Вы задумывались, почему Microsoft выпускает исправления безопасности для всех своих ОС в один день? Бюллетень безопасности Microsoft от 13 мая 2014 года не содержит заплаток для Windows XP, но это вовсе не означает отсутствия новых уязвимостей в этой системе. Сегодня я хочу обсудить риски работы в ОС после окончания срока ее поддержки.

Эта запись продолжает летнюю серию статей о безопасности, начало которой положил рассказ о бюллетенях Microsoft. Поскольку я не пишу об XP, мало кто из постоянных читателей работает дома в этой системе. Предположу, однако, что многие из вас все еще сталкиваются с ней у друзей и знакомых, а также по месту работы или учебы, потому что до сих пор ее доля составляет четверть ОС Windows.

Почему старые защитные механизмы не являются панацеей

С течением времени полезность старых защитных механизмов снижается, но не потому, что они становятся менее эффективны сами по себе. Дело в том, что злоумышленники учатся обходить их, адаптируясь к условиям, в которых эти механизмы работают. Хорошим примером этого тезиса служит DEP (Data Execution Prevention), описание которого простыми словами пока еще есть в справке Windows.

На диаграмме выше синим цветом обозначены уязвимости, для которых были выпущены эксплойты, чье действие свелось бы на нет включенным DEP. Зеленым цветом обозначены уязвимости, эксплуатации которых DEP воспрепятствовать не смог.

Эти данные Microsoft показывают, что начиная с 2009 года, все больше и больше уязвимостей эксплуатируется в обход DEP. Компания также наблюдает схожий тренд с механизмом ASLR, который обходится за счет атак на ресурсы, не укрывшиеся под его зонтом.

Почему в новейших продуктах закрывается меньше уязвимостей

В прошлый раз я показал, что за последние 12 месяцев в новейших клиентских операционных системах Microsoft было закрыто значительно меньше уязвимостей, чем в предыдущих. Конечно, новые ОС меньше распространены, а посему не представляют столь острого интереса для злоумышленников.

Однако Microsoft определенно усиливает защиту, принимая во внимание направления атак на свои продукты, что затрудняет эксплуатацию изъянов в безопасности.

Компания классифицирует уязвимости по типу эксплуатации, и на диаграмме ниже представлено распределение этих классов в клиентских ОС, для которых были выпущены эксплойты с 2006 по 2012 годы.

Здесь хорошо видно, что внимание злоумышленников смещается в сторону эксплуатаций уязвимостей двух классов:

• Use after free. Уязвимость эксплуатируется, когда к объекту происходит обращение после его освобождения. Злоумышленники используют такие уязвимости, чтобы вынудить программы использовать свои значения, добиваться падения программ или удаленного выполнения кода. Именно этот класс чаще всего эксплуатируется в атаках на Internet Explorer. В Windows 8 на борьбу с этим отряжена технология Virtual Table Guard.
• Heap Corruption. Уязвимость эксплуатируется путем повреждения состояния данных приложениях, которые хранятся в его куче (heap). Нередко это достигается путем переполнения буфера кучи, что затем позволяет взять под контроль работу программы. В Windows 8 для противодействия таким атакам предусмотрен механизм Heap Hardening.

Вполне очевидно, что новые защитные меры являются следствием гонки вооружений между изготовителями ПО и злоумышленниками.

Использование самой современной ОС в первую очередь снижает риск эксплуатации уязвимостей Zero Day, о которых компании пока неизвестно, либо она еще не успела выпустить исправление системы безопасности.

Подтверждение этому тезису вы увидите дальше. Если же сравнивать защитные механизмы Windows XP и Windows 8, то получится вот такая картина, которую подробно разобрал Руслан Карманов.

Почему Microsoft выпускает обновления безопасности для всех продуктов в один день

Нередко один бюллетень затрагивает все продукты линейки, выпущенные в разные годы (например, от Windows XP до Windows 8). Понятно, что подготовка исправления и его тестирование на разных продуктах могут занимать различное время, но бюллетени и заплатки выходят строго в один день.

Тем самым Microsoft нивелирует эффект от обратной разработки исправлений, которая неизбежно начинается после их выхода в свет.

Другими словами, если выпускать, например, исправления для Windows 7 через месяц после заплаток для Windows 8, то к этому моменту эксплойт для уязвимостей Windows 7 с XI = 1 уже будет давно готов.

У Microsoft есть статистика по уязвимостям, позволяющим удаленное выполнение кода (RCE). На диаграмме ниже расклад появления эксплойтов к таким уязвимостям в различных продуктах Microsoft относительно времени выхода исправления безопасности.

Обратите внимание на два момента:

1. Количество уязвимостей Zero Day (целеный цвет на диаграмме). Это прозрачный намек на то, дополнительная защита не помешает, а наиболее эффективна она в новейшем ПО.
2. Рост числа эксплойтов после выхода обновления в последние годы. Здесь просматривается влияние обратной разработки обновлений, поэтому устанавливать их нужно как можно скорее.

Как быстро появляются эксплойты

У Microsoft есть чуть более свежие данные по тем же уязвимостям RCE, откуда можно извлечь дополнительные сведения о скорости появления эксплойтов. Красный цвет на диаграмме ниже обозначает уязвимости Zero Day с известными эксплойтами, а оранжевый – эксплойты, появившиеся в течение 30 дней после выхода исправления безопасности. Из рисунка видно, что если эксплойт появляется на свет, то в подавляющем большинстве случаев это происходит в пределах месяца после выхода бюллетеня безопасности (красный и оранжевый цвета в совокупности).

Опросы в предыдущей статье показали, что среди читателей блога автоматически устанавливают обновления 46% владельцев Windows 8.1 и лишь 30% пользователей Windows 7. Остальные выжидают и выбирают….

Если вы не установили исправление в течение месяца после его выхода, с большой вероятностью уже существует вредоносный код, позволяющий проэксплуатировать уязвимость в вашей ОС.

Исходя из своего опыта, могут сказать, что ручной контроль над процессом даже в случае использования Windows Update ведет к задержкам с установкой обновлений. Система-то вовремя показывает уведомление о свежих обновлениях, но мало кто сразу же подрывается их устанавливать…

Будут ли появляться новые эксплойты для Windows XP

Всенепременно! Поскольку Windows XP больше не будет фигурировать в бюллетенях безопасности, мы уже не услышим из уст Microsoft, подвержена ли система той или иной уязвимости. Однако можно косвенно оценить этот аспект. Напомню, что за последние 12 месяцев Windows XP отметилась в 45 бюллетенях, а Windows 7 и 8 / 8.1 в 46.

Windows XP фигурировала в одном бюллетене с Windows 7 и/или Windows 8/8.1 в 38 случаях!

Эти данные свидетельствуют о том, что большинство уязвимостей ОС Windows обнаруживается в коде, унаследованном из предыдущих ОС. Так, Windows 7 и Windows 8/8.1 одновременно присутствовали в одном бюллетене в 44 случаях из 46.

В случае же с конкретными исправлениями безопасности можно очень легко и с минимальной погрешностью определить, подвержена ли Windows XP той или иной уязвимости.

1. Откройте бюллетень безопасности (например, MS14-027).
2. Раскройте узел «Подвержены и не подвержены уязвимости». Под каждой ссылкой есть семизначный номер статьи базы знаний (в этом примере – 2926765).
3. Откройте IE, перейдите в каталог центра обновлений Windows и выполните поиск по номеру статьи базы знаний.

Если в списке продуктов присутствует Windows XP Embedded, вероятность уязвимости в Windows XP будет близка к 100% ввиду общего кода этих ОС.

Я думаю, что сейчас XP является привлекательной мишенью для атак – пользовательская база еще весьма велика, официально обновления уже не выпускаются, а обнаруженные уязвимости поможет проэксплуатировать обратная разработка обновлений.

Так ли страшны эксплойты операционной системы

Не стоит переоценивать значение уязвимостей в операционных системах для злоумышленников. Да, эксплойты ОС включаются в наборы для атаки (это фактически теневое платное ПО), но превалируют в них атаки на уязвимости Java. Специалисты Microsoft проанализировали данные из стороннего источника Contagio Exploit Pack Table и свели их в диаграмму.

У Microsoft есть и свои данные, укладывающиеся в этот тренд, а я уже давно советую читателям блога вовремя обновлять сторонние программы, а Java не ставить без производственной необходимости. По данным Лаборатории Касперского, в 2013 году среди эксплойтов, заблокированных продуктами компании на всех устройствах, 90% были нацелены на уязвимости Java.

Специалисты ЛК утверждают в своем отчете применительно к атакам через Интернет:

Основной способ атаки – через эксплоит-паки – дает злоумышленникам практически гарантированную возможность заражения компьютеров, если на них не установлена защита и имеется хотя бы одно популярное и уязвимое (не обновленное) приложение.

Обратите внимание, что по данным ЛК, процент эксплойтов для ОС Windows и ее компонентов вовсе не нулевой, а если отбросить Java, Windows лидирует в качестве цели для атак. Это значит, что только установка обновления для приложения или ОС гарантирует конструктивное устранение уязвимости и защиту от ее эксплуатации.

Стоит ли устанавливать на Windows XP обновления от версий Windows XP Embedded

Недавно Интернет захлестнула волна сообщений о простом твике реестра, позволяющем устанавливать на Windows XP исправления системы безопасности от различных версий Windows XP Embedded. Соответственно, вопросы на эту тему возникли в комментариях и почте.

Здесь есть два аспекта – лицензионный и технический. С первым все понятно – лицензия такого не позволяет, но это мало волнует домашних пользователей, сидящих на сборках XP. С технической точки зрения общий код XP и версий Embedded действительно позволяет установить исправление и, наверное, даже закрыть уязвимость.

Но надо учитывать, что исправления не проверялись на XP. Microsoft могла тестировать аналогичные исправления для XP, которые она распространяет для корпоративных клиентов, заплативших за дополнительную поддержку. Но, конечно, обсуждаемый сценарий не проверялся, поэтому что-нибудь может пойти не так, и вы действуете исключительно на свой страх риск.

Я давно и последовательно придерживаюсь принципа, что для безопасной и стабильной работы нужно действовать в соответствии с рекомендациям изготовителя ПО, а не вопреки им.

Поэтому я не могу посоветовать вам такой подход. Избрав его, вы все равно будете защищены хуже, чем на Windows 7 или Windows 8.1. 

Как укрепить защиту старой ОС

Даже если вы устанавливаете все обновления, при использовании старых программных продуктов очень полезно не ограничиваться минимальным уровнем рекомендуемой защиты. Дальше я разберу несколько типичных заявления на тему защиты ПК.

А мне наплевать на защиту

Василий Гусев недавно рассказывал, как во время поездки в такси не смог убедить водителя в необходимости иметь антивирус. У того на все был готов ответ: ценных данных у меня нет, винду проще переставить, а мои друзья не дураки – сами распознают подозрительные ссылки или вложения в моих письмах. Перспектива стать частью ботнета его тоже не смущала.

Я уверен, что логически убедить такого человека невозможно, но я бы предложил аналогию в понятной ему плоскости – плюешь на ПДД, ездишь как баран и гордишься этим :) Кстати, об антивирусе.

А у меня есть антивирус

И это правильно! Но нужно понимать, что антивирусы вообще не гарантируют 100% защиту от вредоносных программ, а о новых угрозах узнают с задержкой.  Кроме того, бесплатные антивирусы, работающие на стороне клиента, обеспечивают минимальный уровень защиты, включаясь в дело уже после того, как «зловред» проник на ПК.

В условиях недостаточной защиты ОС нужно применять более широкий арсенал средств для борьбы с вредоносными программами, особенно распространяемыми через Интернет. В идеале их загрузка и запуск должны блокироваться еще до срабатывания резидентного антивируса.

За это у Microsoft отвечает фильтр Smart Screen. В Internet Explorer он использует сочетание базы вредоносных ссылок и репутации файлов, а в Windows 8 способен препятствовать запуску исполняемых файлов, загруженных в любых браузерах. В ЛК тоже уделяют большое внимание развитию веб-антивируса, опирающегося на возможности Kaspersky Security Network. В 2010 году с его помощью блокировалось 60% распространяемых через Интернет «зловредов», в 2012 – 87%, а в 2013 году уже 93%.

Мораль в том, что недостаточную защиту системы нужно усиливать не бесплатным антивирусом, а комплексным защитным решением, которое с помощью облачных технологий блокирует эксплойты еще до их запуска.

А у меня есть голова на плечах

Вообще, голова служит для разных целей – например, некоторые ей просто едят. Конечно, авторы таких заявлений имеют в виду, что они достаточно опытны, чтобы избежать компрометации системы и личных данных. Нередко такие высказывания можно услышать от людей, не пользующихся антивирусом.

Я считаю, что если у человека есть голова на плечах, то он должен понимать слабость защиты устаревшей системы, т.е. предпринимать адекватные меры для ее усиления или переходить на более защищенную ОС.

Например, голову стоит приложить к настройке SRP или установке EMET (для XP – EMET 4.1). SRP исключает запуск запрещенного кода, но надо разбираться в настройке. EMET значительно повышает планку защиты ОС и даже обладает графическим интерфейсом.

Специальный выпуск: О роли головного мозга в защите операционной системы

Резюме

В заключение я хочу повторить некоторые тезисы этой статьи:

• злоумышленники научились обходить старые защитные механизмы
• ко многим уязвимостям эксплойты выходят в течение месяца после выпуска исправлений, чему способствует их обратная разработка
• новые эксплойты для XP обязательно будут включаться в наборы для атаки
• защищать старую систему нужно не бесплатным антивирусом, а как минимум комплексным защитным решением (еще лучше — SRP или EMET)

В новых ОС закрывается меньше уязвимостей, потому что их защитные механизмы совершенствуются с учетом направлений атак. Я всегда пользуюсь новейшими программными продуктами Microsoft, в том числе и потому, что считаю это более безопасной практикой. Однако любую ОС и все популярное ПО необходимо обновлять максимально быстро. У меня включено автоматическое обновление Windows, а Java и Adobe Reader я не устанавливаю, чтобы уменьшить поверхность атаки.

При подготовке статьи я использовал эту литературу:

• Microsoft: Software Vulnerabilities Exploitation Trends (PDF)
• Microsoft Security Intelligence Report: Exploitation Trends
• Kaspersky Security Bulletin 2013. Основная статистика за 2013 год

Дискуссия и опрос

Мой последний опыт работы в XP два года назад закончился публикацией записи 10 причин, по которым я не могу работать в Windows XP и одним из самых жестких холиваров в блоге, а уж оценки комментариев особенно доставляют :) С тех пор я живую XP видел лишь несколько раз, но думаю, что многие из вас сталкиваются с ней чаще, хотя в качестве основной домашней ОС используют единицы (содержимое блога определяет его аудиторию).

Расскажите в комментариях, где вы сталкивались с XP в последний месяц, и какие меры предпринимаются там для ее защиты по окончании срока поддержки. В опросе можно выбирать несколько вариантов ответа, но последний не сочетается с остальными.

Результаты голосования утеряны в связи с прекращением работы веб-сервиса опросов.