Mimo wydania grudniowych łatek, Windows XP wciąż podatne na lukę 0‑day

Jak w każdy drugi wtorek miesiąca, Microsoft wydał wczoraj zbiórpoprawek dla swoich produktów. Grudniowa edycja pozwoliła załatać 24luki, z których cztery zostały uznane za krytyczne. Poprawkidotyczyły takich produktów jak systemy Windows, Internet Explorer,Office i Exchange, a najważniejszą z nich była najpewniej MS13-096,usuwająca możliwość zdalnego uruchomienia kodu poprzez wykorzystanieodpowiednio spreparowanych plików TIFF. I w zasadzie nie byłoby oczym specjalnie pisać, biuletyny bezpieczeństwa dotyczące nawetgorszych luk w produktach Microsoftu publikowane są regularnie comiesiąc – gdyby nie jeden drobny szczegół. Grudniowe wydaniebiuletynów pozostawiło na lodzie użytkowników Windows XP (orazWindows Servera 2003), którzy nie otrzymali poprawki dla groźnej luki0-day.Na szczęście zagrożenie nie jest tak duże, jak w wypadku MS13-096,gdyż do wykorzystania tej podatności trzeba skorzystać z innej, jużwcześniej załatanej luki w Adobe Readerze. Jak informujeWolfgang Kandek, dyrektor techniczny firmy Qualys, ten 0-day pozwalana uzyskanie uprawnień administracyjnych i uruchomienie złośliwegokodu, by przejąć kontrolę nad maszyną. W Sieci pojawiły sięodpowiednio spreparowane pliki PDF, które próbują w ten sposóbzaatakować komputery ofiar, więc Kandek wzywa do jak najszybszegozaktualizowania czytnika PDF-ów od Adobe. [img=windowsxp]Tymczasowym rozwiązaniem powinno być skorzystanie z poradyzawartej w Microsoft Security Advisory 2914486– przekierowania usługi NDProxy na null.sys. Uboczne efekty sąjednak dotkliwe – przestają działać usługi wykorzystująceWindows Telephony API, w tym Remote Access Service, połączenia VPN iwdzwaniany (dial-up) dostęp do sieci.Choć do zakończenia cyklu życia Windows XP zostało jeszcze kilkamiesięcy, decyzja o niepublikowaniu poprawki wraz z innymibiuletynami może wyglądać na przemyślane działanie, mające na celunakłonienie użytkowników do szybszego przejścia na Windows 8.1.Kandek podkreśla zresztą, że nie ma na co czekać – jeśliadministratorzy biznesowych sieci nie zdecydują się na rychłewyeliminowanie XP, to sytuacja stanie się nie do opanowania wmomencie zaprzestania wydawania poprawek.Obecnie w korporacyjnych sieciach nawet 15% maszyn pracuje podkontrolą XP; jeśli obecne trendy się utrzymają, to odsetek tenspadnie w kwietniu 2014 roku do 7,5%. W cieniu problemu z XPpozostaje jednak problem z popularnym w wielu firmach WindowsServerem 2003. Wsparcie dla tego systemu zakończy się w lipcu 2015roku, a mimo to jak podaje Netcraft, jeszcze rok temu webserwerIIS/6.0, domyślnie dostarczany z tą wersją systemu, byłwykorzystywany przez 41% witryn internetowych korzystających ztechnologii Microsoftu – i jest tak mimo tego, że ostatniService Pack dla Windows Servera 2003 wydany był niemal 7 lat temu, astandardowe wsparcie zakończyło się trzy lata temu.[img=xp_projected]Co gorsze, wydaje się, że zastąpienie Windows Servera 2003,szczególnie w małych firmach, będzie zadaniem bardzo trudnym:przejście na Windows Server 2012 wraz z całym zbioremwykorzystywanego przez firmy oprogramowania serwerowego, częstonapisanego 10 lat temu przez ludzi, których w branży już nie ma, możebyć delikatnie mówiąc, kłopotliwe –skoro samo Redmond miało tyleproblemów z uruchomieniem na Windows Serverze 2012 platformypoczty elektronicznej Exchange.