臺灣趨勢科技技術總監戴燊指出,微軟作業系統常見的5大漏洞中,有3項是屬於可由網路遠端發動的攻擊,分別是「可由遠端執行的程式碼」、「緩衝區溢位(Buffer Overflow)」及「阻斷式服務(DoS)」,這3種漏洞都會帶來很大的資安風險。

明年2014年4月8日微軟終止對Windows XP的支援之後,將不再針對XP作業系統的漏洞提供修補程式,因而對於XP電腦的用戶而言,首當其衝的就是資訊安全的問題:如果不升級XP,會有多危險呢?

一旦微軟停止對XP作業系統提供漏洞修補,而又有新的作業系統漏洞被發現了,這時除非有其他廠商願意提供漏洞修補程式,不然XP電腦就要陷入高度危險的狀態了。這就好像眾人皆知你家的大門無法上鎖,而你卻找不到鎖匠。在現今駭客猖獗,而且絕大多數的電腦也都連結網路的情況下,作業系統只要存在漏洞,就容易被駭客所利用,因為作業系統層級的漏洞,是駭客直搗黃龍的最快途徑。

臺灣趨勢科技技術總監戴燊指出,微軟作業系統常見的5大漏洞中,有3項是屬於可由網路遠端發動的攻擊,分別是「可由遠端執行的程式碼」、「緩衝區溢位(Buffer Overflow)」及「阻斷式服務(DoS)」,這3種漏洞都會帶來很大的資安風險。

以電腦病毒史上屬一屬二、惡名昭彰的Conficker蠕蟲為例,它在2008年11月一舉肆虐全球200多個國家、上百萬臺電腦,就是因為駭客利用微軟在前一個月(2008年10月)才公布的編號MS08-067的Win XP作業系統漏洞,以遠端執行程式碼的方法,得以迅速發動大規模攻擊。然而,戴燊指出,直到今天駭客都還在利用相同的作業系統漏洞,他們之所以能得逞,顯然是還有很多電腦沒有安裝此一漏洞的修補檔。

上述是假設XP終止支援後,又發現了安全漏洞。當然,也存在可能不再會有漏洞被發現的可能性。然而,這樣的可能性有多高呢?

其實,以微軟早在2010年7月13日就終止支援的Windows 2000作業系統來看,竟然到現在還持續有新漏洞被揭露。而且,戴燊表示,也不過就是去年(2012年),XP作業系統還是被發現了重大的安全漏洞,編號MS12-012的漏洞,就是利用緩衝區溢位的疏漏,讓駭客可以傳出惡意的要求(Request)進行遠端程序呼叫(RPC)服務。駭客因此可透過網路取得個人電腦管理員的權限,讓被攻擊的電腦出現藍色畫面。從這些跡象來看,在XP作業系統終止支援之後,不再有新漏洞被揭漏的可能性,似乎是很低。

這些可以透過網路觸發的作業系統漏洞,對個人電腦會造成重大的資安風險。駭客掌控了電腦,可以檢視、變更或刪除資料,不僅機敏資料完全外洩,也會成為駭客所挾持的傀儡電腦,做為發動攻擊行動的殭屍電腦大軍。

對企業而言,更須要注意的是,一旦駭客以作業系統的漏洞掌控了電腦,通常就可以提高存取權限。戴燊指出,駭客接著就可以偽裝成合法的使用者,以合法行為匿跡、蒐查企業網路,有可能在不驚動資安產品的預警機制下,逐一滲透其他電腦。因此,即使XP電腦位於企業內部網路,並沒有連結外部網路,也不見得就是安全的。

不升級保命之道1 徹底隔離網路與USB

把XP升級到新版作業系統,是解決作業系統安全漏洞風險一勞永逸的方法,但是,並不是所有XP電腦都可以升級,尤其是在企業裏,有些是應用程式老舊,只能執行在Windows XP的環境,而且這些應用程式不可能再翻新了,原因可能是找不到人來改寫程式,也有可能是早期採用的程式語言不再支援新版系統了。

惠普資訊安全事業部北亞區資深技術協理蕭松瀛表示,企業只要有辦法把這些電腦隔離在無網路、無USB的環境,不連網、嚴格禁止使用任何外接裝置等措施,杜絕任何人為的資料或系統更新,就能確保舊平臺的安全性。

蕭松瀛曾接觸一個Windows 2000電腦無法升級的案例,那是一個政府機敏單位,其中有個專屬應用系統是基於微軟Windows 2000環境開發的,而在Windows 2000停止資安更新後,該單位為了確保個人電腦專屬應用系統的安全性,採用嚴格的實體隔離措施,電腦不僅不能連接外部網路,也不能連上內部網路,亦不允許使用包括USB隨身碟等外接裝置傳輸資料,或是進行系統及應用程式的更新。蕭松瀛說,這個機敏單位只有在需要使到這套應用系統時,才會啟動該電腦,以徹底降低資安風險,至今也未曾出事過。

此外,臺灣也還有不少金融業、高科技製造業者,仍使用舊版的Windows 2000作業系統。戴燊指出,趨勢科技有一個高科技製造業客戶,因為企業開發成本和使用習慣等因素,確定不升級工廠機臺電腦的作業系統,迄今仍使用Windows 2000平臺。

這家製造業公司也是採取實體隔離的作法,電腦禁止連接任何的內網與外網,也禁用USB隨身碟等外接裝置,亦不允許任意更新軟體。在這樣嚴格的管制措施下,多年下來,使用Windows 2000平臺的機臺電腦,依然安全存在許多高科技製造業的廠房。

不升級保命之道2 強化資安防護的部署

雖然不連網、不使用USB等外接裝置,可以確保舊平臺的安全性,但對於現在電腦使用者而言,連網已經是一個不能避免的現象。因此,若要做到對舊平臺的防護,通常會使用第三方的資安軟體,包括在用戶端電腦安裝防毒軟體,安裝主機端入侵防禦系統(H-IPS),以及在閘道端部署防火牆設備。

「在用戶端電腦安裝防毒軟體是基本且必須的,」戴燊表示,防毒軟體雖然無法提供百分之百的保護,但基本上,還是可以偵測到大約八成的已經病毒和惡意程式,大幅提高個人電腦的安全性。
 

蕭松瀛表示,建立一個深防禦架構是必要的,透過安裝H-IPS,從杜絕網路層到應用層的攻擊行為下手,可以檢查單臺主機和主機內的可疑攻擊行為;安裝防火牆則可監控網路流量,過濾具有攻擊行為的網路封包。甚至,使用者還可以採用更嚴格的白名單政策,只允許同意的封包進入企業內,更嚴格過濾攻擊封包,降低被駭客攻擊的風險。

除了部署資安防禦網,戴燊認為,防火牆或是IPS都提供了上千條的資安規則,要發揮應該有的攻擊封包過濾功能,就必須啟動針對適合的資安防護政策,例如,電腦使用者必須啟用針對微軟XP作業系統漏洞的資安規則,若有偵測到針對微軟XP作業系統漏洞的攻擊封包時,才能夠有效過濾惡意封包。

因為舊版作業系統無法更新到新版,將導致許多既有作業系統的漏洞持續存在,許多駭客便可以利用既有的漏洞,取得企業內管理員權限,竊取公司機敏資料;或者是植入各種惡意程式,作為駭客攻擊其他國家和企業的跳板電腦。戴燊建議,不論是個人或企業,根本之道是升級到新版的作業系統,降低個人電腦因為無法修補資安漏洞帶來的風險。

這些舊有作業系統的漏洞已經行之多年,蕭松瀛表示,許多駭客甚至已經有現成的攻擊工具包可以馬上發動攻擊,企業若無法將電腦更新到最新版作業系統,就等於是在網路上持續敞開大門任由駭客進出。「不升級作業系統,或許企業不見得會馬上中標,但這卻是一個無法化解的資安隱憂,也是駭客發動攻擊最好的溫床。」他說。文⊙黃彥棻
 

微軟作業系統5大類 常見漏洞

● 緩衝區溢位(Buffer Overflow)
● 提高使用者權限
● 阻斷式服務(DoS)
● 導致資訊外洩
● 遠端執行程式碼

資料來源:趨勢科技,iThome整理,2013年10月

 

熱門新聞

Advertisement