今天，微軟歷史上最“長壽”的操作系統(tǒng)——Windows XP正式停止了服務(wù)，XP系統(tǒng)不僅是壽命長，而且具有廣泛的用戶基礎(chǔ)，所以這一事件在我國影響巨大。雖然地球人都知道停止服務(wù)意味著安全性不再有保障，但是XP的停服究竟給安全保障帶來哪些具體的威脅，卻是很多人所不知道的。而對于怎樣應(yīng)對，被看做國內(nèi)信息安全發(fā)展的重要機遇，一時間眾說紛紜，亂花漸欲迷人眼。國內(nèi)自主安全廠商安天將從威脅、應(yīng)對兩個方面解讀XP停服事件。

[[111195]]

本篇先談?wù)刋P停服后威脅何在。

首先是系統(tǒng)漏洞得不到官方修補

安天實驗室首席技術(shù)架構(gòu)師肖新光表示，XP停止服務(wù)帶來的威脅首先就是系統(tǒng)漏洞得不到官方修補。XP是一個歷史非常悠久的系統(tǒng)，但是近幾年來，漏洞數(shù)量卻依然呈現(xiàn)一個逐年增加的趨勢，這不僅是漏洞挖掘本身能力的增長所帶來的，更深層的原因卻要歸結(jié)為微軟操作系統(tǒng)的演進過程。從早期的Windows 到WinXP、Vista、Win7等等一直都沿用了NT架構(gòu)，長期的持續(xù)迭代開發(fā)過程和大量復(fù)用的代碼，形成了漏洞的關(guān)聯(lián)關(guān)系，也就造成了漏洞的大面積重疊。

這樣，絕大部分攻擊者，并不是自己從系統(tǒng)中挖掘漏洞，而是在補丁發(fā)布的時候依托新舊版本的補丁對比來尋找它的溢出點。我們做一個假定，比如在著名的MS08-067發(fā)布之后，它可能會把之后的版本和之前的版本放在一起作比對，通過找微軟修改了哪個點就可以反推出這個漏洞在哪里。

所以，XP停止服務(wù)后，微軟持續(xù)對其他Windows發(fā)布補丁，卻使XP失去了官方補丁，黑客通過漏洞比對就能找到XP版本的漏洞所在，攻守平衡性一定程度上被破壞了，這就是帶來的第一方面的問題。

軟件環(huán)境封頂造成的APT攻擊可能性

XP系統(tǒng)停止服務(wù)，還可能造成由于軟件環(huán)境封頂帶來新的安全問題。比如我們?nèi)粘Ｊ褂玫腎E瀏覽器、Office等等。據(jù)了解，在XP停服之后，IE8未來也不會再得到相應(yīng)的系統(tǒng)補丁更新。這樣，IE也可能會是未來攻擊者進行發(fā)力的一個重點。比如去年5月的CVE-2013-1347 ，實際上就是利用了IE漏洞，對特定版本的IE瀏覽器進行了相應(yīng)的攻擊，當然各版本的IE瀏覽器都會有必然的漏洞，但是基于XP上封頂版本的IE瀏覽器可能會遭受更為集中的攻擊。

另一個就是關(guān)于Office版本的封頂問題，XP最高支持到Office 2010，雖然微軟一直在改善其主要應(yīng)用程序內(nèi)建的安全機制，對于2013版以后的版本，會持續(xù)的改善其安全機制，但對于之前版本的Office只發(fā)補丁，卻不會同步最新的安全機制。

肖新光表示，這是一個重要的威脅分布點。根據(jù)安天以往對于APT攻擊的長期跟蹤研究結(jié)果表明，基于Office的格式溢出在APT攻擊中占據(jù)了極其重要的位置。例如：過去我們比較熟悉的APT攻擊事件，從回溯報告上都能夠找到格式溢出的手段。所以這方面需要更加引起重視。

無法獲得新的安全機制的更新

需要肯定的是，微軟在持續(xù)改進安全機制，比如，DEP(數(shù)據(jù)執(zhí)行保護)、ASLR(地址空間布局隨機化)、UAC(用戶帳戶控制)等等。但是這些起點是XP的SP2，后邊的版本是無法加強的，更無法同步更新，XP今后在這種自身的安全能力上都不會再獲得支持。

XP停服事大，而帶來的可能的威脅版圖的變化更大，對于黑產(chǎn)，可能根據(jù)其他版本的漏洞披露找到XP系統(tǒng)未被公布的漏洞，帶來的定向攻擊成功率將大幅增加;得不到官方修正的軟件版本存在的漏洞，包括office的漏洞等，可能使得整個泛化安全威脅上有一定上升，所以我們必須做好應(yīng)對安全威脅風險的準備。