编辑: 于世美 | 2017-11-16 |
1 因应微软公司 Windows XP 作业系统终止支援服务之防护措施建议 行政院国家资通安全会报技术服务中心 1. 前言 微软公司
2001 年推出 Windows XP(以下简称 XP),虽然历经 Windows Vista(以下简称 Vista)、Windows 7(以下简称 Win7)到现在的 Windows 8.1(以 下简称 Win8.1),至今仍为微软公司使用期间最长的作业系统[1].自2008/6/30 起停售 XP 后,随著时间的演进,已进入产品生命周期末端,将於2014/4/8 终止支援(End of Support,简称 EOS),不再针对 XP 提供下述支 援服务[2][3]: 安全性系统更新档 非安全性系统更新档 修补程式协议支援(付费服务) 按事件处理的付费支援服务 产品线上支援及线上技术内容更新服务 为加强 XP 停止支援后之资安防护,谨提供「XP EOS 对资安影响」与「防 护措施建议」等资讯供参. 2. XP EOS 对资安影响 微软公司XP作业系统於2014/4/8终止服务 , 将不再针对XP提供程式修正、 软体更新及线上技术支援服务,对於 XP EOS 可能产生的影响分析如下: XP 作业系统相关应用软体弱点已无法确保可取得更新的修补程式 C XP 作业系统上所安装之 Internet Explorer 浏览器(以下简称 IE),因其修 补程式系透过 XP 作业系统之更新机制进行更新,但XP 作业系统之更 本文件之智慧财产权属行政院资通安全办公室所有.
2 新机制於2014/4/8终止运作 , 因此XP作业系统上所安装之IE於2014/4/8 后也将无法取得更新的修补程式. C 微软公司应用程式开发与执行环境(Runtime)的支援平台也会调整 (如.NET framework 与DirectX),相对应在 XP 上的安全性更新也不再支 援. XP 作业系统已发现弱点数量多 根 CVE Details 弱点资料库统计数允,XP 作业系统已被发现弱点数 量达
721 个(详见图 1)[4],明显高於 Win7 与Win8,继续使用 XP 将可能 容易遭恶意人士利用弱点进行攻击之风险相对较高. 资料来源:CVE Details 弱点资料库[4] 图1 各作业系统已发现弱点数量统计 XP 作业系统恶意程式感染率高 根⑷砉镜谑迤谧恃栋踩楸ūǜ[5],平均每
1000 台XP 电脑扫 描结果含有恶意程式的电脑数量达 9.1 台(0.91%) , 远高於 Win7 与Win8(详 见图 2).此外,微软公司可信赖运算部门总监 Tim Rains 表示,根 经验 , 当微软公司停止支援 XP 更新修补程式后 , 其他新版如 Win7 或Win8 等作业系统仍会持续针对新发现弱点按月释出安全性更新,攻击者可尝试 本文件之智慧财产权属行政院资通安全办公室所有.
3 藉由逆向工程手法,确认新发现弱点是否仍存在於 XP 中,并针对确认存 在之新弱点开发攻击码,使得恶意程式感染率预期大幅攀升至 66%,将可 能导致机敏资料外泄[6]. 资料来源:微软公司第十五期资讯安全情报报告[5] 图2 各作业系统恶意程式感染率趋势 3. 防护措施建议 针对 XP EOS 可能产生之资安影响 , 提供下列防护措施建议供各机关参考. 在经费许可的情况下,建议机关应采用「3.1 加速 XP 升级至 Windows 新 版作业系统」,尽速升级以确保资讯安全. 若机关尚无经费可全面升级 , 建议参考 「3.2 强化使用 XP 电脑之资安防护」 , 根驶ㄏ奚瓒ā⑷硖宸阑ぜ凹嗫胤烙劝踩陨瓒,加强 XP 之安全管 理. 若机关因应用服务限制而仍须使用 XP,建议参考「3.3 保留 XP 映像档与 使用还原卡」,进行日常电脑安全维护,并参考「3.4.透过网路区隔加强管 理使用 XP 电脑」规划与部署资安防护强化措施,针对风险较高之使用 XP 电脑虚拟区域网路(VLAN),加强网路流量监控. 本文件之智慧财产权属行政院资通安全办公室所有.