В апреле я опубликовал сообщение об окончании поддержки Windows XP, которое называлось "Отсчет начался: Поддержка Windows XP заканчивается 8 апреля 2014 года". С тех пор многие покупатели, с которыми я разговаривал, уже перевели компьютеры своих организаций или находятся в процессе перехода с Windows XP на более современные операционные системы, такие как Windows 7 или Windows 8.
Во всем этом присутствует срочность, так как после 8 апреля пользователи Windows XP Service Pack 3 (SP3) больше не смогут получать обновления безопасности, несистемные пакеты исправлений, бесплатные либо платные опции технической поддержки, или же онлайн-обновление технического контента. Это значит, что любые новые уязвимости, которые будут обнаружены в Windows XP после "окончания её жизни", не будут обрабатываться новыми пакетами обновлений безопасности от Microsoft. Однако я разговаривал и с теми пользователями, которые, по тем или иным причинам, до 8 апреля не успеют полностью уйти с Windows XP. Были даже и такие, кто утверждал, что уйдет с Windows XP только после того, как перестанет работать аппаратура, на которую она установлена.
Каков риск использования Windows XP после окончания срока её поддержки? Во-первых, взломщики будут иметь преимущество над защитниками, которые решили пользоваться Windows XP, так как более вероятно, что у взломщиков будет больше информации об уязвимостях в Windows XP, чем у защитников. Давайте я объясню, почему так произойдёт.
Когда Microsoft выпускает обновление безопасности, исследователи безопасности и взломщики будут зачастую срочно декомпилировать обновления безопасности, чтобы определить участок кода, содержащий уязвимость, которую устраняет данное обновление. Как только уязвимость найдена, они пытаются написать код, который позволит им применить его в системах, на которых отсутствует данное обновление безопасности. Также они пытаются определить, существует ли данная уязвимость в других продуктах с такими же или подобными функциями. Например, если была найдена какая-либо уязвимость в одной из версий Windows, исследователи изучают, существует ли данная уязвимость в других версиях Windows. Чтобы обеспечить пользователям защиту от взломщиков, которые используют такие методы работы, существует один устойчивый принцип, который используется Центром Обеспечения Безопасности Microsoft (Microsoft Security Response Center, MSRC) при управлении выпусками обновлений безопасности, по которому все обновления безопасности для всех продуктов выходят одновременно. Такая практика обеспечивает пользователям преимущество над взломщиками, так как они получают обновления безопасности для всех продуктов перед тем, как взломщикам удается их декомпилировать.
Но после 8 апреля 2014 года организации, которые продолжат пользоваться Windows XP, больше не будут обладать такого рода преимуществом. В первый же месяц после того, как Microsoft выпустит обновления безопасности для всех поддерживаемых версий Windows, взломщики декомпилируют эти обновления, найдут уязвимости и протестируют Windows XP на их наличие. Если они там будут присутствовать, то взломщики будут пытаться разработать эксплоит, который сможет воспользоваться этими уязвимостями в Windows XP. А так как обновление безопасности больше никогда не будет доступно для Windows XP, чтобы устранить данные уязвимости, то в системе постоянно будет находиться уязвимость "нулевого дня". Как часто такое может случиться? С июля 2012 по июль 2013 года Windows XP упоминалась как система с обнаруженными уязвимостями в 45 бюллетенях по безопасности Microsoft, в 30 из которых также находились Windows 7 и Windows 8.
Кое-кто из тех, с кем я обсуждал такой сценарий дальнейшего развития событий, утверждают, что в Windows 8 имеются встроенные службы защиты, которые затрудняют успешное проведение атаки такого рода эксплоитов. Также существуют антивирусные программы, которые блокируют атаки и обезвреживают вирусы при их обнаружении. Проблема в том, что вы никогда не можете быть уверены в том, что можете полностью доверять достоверной вычислительной базе системы, так как взломщики будут иметь информацию об эксплоитах нулевого дня в Windows XP, что позволит им вывести из строя систему и выполнить тот код, который им нужно. Более того, можно ли при таких обстоятельствах доверять системным API, которые используются в антивирусных программах? Некоторые пользователи, возможно, посчитают нормальным такой уровень доверия целостности системы, однако для большинства он окажется неприемлемым.
Что касается средств защиты, которые предоставлены в Windows XP Service Pack 3, то много лет назад, когда они только были разработаны, они считались ультрасовременными. Но исходя из данных, опубликованных в отчете Microsoft Security Intelligence Report, они больше не являются эффективными в борьбе с современными компьютерными атаками. Данные по количеству заражений Windows XP инфекционным ПО показывают, что уровень заражения Windows XP значительно выше, чем уровень заражений современных операционных систем, таких как Windows 7 и Windows 8.
 |
| Уровень заражений (количество вылеченных компьютеров на 1000 зараженных) операционных систем и пакетов обновлений за четвертый квартал 2012 года по данным Microsoft Security Intelligence Report, часть 14 |
Я уже писал о результатах нового исследования активности эксплоитов, которое было недавно опубликовано: "Тенденции эксплуатации уязвимостей ПО для вредоносных целей - изучение влияния средств защиты ПО на модели эксплуатации уязвимостей". Они свидетельствуют о том, что взломщики усовершенствовали свои атаки для преодоления одного из ключевых средств защиты Windows XP: предотвращение выполнения данных (ПВД) (Data Execution Prevention, DEP). График 3 отображает общеизвестные уязвимости (CVEs) с эксплоитами, которые были бы устранены DEP, если бы данная служба была включена, по сравнению с числом CVEs с эксплоитам, которым удалось обойти DEP. Если не принимать во внимание 2007 и 2008 годы, то можно ясно увидеть убывающую тенденцию к возможности DEP уничтожать эксплоиты "задним числом". Причиной этому не служит снижающаяся эффективность DEP; наоборот, это указывает на то, что взломщики были вынуждены адаптироваться к средам, в которых DEP уже включена - с большими затратами и более сложной структурой. Доказательством служит растущее число CVEs, которые обошли DEP.
 |
| Число CVEs, которые были эксплуатированы с использованием специальных методов |
 |
| Число CVEs, для которых были написаны эксплоиты, которые можно было бы устранить с помощью DEP в сравнении с числом CVEs с эксплоитами, которым удалось обойти DEP |
Новые данные показывают, что большинство угроз, с которыми на сегодняшний день сталкиваются пользователи и организации, значительно отличаются от тех, которые существовали в то время, когда была выпущена Windows XP Service Pack 3. Появление брандмауэра в Windows XP Service Pack 2 и более поздних операционных системах вынудило взломщиков улучшать свои атаки. Сейчас они не так активно используют удалённые службы. Вместо этого они в первую очередь фокусируются на эксплуатации уязвимостей в клиентских приложениях, таких как интернет-браузеры и приложения для чтения документов. Кроме того, за последнее десятилетие взломщики усовершенствовали свои инструменты и методы, что сделало их более эффективными в эксплоитации уязвимостей. В результате встроенные в Windows XP компоненты защиты больше не являются эффективными в борьбе с современными угрозами. Как видно из таблицы ниже, средства защиты, которыми обладает Windows 8, намного лучше средств защиты Windows XP. Более подробную информацию о новых средствах защиты, встроенных в Windows 8, вы можете получить на странице исследования, упоминавшегося выше.
В таблице приведено сравнение компонентов защиты, поддерживаемых Internet Explorer 8 в Windows XP Service Pack 3, с компонентами, поддерживаемыми Internet Explorer 10 в Windows 8. Как видно из таблицы, Internet Explorer 10 в Windows 8 обладает преимуществом благодаря большему количеству улучшений безопасности платформы, которые просто недоступны для Internet Explorer 8 в Windows XP.
| Windows XP SP3 Internet Explorer 8 | Windows 8 Internet Explorer 10 | |
| SEHOP | Нет | Есть |
| Защищенный режим / Protected Mode | Нет | Есть |
| Расширенный защищенный режим / Enhanced Protected Mode (EPM) | Нет | Есть |
| Virtual Table Guard | Нет | Есть |
| ASLR | Ограниченный | Расширенный |
| Рандомизация стэка / Stack randomization | Нет | Есть |
| Рандомизация хипа / Heap randomization | Нет | Есть |
| Рандомизация изображения / Image randomization | Нет | Есть |
| Принудительная рандомизация изображения / Force image randomization | Нет | Есть |
| Восходящая рандомизация / Bottom-up randomization | Нет | Есть |
| Нисходящая рандомизация / Top-down randomization | Нет | Есть |
| Высокоэнтропийная рандомизация / High entropy randomization | Нет | Есть |
| PEB/TEB рандомизация / PEB/TEB randomization | Есть | Есть |
| Усиление защиты хипа / Heap hardening | Ограниченный | Расширенный |
| Шифрование заголовков / Header encoding | Нет | Есть |
| Завершение работы при порче данных / Terminate on corruption | Нет | Есть |
| Контроль содержимого страниц / Guard pages | Нет | Есть |
| Рандомизация размещения / Allocation randomization | Нет | Есть |
| Безопасный разрыв связи / Safe unlinking | Есть | Есть |
| Контрольные суммы заголовков / Header checksums | Есть | Есть |
| /GS | Есть | Есть |
| Расширенный /GS / Enhanced /GS | Нет | Есть |
| SafeSEH | Есть | Есть |
Вывод прост: организации должны быть уверены в целостности своих систем. Уменьшение количества систем с неподдерживаемыми операционными системами может в этом помочь. А поддержка Windows XP заканчивается 8 апреля 2014 года...
Тим РЭЙНС (Tim Rains),
сотрудник Microsoft
http://www.kv.by/content/327560-risk-ispolzovaniya-windows-xp-posle-okonchaniya-sroka-podderzhki-v-aprele-2014-goda
