【专家博客】您的控制系统没有获取的关键的SCADA安全补丁

       昨天下午，我接到了另一位安全专家的通知，这让我有一点吃惊。像大家一样，我也认为如果修补了SCADA或ICS系统上的Windows电脑，那么所有可以被修补的存在漏洞的服务都会被修补。但实际上仍有可能存在一些被Windows更新服务遗漏的漏洞。更可怕的是，你又做不了什么。

现场不运行Microsoft Office等微软产品的计算机无法自动接收针对此次两个关键漏洞的更新。
图片来源：Lewis Technical Engineering LLC

欢迎来到Windows通用控件世界

       为了理解存在这种可能的原因，了解一些Windows通用控件的知识会很有帮助。通用控件是微软提供的可执行例程，使不同开发商的应用程序有一个统一的外观和感受。例如，当你将光标放在某个按钮或选项卡上并等待几毫秒时，工具提示控件就会创建小的矩形窗口来显示帮助文本。 通用控件从微软早期就开始使用了。像Word、SQL Server等应用程序都普遍使用了通用控件，许多第三方应用程序的开发商也使用了通用控件。在SCADA和ICS领域，估计多数在Windows平台上的工业服务器或客户端的应用程序软件也都使用了通用控件。

什么情况下你可以打补丁

       当微软公司公布MSCOMCTL.OCX的ActiveX控件存在两个严重漏洞 （MS12-027和MS12-060）时，问题就出现了。

       根据通用漏洞披露（CVE）数据库可知，在2012年4月这些漏洞被利用进行针对性攻击，攻击方式是通过邮件发送特制的恶意RTF文件。

       不久微软公司就在其4月和8月的程序补丁发布中提供了修补这些漏洞的补丁。此时，有趣的事情开始了。

       似乎只有检测到经过授权的微软产品如MS Office时，Windows才提供这些补丁。如果你的电脑没有运行MS Office, Microsoft SQL Server 或 Microsoft BizTalk Server等微软产品，就接收不到补丁。如果你的电脑上的某个关键SCADA应用程序使用了存在漏洞的OCX文件，那你就太不幸了。

       更糟的是，除非检测到合格的微软产品，否则即使是独立更新，安装也会失败。微软基准安全分析器（MBSA）之类的工具也会遗漏这一点，因为一旦MBSA确认你没有安装授权的应用程序（如MS Office），它就不会费心去检查MSCOMCTL.COM文件是否是最新的，就直接退出了。

怎样检查电脑是否有漏洞

       1.搜索C盘，查找文件MSCOMCTL.OCX。

       2. 注意文件的日期戳。

       3. 如果C:\Windows32\System下的文件副本是2012年5月之前的，那么你的电脑就没打过补丁。

       上面的屏幕截图中，文件日期是2012年6月，表明该计算机已经打过补丁了。

       4. 如果其他副本是2012年5月之前的，那么即使该电脑已经打了补丁，相关的应用程序使用的也有可能是存在漏洞的版本，上面的截图中就有一个可能存在漏洞的应用程序（Lotus Notes）。

       像我之前指出的一样，这些Windows通用控件被广泛用在SCADA和ICS产品中。但是，工业自动化环境中却只有很少的电脑使用了Microsoft Office等应用程序。只有少数运行Microsoft SQL Server的计算机可以得到修补，但是99%的SCADA和ICS电脑都无法获取此关键补丁。

       根据MS12-060的常见问答，独立软件供应商（ISVs）的产品如果使用了Windows通用控件应该使用最近的更新对其产品进行重新打包。但是会有多少ICS供应商这样做呢？又有多少控制系统用户会及时安装这些更新呢？
记住，这很可能不仅仅牵扯到一个单独文件的自动更新-而是需要安装一个新的程序包。即使可以获取补丁，也需要对补丁进行测试和认证。我认为SCADA/ICS领域正面临这样一种情况：接下来的一两年内，运行关键系统的计算机会出现大量的没有打过补丁或存在漏洞的情况。我认为这不是个好消息。

修补ICS和SCADA安全失败了

       对我来说，这是修补SCADA和ICS安全的整体策略失败的另一个例子。供应商不愿意提供许多控制产品（尤其是旧产品）的补丁，而用户获取补丁后，又不愿意安装补丁。

       接下来的几个月我打算谈论一下可替代补丁的可选方案。

       根据这一信息，对于厂里的Windows电脑，你有何打算？欢迎分享一切窍门！