資安公司FireEye在一起「密狐行動(Operation Clandestine Fox)」的針對式攻擊(Target Attack)中,發現一個從IE 6瀏覽器至IE 11版本都存在的零時差漏洞。

資安公司FireEye在4月26日率先揭露,該公司資安研究團隊在追蹤一起命名為「祕狐行動(Operation Clandestine Fox)」的針對式攻擊(Target Attack)中,發現一個從IE 6瀏覽器至IE 11版本都存在的零時差漏洞(零時差漏洞指漏洞已存在,但尚未有修補檔),駭客可以利用該漏洞執行遠端攻擊程式。

此一IE漏洞被揭露後,引起廣泛注意的就是剛在4月8日退役的WindowsXP,因為XP隨附的IE瀏覽器也在受害行列,然而微軟已多次聲明,自4月8日起不再針對Windows XP電腦提供技術支援,包括安全修補檔。因為IE 8瀏覽器也隨著XP而退役,自然不再獲得任何安全更新,此一漏洞讓XP使用者的安全問題雪上加霜。

有鑑於此一漏洞的嚴重性,許多國家立即呼籲停用IE瀏覽器,然而,XP使用者即使改換其他瀏覽器,其實也只是緩兵之計,無法根除問題。因為問題的癥結在於Windows XP設計之初,網路安全問題不如今日猖獗,作業系統與瀏覽器的設計,並不足以抵擋潛在未知的網路攻擊;所以,即便是更換為他牌瀏覽器,只要電腦是Windows XP,依然有很大的安全空窗;一來是世上沒有一個絕對安全的瀏覽器,再者是Windows XP的根本設計,就沒有新一代作業系統所具備的安全防護能力。

微軟原本堅持不再對XP進行任何資安漏洞的修補,但在面對龐大的壓力下,微軟透過官方部落格在5月1日對外宣布,緊急修補這個IE漏洞,並基於XP處於甫退役的過渡期,因此修補範圍破例包括XP作業系統(也包括微軟XP嵌入式作業系統)。

此一事件發生後,微軟在短短的5天內就提供修補檔,XP作業系統的危機暫時解除,只不過,未來XP若再度出現安全漏洞問題,微軟不承諾是否會再破例提供漏洞修補程式。個人與企業的電腦使用者,是否可以將個人電腦與企業資安的安全性,寄託在無法確保安全性的作業系統上,則是此次面對XP終止支援後,首度爆發IE零時差攻擊時,所必須再三思考的重點。

駭客可利用IE漏洞,進行惡意程式掛馬

FireEye表示,已經有發現駭客利用IE 9~IE 11瀏覽器這樣的漏洞,針對國防、金融和能源等單位,進行鎖定特定目標的針對式攻擊。根據微軟的說明,這個編號為CVE-2014-1776的IE漏洞,存在於IE存取記憶體中未被妥善放置或已被刪除的物件,導致記憶體毀損並讓駭客有機可乘。

進一步分析駭客的攻擊手法,則是利用Flash繞過微軟預設的ASLR(隨機記憶體編排)和DEP(防止資料執行)保護機制,遠端取得電腦的控制權限。駭客也可藉此打造一個惡意網站,吸引IE使用者瀏覽並訪問該惡意網站,透過觸發這樣的漏洞,進行惡意程式掛馬。

也就是說,當電腦使用者使用有漏洞的IE瀏覽器瀏覽網站時,一旦該網站被駭客植入惡意程式,IE瀏覽器的漏洞就可以被觸發並被植入惡意程式。不僅使用者個人電腦淪陷,也可能成為企業內部網路的資安缺口。

瀏覽器和Word漏洞是近年來最常見的漏洞型態之一,加上瀏覽器是每個電腦使用者都一定會使用的應用程式,臺灣資安研究公司Team T5資安研究員蔡松廷表示,幾乎每隔幾個月,都會出現與瀏覽器相關的漏洞,一旦有瀏覽器的漏洞,都可能對於電腦使用者造成比較大的損害。

蔡松廷表示,目前駭客圈還沒有拿到真正利用該漏洞發動攻擊的樣本,所以,相關的研究資料仍掌握在微軟和資安公司FireEye手中,「現階段,還沒有使用者因為使用IE瀏覽器,而出現大規模的受駭災情。」他說。

XP不再提供修補程式,少數政府支付天價延長保固

當微軟不再提供XP作業系統的漏洞修補程式,這個IE零時差漏洞出現,也意味著還有許多使用IE瀏覽器以及XP電腦使用者,都曝露在高度的資安風險中。

依據Net Market Share網站截至2014年4月的統計數據,目前Windows 7有將近5成(49.27%)的市占率,其次為Windows XP(26.69%)和Windows 8/8.1(12.24%)。因為XP已經在4月8日終止支援,還是有將近3成的使用者因為XP不再繼續提供各種更新服務,將面臨更多難以掌控的資安風險。

這次微軟出現的IE零時差漏洞,則影響到各個版本的IE瀏覽器,若進一步了解各個IE瀏覽器版本的市占率,只能運行在XP上的IE 6~IE 8瀏覽器市占率為24.93%,其餘IE 9~IE 11的瀏覽器市占率則為32.35%。從這樣的數據中可以發現,光是IE各版本瀏覽器總市占率就將近6成(57.28%)之多。對於使用IE瀏覽器和XP作業系統的使用者而言,這次的零時差漏洞都帶來嚴重的資安風險。

有許多國家因為來不及升級到更新的版本,只得支付大筆的金額,特地跟微軟再度延長一年的漏洞修補服務。像是英國政府還有大約2萬臺電腦還是XP作業系統,為了確保在完成作業系統升級前的電腦安全性,英國政府另外支付微軟大約555萬英鎊(約新臺幣2.82億元),以延長一年(2015年4月)的保固服務。

除了英國,荷蘭政府還有34,000~40,000臺電腦還在使用XP作業系統,也支付數百萬歐元,將微軟漏洞修補服務延長到2015年1月。因此,除了少數來不及完成作業系統升級且有足夠財力的單位,可以支付天價費用以延長保固外,多數XP使用者則深陷資安泥淖。

也因為還有為數眾多的XP使用者,在這波微軟IE瀏覽器的零時差攻擊時,像是美國國土安全部所屬的US-CERT則緊急出面呼籲,還在使用XP作業系統的使用者,不要使用微軟預設的IE瀏覽器,應該改用其他例如Firefox或Chrome的瀏覽器,以確保瀏覽網站的安全性。

微軟雖然釋出XP版修補程式,但下不為例

原本微軟已經信誓旦旦,將不再針對XP上的任何資安漏洞進行修補,所有在XP上出現的各種資安漏洞,都將成為永遠的零時差漏洞,也希望藉此促使XP使用者升級到Windows 7或8.1等較為安全的作業系統。

不過,微軟在經歷不到一周的時間,緊急在5月1日釋出IE零時差漏洞的修補程式,也包含XP版本在內。微軟在官方部落格表示,因為這次的出現的零時差漏洞,距離4月份最後一次XP漏洞修補的時間點很近,所以此次釋出的IE修補程式,才破例包含XP版本在內。

臺灣微軟指出,針對此次IE弱點,該公司在第一時間就已釋出緊急應變程序,於最短時間內測試完成並釋出正式的安全更新,就是希望將對使用者影響層面降至最低。在此同時,微軟也透過多種策略合作方式與資訊安全夥伴合作,第一時間針對相關風險進行相關的防禦處理,就是希望提供所有使用者最佳的保障。

但是,臺灣微軟再次重申說道:「微軟的產品生命周期支援政策,沒有因為這次提供IE零時差漏洞修補程式後,而有任何改變。」當Windows XP於今年4月8日終止支援後,微軟將不再提供新的安全性更新、非安全性 Hotfix、免費或付費支援服務、電話諮詢、線上技術內容更新。

也就是說,未來使用XP作業系統的使用者,將接收不到來自微軟官方,任何與XP相關的漏洞修補訊息,「除非,使用者已經升級到其他新版的作業系統,例如Windows 7或Windows 8.1等。」臺灣微軟補充表示。

XP已死,新版作業系統可追

微軟Windows XP作業系統在2001年推出,當時核心是承襲自Windows 95。臺灣微軟表示,當年網際網路剛興起,在產品設計上,還無法周全的考慮到,現在各種因為網路而興起的網路犯罪與攻擊手法,也因此,安全性一直是XP多年來最重要的關鍵點。

微軟為了提高作業系統的安全性,在設計Windows Vista時,重新定義了安全性,例如,UAC(User Access Control,使用者存取控制)、IE的受保護模式(Protected Mode),以及應用程式也受到各種安全規範。雖然,在當年出現了許多應用軟體和Vista不相容的情況,但的確為使用者提供了較高的安全保護。

臺灣微軟認為,淘汰不安全的作業系統,就像是淘汰一臺20年的老車,畢竟,老車不論再怎麼改裝,功能和安全性也很難和現代的汽車比較。這也是微軟鼓勵使用者升級到Windows 7或Windows 8.1等比較新版本的作業系統與瀏覽器,藉此提供使用者更安全的使用環境。

在微軟釋出修補程式之前,臺灣趨勢科技資深技術顧問簡勝財表示,該公司客服同仁就接到上百通的電話,來詢問如何因應這波的零時差漏洞;臺灣微軟則說,0800客服中心僅有接獲2通詢問電話,客服中心及企業業務相關同仁,已將緊急應變措施與5月1日釋出的安全更新資訊告知使用者,協助解決問題。

另外,在這波零時差漏洞的資安事件中,也促使不少企業加速作業系統升級的速度,例如,信義房仲集團資訊長蔡祈岩則表示,該公司確認微軟將於今年4月8日終止各種支援後,就已經開始積極因應。他說:「信義房仲集團大約還有1成左右的電腦還是使用XP作業系統,雖然將XP升級到Windows 7是既定的計畫,當XP成為資安孤兒已經是不爭的事實時,類似這樣的XP資安事件,會加速信義房仲集團升級XP作業系統的速度。」

除了民間企業之外,有一些政府機關也積極因應XP終止支援可能帶來的各種資安風險。臺北市政府資訊局主任秘書潘瓊如表示,目前資訊局還有3.7%的電腦仍使用XP,為了怕XP再發生零時差漏洞,甚至可能無法預防的情況下,她說:「資訊局部分已加速升級及汰換作業,市府其他機關,也發文請他們儘快完成升級,並在預算審核時,支持無法升級的電腦進行汰換。」

微軟在多方壓力下,終於在5月1日於官方部落格表示,將提供IE的漏洞修補程式,因為距離XP終止支援的時間很近,這次的IE漏洞修補,也包含XP版本在內。

 


相關報導請參考「XP危機這次有解 但XP仍是企業資安未爆彈」


Advertisement

更多 iThome相關內容