微软的IE和OFFICE前几个月一直受zero-day攻击之扰。它已经形成了一个惯例循环,微软每月在“补丁星期二”发布新的补丁,而在此前后就会出现一大把新的zero-day攻击。黑客们想要在微软能够对付它之前,最大可能地延长他们的zeroday攻击存在的时间。
微软利用客户反馈,自动工具,以及加入反病毒联盟这些方法来了解每个新的zero-day攻击的波及广度。如果该攻击波及很广,微软会加快正常的补丁周期,并且在下一个补丁星期二之前发布修正补丁。如果攻击没有广泛传播,通常都会是这种情况,微软就会等到正常的发布补丁的星期二到了再发布。花正常的时间开发和测试补丁通常意味着那补丁会很稳定(最近这对微软来说甚至变得很难做到……这就是题外话了)。
当决定按正常周期发布对付一个不是很紧急的zero-day补丁的时候,微软也很痛苦。媒体上到处都是关于最新bug,面对骗局如何自救等等。即使是我最喜欢的dshield.org,也早早加入媒体的队伍,抓着微软在上百万恶意攻击到处蔓延的时候不立刻发布补丁的痛处不放。在最近的几期攻击中,所谓的“百万恶意攻击”波及范围都是不超过100的。
但是别人眼中的自己才是真实的自己,在最新补丁调试阶段微软只有忍受痛苦。无论威胁是否只是适度地传播,消费者在官方发布补丁或者其他补偿保护措施(比如配置查杀程序)可用之前,只有苦苦等待。大多数用户从来不使用替代保护方案,因此在使用官方补丁之前他们仍处于无保护状态。
因此,很多第三方公司开始发布防护补丁,以便在官方补丁发布之前弥补空白。最集中的表现就是,新Zeroday紧急响应组(ZERT)。ZERT由一些杰出的程序员和安全专家组成,他们致力于在官方补丁滞后于大众需要的时候提供补丁。ZERT的Z保护平台允许人们开发和使用第三方微软Windows补丁,并且在卖主提供补丁后允许人们卸载该第三方补丁。
另一些专业人士,比如Jesper Johansson博士,他以前是微软的高级安全员。他建议人们使用能够阻止zero-day代码的补偿防御措施。Jesper最近提出了一些可靠的安全修正程序,它们能够使用组策略快速配置。
微软以及其他很多安全专家警告用户们不要使用第三方补丁以及修正程序。大多数用户都应该认真听取这些意见。首先,第三方补丁以及修正程序通常都没有像官方补丁那样彻底测试过。一个微软的人员曾经告诉我,每个IE安全补丁在发布之前都要经过数以千计的退化测试。
比起它们解决的问题来说,第三方补丁确实造成更多问题。即使是Jesper那优秀的VML保护脚本也曾在打了普通补丁的Windows系列计算机中引起问题。
但是有了官方警告,我觉得任何拥有知识丰富的网管的公司都能够从第三方补丁和针对危机的及时的建议中获得好处,前提是网管有时间彻底测试第三方补丁或修正程序。有些第三方对出现的漏洞等反应很快:例如,Jesper为自己的修正程序编写更新——他一旦注意到问题就会立刻给出建议;ZERT似乎在怎样应用它的补丁上作了正确选择,系统不用修改原始的那个压缩的可执行文件。
我认为,如果一个广泛传播的攻击对你的系统环境有极大危险,你应该考虑测试并使用第三方的补丁或者修正程序。管理层应当意识到第三方补丁的性质,风险并下最终决定。任何新的补丁——甚至是官方补丁——你都应当彻底测试,并且准备测试后的复原方案以防安了补丁后情况更糟。
责任编辑 赵毅 zhaoyi@51cto.com TEL:(010)68476636-8001