространение трояна CoolWebSearch . Используя простейший iframe внедренный в хакерский Web сайт или взломанный Web сайт, Web браузер пользователя перенаправляется на эксплуатируемый сервер, который пытается заразить систему жертвы используя восемь различных эксплоитов.

 Далее идут MDAC (4.50%), IE VML overflow (4.0%), %), GromSploit (2.60%), ), Orphaned lures (3.40%), Tri-Mode (1.4%), на долю остальных приходится 4%.