一位安全专家今天指出,网络元素将把他们的Windows XP零日漏洞存入银行,直到明年4月微软停止修复旧操作系统。
Jason Fossen自1998年以来一直是SANS的培训师,也是微软安全领域的专家。
Forson说:“黑市上Windows XP漏洞的平均价格是5万到15万美元,这个相对较低的价格反映了微软的反应。”当一个名为“零日”——的新漏洞在野外被发现时,微软进行了调查,拼凑了一个补丁并发布给了XP用户。
如果这个漏洞严重,被黑客广泛利用,微软将“跳出怪圈”,这意味着它将在周二发布安全更新,而不是通常的每月补丁。
然而,2014年4月8日之后,微软表示将停止使用Windows XP,并停止提供安全更新。唯一的例外是,公司和其他组织,如政府机构,为定制支持支付了过高的费用,这为正式宣布死亡的操作系统提供了关键的安全更新。
由于微软将停止修复XP,黑客将保留他们从现在到4月之间发现的零天,然后在截止日期后将其出售给罪犯或发布在不受保护的个人电脑上。
Forson说:“如果有人发现一个非常可靠且可远程执行的XP漏洞,并在今天发布,微软将在几周内修复它。”但如果他们什么都不做,成本可能会翻倍。"
如果没有微软的任何官方补丁,XP的零日漏洞和相关漏洞可能会持续数月甚至数年,这取决于安全软件检测和隔离此类攻击的能力。
如果弗森的观点是正确的,那么应该会有银行脆弱性的迹象。最明显的是,2013年第四季度和2014年第一季度,公开披露或在现场使用的XP漏洞数量大幅减少。
Forson强调,“(黑客)将有动力坐在他们身上。”
他承认没有先例可以支持Forson的猜测,因为微软上一次放弃一个版本是在2010年7月,当时微软放弃了Windows 2000。但是根据网络应用的数据,Windows 2000当时只提供了全部个人电脑的0.4%。
Windows XP明年退役后将占据更大的份额。根据目前XP的下滑速度,Computerworld预测,到2014年4月底,旧操作系统仍将占全球个人电脑的33%至34%。
这将是Windows 2000退役时份额的80倍。
然而,尽管Windows 2000在退出支持时的份额很小,但仍有报道称它创建并销售了特定版本的零日。
热门Metasploit渗透测试套件的创始人、安全公司Rapid7的首席安全官HD Moore表示,“我听到传言说,在支持期(针对Windows 2000)结束后,将会找到新的零日并出售。”“但最终进入公众视野的例子很少。”
Moore同意Forson的观点,即XP漏洞在2014年4月之后将变得更有价值,但他认为所有Windows漏洞的价值都将大大增加。
摩尔在一封电子邮件中说,“:”(三年前)将新的安全警告备份到Windows 2000,这种情况更常见。" "每次在Windows XP或2003服务器中发现服务器端漏洞,许多人都会怀疑这是否也适用于Windows 2000。我的猜测是,Windows XP的退役将导致所有Windows漏洞的价值略高,尤其是考虑到XP和新平台之间的漏洞缓解差异。"
标签:
免责声明:本文由用户上传,如有侵权请联系删除!