關于謊言的老諺語也可用來描述信息安全行業：世界上有三種謊言：謊言、該死的謊言以及統計數據。數據的來源、如何計算以及如何分析數據可能會對結論產生很大的影響。期待行業供應商提供經過同行審查的學術質量級研究是非常高的期望，這可能不太合理，并且，很多時候企業需要利用這種最佳信息來做出決策。這并不一定會改變企業結論，但可能會使得企業在得出結論之前，需要仔細評估這些研究數據以查看其如何適用于其企業。Stuxnet利用的Windows Shell漏洞是需要企業仔細評估的漏洞之一。自被公開以來，Windows Shell漏洞已經包含在很多漏洞利用工具包中，并被很多攻擊者利用，盡管微軟在2010年發布了補丁，但這個問題仍然沒有得到解決。

Windows Shell漏洞

漏洞和漏洞利用基本上可被任何攻擊者利用，即使是零日漏洞也不太可能僅限于一個攻擊者。當漏洞利用被包含在漏洞利用工具包中時，攻擊者會繼續利用它直到無法使用。通常攻擊者不會輕易啟用寶貴的零日漏洞，除非它是其實現目標的唯一途徑；因此，普通漏洞將持續被利用很長時間，畢竟企業修復補丁方面通常存在困難。卡巴斯基對2015年和2016年漏洞利用研究時發現，Windows Shell漏洞（也被稱為CVE-2010-2568）目前仍被利用。事實上，卡巴斯基發現，在這兩年期間受攻擊用戶數量來看，Windows Shell漏洞排名第一。

2010年Stuxnet利用的特定漏洞是允許未經授權用戶遠程執行代碼的Windows Shell漏洞；它存在于Windows Explorer的每個版本中。Windows Explorer在.LNK文件中有功能，它可引用其他文件，并可在執行該文件時包含命令行選項。這個.LNK文件被視為可執行文件，在某些情況下，當通過Windows Explorer瀏覽本地或遠程目錄時將會自動執行。這個功能是按設計執行，它是在微軟可信賴計算工作之前開發，而可信賴計算工作專門旨在解決這種不安全舊版Windows功能。由于該漏洞利用濫用合法功能，企業和反惡意軟件供應商難以有效防止這種漏洞，而不會使功能失效。功能的喪失也可能是有些企業沒有修復微軟發布補丁的原因之一。

企業應對措施

正如卡巴斯基所報道的那樣，Windows Shell漏洞并不是攻擊者用來攻擊企業唯一的老漏洞。企業需要部署一些基本信息安全控制來抵御利用這種漏洞的攻擊者，這些步驟也是抵御Stuxnet惡意軟件的基本步驟。企業應該部署有效的漏洞和修復管理程序以確保正在被利用的漏洞被優先處理以及修復；他們還應該定期進行風險/安全評估、安排安全意識培訓以及部署反釣魚和反惡意軟件程序，這些都是企業應該部署的基本信息安全措施。試圖部署高級安全控制及系統可能很困難，但嚴格評估現有安全控制的有效性以及替換現代安全控制可能會對企業安全產生重大改進。

結論

強大的信息安全程序有內置反饋圈，以便在發現問題時可對其進行修復，而無需改變整個程序。企業可能需要采取大膽的行動來解決重大漏洞或應對高影響力安全事件，但強大的信息安全程序應確保部署基本措施，從而為企業正確管理風險，以及確保有效修復和漏洞緩解，以應對Stuxnet利用的Windows Shell漏洞這種持續性問題。