台積電遲遲不修補機台Windows漏洞：不是不願意，其實是無能為力！

摘要：早在去年5月WannyCry勒索軟體全球大感染之前，Windows就釋出了可阻斷感染的漏洞修補程序，但為何台積電機台Windows 7主機，遲遲未更新，間接造成了這次全台產線中毒大當機？

台積電爆發了台灣史上最大的資安事件，一支WannyCry變種病毒癱瘓了全台各地廠區多條生產線，預估營收損失高達52億元。 台積電在事件發生後，一連多次公告來說明事件原因和影響，甚至台積電總裁魏哲家接同多位主管，親自對外召開說明會。

台積電啟動緊急應變作業，不到三天全台所有產線就完全恢復生產，獲得不少好評，但從這次中毒事件，也暴露了台積電內部資安防護上的幾項風險。

之所以發生這起資安大事件，第一個出問題是供貨商。 為何來自供貨商的新機台，竟然一出廠就內藏了病毒？ 台積電在記者會上沒有回答這個問題，只說明他們還在追查中，也沒有說明問題機台來自哪一家廠商，甚至是哪一種用途的機台都不願透露。

台積電產線大規模中毒關鍵6因素

擔任第一道資安防線的供貨商把關不岩，導致病毒夾帶在新機台中，潛入了連一支USB都不能帶進場的台積電晶圓廠，供貨商得負起一定的責任，這是供貨商管理的議題，這是造成中毒的第一個關鍵因素。

但對企業來說，也不能全然將自家安全放在別人的手上。 因此，無論如何，新機台進廠，企業也需自有一套檢查措施，來確保進場的設備沒有問題。 台積電也是如此，甚至，魏哲家自己都承認，機台內有病毒不是正常現象，「每個行業都應該自己先對機台設備做防毒處理，這是基本機制。 」他在記者會上坦言。

台積電的確有一套嚴密的新機台檢查作業程序，擔任第二道防護關卡，而且是已經用於台積電各地廠房，安裝了數萬次新機台。 但在一萬次中，就出現了一次SOP操作疏忽，安裝人員在掃毒之前，就將新機台先連上網路，這是中毒釀災的第二個關鍵因素。

機台離線掃毒並不困難，就算新機台中沒有安裝防病毒軟體，防病毒軟體公司也有USB形式的掃毒棒，只要安裝到機台上，就可以自動掃毒，不用在機台上安裝程序。

對許多病毒而言，先掃毒再開機，或是先開機再掃毒的防護或偵測效果是一樣的，端看防病毒軟體能否偵測出病毒，但是對於WannyCry勒索軟體這支病毒，這兩者卻有天壤之別。

因為WannyCry勒索軟體是一支具有主動感染功能的計算機蠕蟲，甚至會像系統預載程序一樣，只要已感染的計算機一開機，短短几分鐘內，就會開始掃描同一網路上的其他計算機，一發現有SMB漏洞的計算機， 就以EternalBlue攻擊程序主動入侵感染那一台計算機。 台積電維修人員這一個違反SOP的小動作「先連網再掃毒」，就讓這支蠕蟲病毒，有了可趁之機，開始發動攻擊，入侵其他計算機。 這是第三個中毒關鍵因素，遇上一支自動感染的WannyCry蠕蟲。

第四個釀災關鍵因素是，台積電為了效率，將北、中、南各地廠房都串連到一個大型網路中，稱為生產內網。 雖然有別於企業OA內網，生產內網不只和外部網路隔離，也和OA內網隔離，但是在生產內網內，對於WannyCry蠕蟲所利用的445埠通訊，缺乏有效阻擋的機制，因此WannyCry蠕蟲如入無人之境，可以一台台感染、擴散到各地。

第五個中毒關鍵因素是，台積電許多機台設備採用的操作系統是Windows，尤其這次受害的機台主機是Windows 7。 儘管這個Windows不一定是標準版本，而往往可能是廠商自行修改客制後的版本或是嵌入式版本等，但對於SMB這類基本的445埠服務，也大多有支持。 因此而成為WannyCry蠕蟲可以攻擊的對象。

最後一個中毒關鍵是，這些採用Windows 7系統的機台主機，沒有更新到SMB漏洞的修補程序，而讓WannyCry可以成功入侵來感染。

這六個中毒關鍵因素，只要有一個失效，就可以成功阻止感染，也就不會發生如此大規模的災情。

其中，眾人最不解的是，WannyCry勒索軟體早在去年5月就引起全球大感染，微軟也早就釋出了Windows操作系統的SMBv1/SMBv2（Server Message Block）漏洞修補程序。 換句話說，就算是WannyCry變種，若都是鎖定同樣的445埠來發動攻擊和感染，只要更新操作系統，就能避免感染。 儘管台積電產線滿載，想要挪出空檔時間停機來升級OS，的確是一件挑戰。 但病毒現身至今，足足超過了1年，外界對台積電遲遲還未更新Windows 7的SMB漏洞而十分不解。

一般企業OS環境中的計算機，只要排定更新時間，不影響日常作業下，就能更新，若是像是執行關鍵系統的底層OS要更新程序，則得費一番功夫，先做更新模擬，例如銀行圈會先在安裝同樣軟體和系統的測試機上升級，執行一段時間來觀察， 更新程序是否穩定，才會著手升級在線系統，也就是說，這不是無法執行的難題。

台積電總裁魏哲家坦言，一來得挪出可關閉機台的時機，二來還得找到機台原廠才能想辦法進行更新，這是台積電Windows 7更新無法完全到位的原因。

機台OS更新3大難題

不過，台灣趨勢科技技術顧問簡勝財表示，對高科技製造業而言，想要更新機台OS，不是一件容易的事。 常見有三大難題，第一是，許多老舊機台設備往往使用多年，供貨商早已不再提供支持，IT人員想要升級，會擔心發生問題無人可協助而不敢進行。 第二是，企業採購機台設備時，往往是軟硬體整套購買，包括內部軟體、周邊硬體和OS。 為了避免影響設備的效能或功能，供貨商甚至不會開放OS許可權或禁止企業IT人員安裝任何軟體或工具，除非供貨商自行釋出更新，否則，科技業IT部門很難對這類機台的OS自行升級。 第三種則是許多機台採用的不是標準OS，而是客制後的嵌入式Windows版本，但微軟釋出的更新往往以標準版為主，這類機台也需要供貨商才能處理，IT人員也不敢擔保升級後會不會造成機台問題。

甚至一位在南科擔任過半導體廠長的業界主管坦言，許多機台廠商在OS上還安裝了各自獨特的硬體驅動程序，微軟更新程序的兼容性測試，根本無法涵蓋到這類產業專用的特殊硬體驅動程序。 貿然升級微軟的驅動程序，是否會造成系統衝突而當機，IT往往沒人敢擔下這個責任。

所以，魏哲家在記者會上才會坦言，台積電機台更新進度的確比較慢，一來得挪出可以關閉機台的時機，二來還得找到機台原廠，才能想辦法進行更新，這是台積電Windows 7更新無法完全到位的原因。 不過，他還是承諾會想辦法找出時機來解決此問題。 但在這之前，台積電生產網路環境中的Windows 7機台，仍舊處於不設防的高風險狀態。 這也更加凸顯了，企業得搭配其他防護機制或多重資安措施的重要性，例如防火牆隔離、網路攻擊流量偵測、或是更嚴格的應用程序白名單管制、也能搭配虛擬補丁的措施等，在OS更新空窗期間加強防護。

高科技業者機台設備的更新任務，比起一般企業IT主機或者是OA環境的OS更加困難，不是高科技業者自己不願意更新，而是無法只靠他們自己的IT團隊就能解決。

來源：ithome

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！