當 Windows XP 的支援終止,Java 6和 Windows XP 加起來每年會出現160個無修補的漏洞
我在2013年9月說過,關於Java 6的安全形勢已經變得更壞。而趨勢科技最近所發表的2013年威脅綜合報告裡,有一項是我們觀察目前針對Java漏洞攻擊的狀況。從報告裡可以證實,在2013年底,Java 6的安全形勢確實變得更糟。如果將關於Java 6的攻擊狀況放到Windows XP身上,當它在2014年4月後停止支援,可以遇見在2014年會出現相當嚴峻的形勢。趨勢科技的2013年威脅綜合報告裡顯示,當Windows XP的支援終止,Java 6和Windows XP加起來每年會出現160個無修補的漏洞,這讓人感覺到恐怖風暴來臨前的烏雲密佈。
首先,2013年威脅綜合報告裡提到什麼樣目前的Java 6狀況?趨勢科技的分析顯示,2013年針對Java的攻擊佔了所有網頁攻擊的91%。這並不令人驚訝,因為整個2013年影響所有版本Java的零時差漏洞很多。趨勢科技的分析還指出,到了2013年底,針對Java的所有攻擊裡,有50%使用兩個Java 6上不曾被修補的漏洞:CVE-2013-2465(30%)和CVE-2013-2463(20%)。這兩個漏洞都比較新,是在甲骨文公司的2013年6月季度修補程式發佈後才比較為人所知,攻擊者針對它們的攻擊在2013年8月才出現。這些漏洞在這樣短的時間內就佔據了攻擊「市場」的50%,這事實也告訴了我們,攻擊者知道攻擊永遠不會被修補的漏洞是多麼有價值。
有充分的理由讓攻擊者有這種的轉變。趨勢科技在報告裡指出,當對Java 6的支援終止後,有76%的組織還在使用它。而從那之後,這數目是否降低也是很令人懷疑。而無修補程式的Java 6漏洞數量只會越來越多,因為它們不會被修補了。到了2013年第三季底,趨勢科技注意到已經有31個未修補的Java 6漏洞。包括那兩個甲骨文公司的修補程式發佈,因此我們可以大致推估出,每年大約會有60個未修補的Java 6漏洞出現。
這些告訴了我們在Windows XP四月終止支援後會發生什麼事。首先,Windows XP在2013年底時仍佔所有使用中Windows系統的30%。就跟Java 6一樣,Windows在支援結束後仍會被廣泛的使用,開始累積未修補的漏洞。我們可以猜一下,當Windows XP結束支援,有多少漏洞會被發現而且不會被修補,就跟Java 6和CVE- 2013 -2465及CVE -2013- 2463漏洞一樣。
為了做出預測,我在2013年分析了微軟安全性公告資料內的Windows漏洞。我看到有104個安全漏洞影響Windows XP。其中88個也會影響Windows Vista和/或Windows 7(我沒算入Windows 8)。換句話說,如果Windows XP在2013年就已經停止支援,我們在微軟自己的安全性公告裡就會看到有88個未修補的漏洞。這還不包括其他由獨立研究人員所發現的漏洞。如果我們估計獨立研究人員每月會發現一個漏洞(非常保守的),那麼很合理的,一年推估會有約100個未修補的漏洞出現在Windows XP上。不是每個漏洞都會引來攻擊,但每年100個也是極大的漏洞數量了。
潛在目標的數量太大了。Windows XP可能還會佔所有連網系統的20%以上好一段時間。而這情況在某些產業會更加嚴重。據估計,有95%的提款機還在運行Windows XP,而且並不急於改變這狀況。我在微軟的同事Tim Rains指出:「我已經和一些因為某些原因而將不會在4月8日前完全自Windows XP轉移的客戶談過。有些客戶甚至說,直到硬體支撐不下去前,他們不會從Windows XP轉移」。有大量的未修補漏洞,加上可能被影響的大量潛在目標,這是相當可怕的一件事。
考量到這一切,加上我們在Java 6上所看到的經驗,只要一旦出現,攻擊者將會積極地攻擊Windows XP上的未修補漏洞。加上有許多Windows XP電腦上都還安裝Java 6,這些系統很容易就被Java 6和Windows XP所加起來的未修補漏洞影響。根據我的計算,這加起來是大約每年160個未修補的漏洞。
趨勢科技的2014年預測裡提到,攻擊未修補漏洞會是之後幾年的一大趨勢。