今天，微軟歷史上最“長壽”的操作系統——Windows XP正式停止了服務，XP系統不僅是壽命長，而且具有廣泛的用戶基礎，所以這一事件在我國影響巨大。雖然地球人都知道停止服務意味著安全性不再有保障，但是XP的停服究竟給安全保障帶來哪些具體的威脅，卻是很多人所不知道的。而對于怎樣應對，被看做國內信息安全發展的重要機遇，一時間眾說紛紜，亂花漸欲迷人眼。國內自主安全廠商安天將從威脅、應對兩個方面解讀XP停服事件。

[[111195]]

本篇先談談XP停服后威脅何在。

首先是系統漏洞得不到官方修補

安天實驗室首席技術架構師肖新光表示，XP停止服務帶來的威脅首先就是系統漏洞得不到官方修補。XP是一個歷史非常悠久的系統，但是近幾年來，漏洞數量卻依然呈現一個逐年增加的趨勢，這不僅是漏洞挖掘本身能力的增長所帶來的，更深層的原因卻要歸結為微軟操作系統的演進過程。從早期的Windows 到WinXP、Vista、Win7等等一直都沿用了NT架構，長期的持續迭代開發過程和大量復用的代碼，形成了漏洞的關聯關系，也就造成了漏洞的大面積重疊。

這樣，絕大部分攻擊者，并不是自己從系統中挖掘漏洞，而是在補丁發布的時候依托新舊版本的補丁對比來尋找它的溢出點。我們做一個假定，比如在著名的MS08-067發布之后，它可能會把之后的版本和之前的版本放在一起作比對，通過找微軟修改了哪個點就可以反推出這個漏洞在哪里。

所以，XP停止服務后，微軟持續對其他Windows發布補丁，卻使XP失去了官方補丁，黑客通過漏洞比對就能找到XP版本的漏洞所在，攻守平衡性一定程度上被破壞了，這就是帶來的第一方面的問題。

軟件環境封頂造成的APT攻擊可能性

XP系統停止服務，還可能造成由于軟件環境封頂帶來新的安全問題。比如我們日常使用的IE瀏覽器、Office等等。據了解，在XP停服之后，IE8未來也不會再得到相應的系統補丁更新。這樣，IE也可能會是未來攻擊者進行發力的一個重點。比如去年5月的CVE-2013-1347 ，實際上就是利用了IE漏洞，對特定版本的IE瀏覽器進行了相應的攻擊，當然各版本的IE瀏覽器都會有必然的漏洞，但是基于XP上封頂版本的IE瀏覽器可能會遭受更為集中的攻擊。

另一個就是關于Office版本的封頂問題，XP最高支持到Office 2010，雖然微軟一直在改善其主要應用程序內建的安全機制，對于2013版以后的版本，會持續的改善其安全機制，但對于之前版本的Office只發補丁，卻不會同步最新的安全機制。

肖新光表示，這是一個重要的威脅分布點。根據安天以往對于APT攻擊的長期跟蹤研究結果表明，基于Office的格式溢出在APT攻擊中占據了極其重要的位置。例如：過去我們比較熟悉的APT攻擊事件，從回溯報告上都能夠找到格式溢出的手段。所以這方面需要更加引起重視。

無法獲得新的安全機制的更新

需要肯定的是，微軟在持續改進安全機制，比如，DEP(數據執行保護)、ASLR(地址空間布局隨機化)、UAC(用戶帳戶控制)等等。但是這些起點是XP的SP2，后邊的版本是無法加強的，更無法同步更新，XP今后在這種自身的安全能力上都不會再獲得支持。

XP停服事大，而帶來的可能的威脅版圖的變化更大，對于黑產，可能根據其他版本的漏洞披露找到XP系統未被公布的漏洞，帶來的定向攻擊成功率將大幅增加;得不到官方修正的軟件版本存在的漏洞，包括office的漏洞等，可能使得整個泛化安全威脅上有一定上升，所以我們必須做好應對安全威脅風險的準備。