微軟的IE和OFFICE前幾個月一直受zero-day攻擊之擾。它已經形成了一個慣例循環,微軟每月在“補丁星期二”發布新的補丁,而在此前後就會出現一大把新的zero-day攻擊。黑客們想要在微軟能夠對付它之前,最大可能地延長他們的zeroday攻擊存在的時間。
微軟利用客戶反饋,自動工具,以及加入反病毒聯盟這些方法來了解每個新的zero-day攻擊的波及廣度。如果該攻擊波及很廣,微軟會加快正常的補丁周期,並且在下一個補丁星期二之前發布修正補丁。如果攻擊沒有廣泛傳播,通常都會是這種情況,微軟就會等到正常的發布補丁的星期二到了再發布。花正常的時間開發和測試補丁通常意味著那補丁會很穩定(最近這對微軟來說甚至變得很難做到……這就是題外話了)。
當決定按正常周期發布對付一個不是很緊急的zero-day補丁的時候,微軟也很痛苦。媒體上到處都是關於最新bug,面對騙局如何自救等等。即使是我最喜歡的dshield.org,也早早加入媒體的隊伍,抓著微軟在上百萬惡意攻擊到處蔓延的時候不立刻發布補丁的痛處不放。在最近的幾期攻擊中,所謂的“百萬惡意攻擊”波及范圍都是不超過100的。
但是別人眼中的自己才是真實的自己,在最新補丁調試階段微軟只有忍受痛苦。無論威脅是否只是適度地傳播,消費者在官方發布補丁或者其他補償保護措施(比如配置查殺程序)可用之前,,只有苦苦等待。大多數用戶從來不使用替代保護方案,因此在使用官方補丁之前他們仍處於無保護狀態。
因此,很多第三方公司開始發布防護補丁,以便在官方補丁發布之前彌補空白。最集中的表現就是,新Zeroday緊急響應組(ZERT)。ZERT由一些傑出的程序員和安全專家組成,他們致力於在官方補丁滯後於大眾需要的時候提供補丁。ZERT的Z保護平台允許人們開發和使用第三方微軟Windows補丁,並且在賣主提供補丁後允許人們卸載該第三方補丁。
另一些專業人士,比如Jesper Johansson博士,他以前是微軟的高級安全員。他建議人們使用能夠阻止zero-day代碼的補償防御措施。Jesper最近提出了一些可靠的安全修正程序,它們能夠使用組策略快速配置。
微軟以及其他很多安全專家警告用戶們不要使用第三方補丁以及修正程序。大多數用戶都應該認真聽取這些意見。首先,第三方補丁以及修正程序通常都沒有像官方補丁那樣徹底測試過。一個微軟的人員曾經告訴我,每個IE安全補丁在發布之前都要經過數以千計的退化測試。
比起它們解決的問題來說,第三方補丁確實造成更多問題。即使是Jesper那優秀的VML保護腳本也曾在打了普通補丁的Windows系列計算機中引起問題。
但是有了官方警告,我覺得任何擁有知識豐富的網管的公司都能夠從第三方補丁和針對危機的及時的建議中獲得好處,前提是網管有時間徹底測試第三方補丁或修正程序。有些第三方對出現的漏洞等反應很快:例如,Jesper為自己的修正程序編寫更新——他一旦注意到問題就會立刻給出建議;ZERT似乎在怎樣應用它的補丁上作了正確選擇,系統不用修改原始的那個壓縮的可執行文件。
我認為,如果一個廣泛傳播的攻擊對你的系統環境有極大危險,你應該考慮測試並使用第三方的補丁或者修正程序。管理層應當意識到第三方補丁的性質,風險並下最終決定。任何新的補丁——甚至是官方補丁——你都應當徹底測試,並且准備測試後的復原方案以防安了補丁後情況更糟。