XP停服安全思考之一：安全威胁在哪里

今天，微软历史上最“长寿”的操作系统——windows XP正式停止了服务，XP系统不仅仅是寿命长，(从小编第一台电脑就用了这个系统)，而且具有广泛的用户基础，所以这一事件在我国影响巨大。虽然地球人都知道停止服务意味着安全性不再有保障，但是XP的停服究竟给安全保障带来哪些具体的威胁，却是很多人所不知道的。而对于怎样应对，被看做国内信息安全发展的重要机遇，一时间众说纷纭，乱花渐欲迷人眼。国内自主安全厂商安天将从威胁、应对两个方面解读XP停服事件。

“XP停服的安全思考之一”就来谈谈威胁何在。

首先是系统漏洞得不到官方修补

安天实验室首席技术架构师肖新光表示，XP停止服务带来的威胁首先就是系统漏洞得不到官方修补。XP是一个历史非常悠久的系统，但是近几年来，漏洞数量却依然呈现一个逐年增加的趋势，这不仅是漏洞挖掘本身能力的增长所带来的，更深层的原因却要归结为微软操作系统的演进过程。从早期的Windows 到WinXP、Vista、Win7等等一直都沿用了NT架构，长期的持续迭代开发过程和大量复用的代码，形成了漏洞的关联关系，也就造成了漏洞的大面积重叠。

这样，绝大部分攻击者，并不是自己从系统中挖掘漏洞，而是在补丁发布的时候依托新旧版本的补丁对比来寻找它的溢出点。我们做一个假定，比如在著名的MS08-067发布之后，它可能会把之后的版本和之前的版本放在一起作比对，通过找微软修改了哪个点就可以反推出这个漏洞在哪里。

所以，XP停止服务后，微软持续对其他Windows发布补丁，却使XP失去了官方补丁，黑客通过漏洞比对就能找到XP版本的漏洞所在，攻守平衡性一定程度上被破坏了，这就是带来的第一方面的问题。

软件环境封顶造成的APT攻击可能性

XP系统停止服务，还可能造成由于软件环境封顶带来新的安全问题。比如我们日常使用的IE浏览器、Office等等。据了解，在XP停服之后，IE8未来也不会再得到相应的系统补丁更新。这样，IE也可能会是未来攻击者进行发力的一个重点。比如去年5月的CVE-2013-1347 ，实际上就是利用了IE漏洞，对特定版本的IE浏览器进行了相应的攻击，当然各版本的IE浏览器都会有必然的漏洞，但是基于XP上封顶版本的IE浏览器可能会遭受更为集中的攻击。

另一个就是关于Office版本的封顶问题，XP最高支持到Office 2010，虽然微软一直在改善其主要应用程序内建的安全机制，对于2013版以后的版本，会持续的改善其安全机制，但对于之前版本的Office只发补丁，却不会同步最新的安全机制。

肖新光表示，这是一个重要的威胁分布点。根据安天以往对于APT攻击的长期跟踪研究结果表明，基于Office的格式溢出在APT攻击中占据了极其重要的位置。例如：过去我们比较熟悉的APT攻击事件，从回溯报告上都能够找到格式溢出的手段。所以这方面需要更加引起重视。

无法获得新的安全机制的更新

需要肯定的是，微软在持续改进安全机制，比如，DEP(数据执行保护)、ASLR(地址空间布局随机化)、UAC(用户帐户控制)等等。但是这些起点是XP的SP2，后边的版本是无法加强的，更无法同步更新，XP今后在这种自身的安全能力上都不会再获得支持。

XP停服事大，而带来的可能的威胁版图的变化更大，对于黑产，可能根据其他版本的漏洞披露找到XP系统未被公布的漏洞，带来的定向攻击成功率将大幅增加;得不到官方修正的软件版本存在的漏洞，包括office的漏洞等，可能使得整个泛化安全威胁上有一定上升，所以我们必须做好应对安全威胁风险的准备。