Среди опубликованных недавно обновлений безопасности Microsoft был и первый с 2017 года патч для Windows XP. По словам разработчиков, заплатка закрывает уязвимость CVE-2019-0708, которая по своей угрозе оказалась сравнима с эксплойтом SMB-протокола из коллекции Shadow Brokers. Это событие заставило экспертов по безопасности задуматься, какую угрозу сегодня представляют устаревшие системы.

Собственно говоря, в последний раз именно та брешь, что открыла дорогу WannaCry, и заставила программистов обновить код Windows XP. Как рассказал эксперт Microsoft Security Response Center Саймон Поуп (Simon Pope), нынешняя уязвимость обеспечивает злоумышленникам схожую скорость перемещения по инфраструктуре. Специалисты ожидают, что преступники уже в ближайшее время станут применять CVE-2019-0708 в эксплойтах.

В 2017 году эпидемия WannaCry поразила компании по всему миру через два месяца после выхода соответствующего патча. События показали, что обновление проигнорировали сотни тысяч пользователей, причем активность зловреда не прекратилась до сих пор. По словам специалистов по информационной безопасности, в этот раз также нет оснований ждать от аудитории большей осторожности, а значит нынешняя угроза может принести еще немало проблем.

Опасения экспертов связаны с тем, что среди пользователей Windows XP явно немного адептов передовых технологий, которые понимают важность поступающих апдейтов. У многих из них могут быть проблемы с интерфейсом Центра обновлений, особенно при выключенной функции автоматической установки.

По данным Net Marketshare, в настоящий момент эта система установлена примерно на 3,5% Windows-десктопов. Это десятки миллионов машин, многие из которых работают в больницах, на промышленных предприятиях и прочих критически важных объектах. Некоторые заказчики Microsoft, как, например, Пентагон, могут оплачивать корпорации выделенную линию поддержки, которая проконтролирует обновление. Однако пример того же WannaCry показывает, что иногда даже такая высокотехнологичная компания, как Boeing, не справляется с защитой инфраструктуры.

Было бы ошибкой списывать все на техническую безграмотность специалистов — обновление ПО на крупном предприятии или в госпитале может потребовать перестройки критически важных процессов, что в свою очередь резко поднимает стоимость таких работ. Кроме того, по информации аналитиков, киберпреступники в принципе выигрывают гонку вооружений, выпуская эксплойты к известным уязвимостям в среднем за неделю до выхода патчей.

Все это заставляет некоторых экспертов поверить в неизбежность XP-апокалипсиса. В этой ситуации специалистам по информационной безопасности не остается ничего, кроме как убеждать начальство провести аудит защитных систем.

Комментарии (19)


  1. DrunkBear
    17.05.2019 16:45
    +1

    Win Embedded тоже затронута?
    Как часто встроенные девайсы обновляют?


  1. 0xf0a00
    17.05.2019 17:09
    +5

    Так так так… подождите ка. Wanna Cry были подвержены все версии Windows. Так почему автор делает пугало только из Windows XP..? Не понятно, попахивает манипуляцией и пропагандой системы анально-принудительных обновлений Windows 10.
    XP-апокалипсис не наступит, потому что как показала практика, у новых вирусов, новые системные требования… и тут получается курьезный момент, что устарелость XP только ей на руку, т.к. вредоносный код банально не сработает, а для глобальных уязвимостей ее латают тоже.
    Так что, вся статья какое то раздувание слона из мухи.


    1. pomd Автор
      17.05.2019 18:24
      -1

      Уязвимости подвержены все, но на устаревших ОС обновление проходит хуже (пользователи ленятся). Если такой компьютер торчит в Сеть, его можно использовать как плацдарм для последующих атак.

      А можно не использовать — это один из возможных вариантов.


  1. Popadanec
    17.05.2019 17:15
    +1

    Промышленные ПК зачастую до сих пор на ХРюшке просто по тому что нет выбора. Т.к. на более современных ОС, нужное оборудование просто не работает, но на ХР отлично выполняет свой функционал. Тут вопрос скорей к производителю почему не поддерживают новые ОС(т.к. никто в здравом уме не будет менять многомиллионный парк станков из за желания производителя обогатится на ровном месте), но часть из них уже разорилась (видимо как раз из за таких решений эффективных менеджеров).
    P.S. Да и пром. ПК на ХР должны быть наглухо закрыты от интернета.


    1. pomd Автор
      17.05.2019 18:27

      Промышленные сети, по счастью, закрыты от внешних подключений, а админы какой-нибудь заштатной конторы в индийской провинции вполне могут натворить делов.


      1. zxosa
        18.05.2019 10:55

        Ха, у меня на прошлой работе станок должен быть с инетом, что бы производитель мог мониторить его. Производитель китайский, комп на хрюшке. И таких дохрена.


    1. nochkin
      17.05.2019 19:27
      +1

      Не обязательно старой ОС выставлять пятую точку в форточку. Достаточно другого компа в той же сети, на который на почту может прилететь «письмо счастья», пользователю будет интересно что на этой флешке, которую он недавно нашёл или типа того.


      1. qqua
        21.05.2019 14:39

        Можно вспомнить тот же Stuxnet, например


    1. LoadRunner
      18.05.2019 00:28
      +5

      Промышленные ПК зачастую до сих пор на ХРюшке
      У нас DOS, Windows 3.11 и Windows NT 4.0.


    1. corvair
      18.05.2019 04:30
      +1

      Мои XP (измерительные приборы) издавна все за воздушным зазором, перенос данных только на оптических дисках да и то односторонний.


  1. genuimous
    17.05.2019 17:21
    +3

    Дырок в самбе и рдп и иже с ними было столько, что про них не помнит или не знает только самый ленивый. Выставлять наружу эти службы очень опрометчиво во все времена, включая то время, когда XP был актуален. Массовые заражения начались как раз во времена NT5.0 из-за страшно дырявых служб, беззаботно выпущенных в интернет. В середине 2000х машина с XP, выпущенная в интернет без фаервола, заражалась в течение нескольких минут. Поэтому проблема не в плоскости версий ПО, а в плоскости его качества (которое не улучшилось) и в плоскости мероприятий по информационной защите (не выпускать скомпроментированные службы за периметр).


  1. Grigorenkovic
    17.05.2019 18:36
    +1

    Более вероятна «эпидемия» из-за обновлений, которые рабочие процессы блокируют.


  1. 907
    17.05.2019 18:58

    насколько я знаю в банкоматах как раз и применяется до сих пор ХР… И в итоге пострадать может мы, простые пользователи банковских карт…


    1. pomd Автор
      17.05.2019 19:07

      Организаторы таких атак ловят рыбу покрупнее securelist.ru/bolshoe-bankovskoe-ograblenie-apt-kampaniya-carbanak/25106


    1. Popadanec
      17.05.2019 19:19

      От них постепенно избавляются. Не так давно к примеру видел на металлоприёмках кучи сберовских банкоматов.


      1. denkja
        21.05.2019 14:40

        банкомат это такой же компьютер, можно установить любую ОС) хоть линукс


        1. Popadanec
          21.05.2019 15:49

          Они изнашиваются постепенно да и железо там может быть прибито гвоздями.
          На старых Хрюшка уже еле ворочалась. А модернизация такого банкомата может быть дороже нового, т.к. почти всё надо менять.


  1. simplix
    17.05.2019 21:03
    +4

    Статья — сплошная дезинформация. Во-первых уязвимости подвержены не все системы, а только от XP до 2008 R2, а во-вторых, и это главное, система уязвима только если включен RDP, а по умолчанию на клиентских системах он выключен — редко кто настраивает его для удалённой работы или делает сервер терминалов (для XP нужно патчить службу). Дополнительно, если включена проверка на уровне подлинности сети, нужно знать правильные учётные данные для входа. Проблема действительно актуальна только для серверов терминалов — 2003, 2008 и 2008 R2, особенно когда вредоносное ПО запустят на любом из компьютеров в локальной сети, но тут обновление клиентских компьютеров в данной ситуации погоды не сделает. В общем уязвимость серьёзная, но до масштабов EternalBlue не дотягивает, где достаточно было открытого порта SMB1.


  1. Habarovchanin
    21.05.2019 14:40

    По данным Net Marketshare, в настоящий момент эта система установлена примерно на 3,5% Windows-десктопов. Это десятки миллионов машин, многие из которых работают в больницах, на промышленных предприятиях и прочих критически важных объектах
    Относительно данной уязвимости это выглядит как, мягко говоря, передёргивание фактов.
    Сколько из этих «десятков миллионов… работающих в больницах, на промышленных предприятиях и прочих критически важных объектах» торчат RDP?портом наружу в Сеть?
    Промышленные сети, по счастью, закрыты от внешних подключений, а админы какой-нибудь заштатной конторы в индийской провинции вполне могут натворить делов.
    И? Опять же, возвращаясь к описываемой уязвимости, кто пострадает кроме «заштатной конторы»?
    Не обязательно старой ОС выставлять пятую точку в форточку. Достаточно другого компа в той же сети, на который на почту может прилететь «письмо счастья», пользователю будет интересно что на этой флешке, которую он недавно нашёл или типа того.
    Закрывайте периметр, настраивайте права и ограничения, — работа сисадмина в этом и заключается. Ведь новые ОС, по логике данной публикации, «не ленятся обновляться», да?