今天,微软历史上最“长寿”的操作系统——Windows XP正式停止了服务,XP系统不仅是寿命长,而且具有广泛的用户基础,所以这一事件在我国影响巨大。虽然地球人都知道停止服务意味着安全性不再有保障,但是XP的停服究竟给安全保障带来哪些具体的威胁,却是很多人所不知道的。而对于怎样应对,被看做国内信息安全发展的重要机遇,一时间众说纷纭,乱花渐欲迷人眼。国内自主安全厂商安天将从威胁、应对两个方面解读XP停服事件。
本篇先谈谈XP停服后威胁何在。
首先是系统漏洞得不到官方修补
安天实验室首席技术架构师肖新光表示,XP停止服务带来的威胁首先就是系统漏洞得不到官方修补。XP是一个历史非常悠久的系统,但是近几年来,漏洞数量却依然呈现一个逐年增加的趋势,这不仅是漏洞挖掘本身能力的增长所带来的,更深层的原因却要归结为微软操作系统的演进过程。从早期的Windows 到WinXP、Vista、Win7等等一直都沿用了NT架构,长期的持续迭代开发过程和大量复用的代码,形成了漏洞的关联关系,也就造成了漏洞的大面积重叠。
这样,绝大部分攻击者,并不是自己从系统中挖掘漏洞,而是在补丁发布的时候依托新旧版本的补丁对比来寻找它的溢出点。我们做一个假定,比如在著名的MS08-067发布之后,它可能会把之后的版本和之前的版本放在一起作比对,通过找微软修改了哪个点就可以反推出这个漏洞在哪里。
所以,XP停止服务后,微软持续对其他Windows发布补丁,却使XP失去了官方补丁,黑客通过漏洞比对就能找到XP版本的漏洞所在,攻守平衡性一定程度上被破坏了,这就是带来的第一方面的问题。
软件环境封顶造成的APT攻击可能性
XP系统停止服务,还可能造成由于软件环境封顶带来新的安全问题。比如我们日常使用的IE浏览器、Office等等。据了解,在XP停服之后,IE8未来也不会再得到相应的系统补丁更新。这样,IE也可能会是未来攻击者进行发力的一个重点。比如去年5月的CVE-2013-1347 ,实际上就是利用了IE漏洞,对特定版本的IE浏览器进行了相应的攻击,当然各版本的IE浏览器都会有必然的漏洞,但是基于XP上封顶版本的IE浏览器可能会遭受更为集中的攻击。
另一个就是关于Office版本的封顶问题,XP最高支持到Office 2010,虽然微软一直在改善其主要应用程序内建的安全机制,对于2013版以后的版本,会持续的改善其安全机制,但对于之前版本的Office只发补丁,却不会同步最新的安全机制。
肖新光表示,这是一个重要的威胁分布点。根据安天以往对于APT攻击的长期跟踪研究结果表明,基于Office的格式溢出在APT攻击中占据了极其重要的位置。例如:过去我们比较熟悉的APT攻击事件,从回溯报告上都能够找到格式溢出的手段。所以这方面需要更加引起重视。
无法获得新的安全机制的更新
需要肯定的是,微软在持续改进安全机制,比如,DEP(数据执行保护)、ASLR(地址空间布局随机化)、UAC(用户帐户控制)等等。但是这些起点是XP的SP2,后边的版本是无法加强的,更无法同步更新,XP今后在这种自身的安全能力上都不会再获得支持。
XP停服事大,而带来的可能的威胁版图的变化更大,对于黑产,可能根据其他版本的漏洞披露找到XP系统未被公布的漏洞,带来的定向攻击成功率将大幅增加;得不到官方修正的软件版本存在的漏洞,包括office的漏洞等,可能使得整个泛化安全威胁上有一定上升,所以我们必须做好应对安全威胁风险的准备。