台积电为何迟迟不修补机台Windows漏洞？不是不愿意，其实是无能为力

台积电爆发了台湾史上最大的资安事件，一支WannyCry变种病毒瘫痪了全台各地厂区多条生产线，预估营收损失高达52亿元。台积电在事件发生后，一连多次公告来说明事件原因和影响，甚至台积电总裁魏哲家接同多位主管，亲自对外召开说明会。

台积电启动紧急应变作业，不到三天全台所有产线就完全恢复生产，获得不少好评，但从这次中毒事件，也暴露了台积电内部资安防护上的几项风险。

之所以发生这起资安大事件，第一个出问题是供应商。为何来自供应商的新机台，竟然一出厂就内藏了病毒？台积电在记者会上没有回答这个问题，只说明他们还在追查中，也没有说明问题机台来自哪一家厂商，甚至是哪一种用途的机台都不愿透露。

台积电产线大规模中毒关键6因素

担任第一道资安防线的供应商把关不严，导致病毒夹带在新机台中，潜入了连一支USB都不能带进场的台积电晶圆厂，供应商得负起一定的责任，这是供应商管理的议题，这是造成中毒的第一个关键因素。

但对企业来说，也不能全然将自家安全放在别人的手上。因此，无论如何，新机台进厂，企业也需自有一套检查措施，来确保进场的设备没有问题。台积电也是如此，甚至，魏哲家自己都承认，机台内有病毒不是正常现象，「每个行业都应该自己先对机台设备做防毒处理，这是基本机制。」他在记者会上坦言。

台积电的确有一套严密的新机台检查作业程序，担任第二道防护关卡，而且是已经用于台积电各地厂房，安装了数万次新机台。但在一万次中，就出现了一次SOP操作疏忽，安装人员在扫毒之前，就将新机台先连上网路，这是中毒酿灾的第二个关键因素。

机台离线扫毒并不困难，就算新机台中没有安装防毒软体，防毒软体公司也有USB形式的扫毒棒，只要安装到机台上，就可以自动扫毒，不用在机台上安装程式。

对许多病毒而言，先扫毒再开机，或是先开机再扫毒的防护或侦测效果是一样的，端看防毒软体能否侦测出病毒，但是对于WannyCry勒索软体这支病毒，这两者却有天壤之别。

因为WannyCry勒索软体是一支具有主动感染功能的电脑蠕虫，甚至会像系统预载程式一样，只要已感染的电脑一开机，短短几分钟内，就会开始扫描同一网路上的其他电脑，一发现有SMB漏洞的电脑，就以EternalBlue攻击程式主动入侵感染那一台电脑。台积电维修人员这一个违反SOP的小动作「先连网再扫毒」，就让这支蠕虫病毒，有了可趁之机，开始发动攻击，入侵其他电脑。这是第三个中毒关键因素，遇上一支自动感染的WannyCry蠕虫。

第四个酿灾关键因素是，台积电为了效率，将北、中、南各地厂房都串连到一个大型网路中，称为生产内网。虽然有别于企业OA内网，生产内网不只和外部网路隔离，也和OA内网隔离，但是在生产内网内，对于WannyCry蠕虫所利用的445埠通讯，缺乏有效阻挡的机制，因此WannyCry蠕虫如入无人之境，可以一台台感染、扩散到各地。

第五个中毒关键因素是，台积电许多机台设备采用的作业系统是Windows，尤其这次受害的机台主机是Windows 7。尽管这个Windows不一定是标准版本，而往往可能是厂商自行修改客制后的版本或是嵌入式版本等，但对于SMB这类基本的445埠服务，也大多有支援。因此而成为WannyCry蠕虫可以攻击的对象。

最后一个中毒关键是，这些采用Windows 7系统的机台主机，没有更新到SMB漏洞的修补程式，而让WannyCry可以成功入侵来感染。

这六个中毒关键因素，只要有一个失效，就可以成功阻止感染，也就不会发生如此大规模的灾情。

其中，众人最不解的是，WannyCry勒索软体早在去年5月就引起全球大感染，微软也早就释出了Windows作业系统的SMBv1/SMBv2（Server Message Block）漏洞修补程式。换句话说，就算是WannyCry变种，若都是锁定同样的445埠来发动攻击和感染，只要更新作业系统，就能避免感染。尽管台积电产线满载，想要挪出空档时间停机来升级OS，的确是一件挑战。但病毒现身至今，足足超过了1年，外界对台积电迟迟还未更新Windows 7的SMB漏洞而十分不解。

一般企业OS环境中的电脑，只要排定更新时间，不影响日常作业下，就能更新，若是像是执行关键系统的底层OS要更新程式，则得费一番功夫，先做更新模拟，例如银行圈会先在安装同样软体和系统的测试机上升级，执行一段时间来观察，更新程式是否稳定，才会着手升级线上系统，也就是说，这不是无法执行的难题。

台积电总裁魏哲家坦言，一来得挪出可关闭机台的时机，二来还得找到机台原厂才能想办法进行更新，这是台积电Windows 7更新无法完全到位的原因。

机台OS更新3大难题

不过，台湾趋势科技技术顾问简胜财表示，对高科技制造业而言，想要更新机台OS，不是一件容易的事。常见有三大难题，第一是，许多老旧机台设备往往使用多年，供应商早已不再提供支援，IT人员想要升级，会担心发生问题无人可协助而不敢进行。第二是，企业采购机台设备时，往往是软硬体整套购买，包括内部软体、周边硬体和OS。为了避免影响设备的效能或功能，供应商甚至不会开放OS权限或禁止企业IT人员安装任何软体或工具，除非供应商自行释出更新，否则，科技业IT部门很难对这类机台的OS自行升级。第三种则是许多机台采用的不是标准OS，而是客制后的嵌入式Windows版本，但微软释出的更新往往以标准版为主，这类机台也需要供应商才能处理，IT人员也不敢担保升级后会不会造成机台问题。

甚至一位在南科担任过半导体厂长的业界主管坦言，许多机台厂商在OS上还安装了各自独特的硬体驱动程式，微软更新程式的相容性测试，根本无法涵盖到这类产业专用的特殊硬体驱动程式。贸然升级微软的驱动程式，是否会造成系统冲突而当机，IT往往没人敢担下这个责任。

所以，魏哲家在记者会上才会坦言，台积电机台更新进度的确比较慢，一来得挪出可以关闭机台的时机，二来还得找到机台原厂，才能想办法进行更新，这是台积电Windows 7更新无法完全到位的原因。不过，他还是承诺会想办法找出时机来解决此问题。但在这之前，台积电生产网路环境中的Windows 7机台，仍旧处于不设防的高风险状态。这也更加凸显了，企业得搭配其他防护机制或多重资安措施的重要性，例如防火墙隔离、网路攻击流量侦测、或是更严格的应用程式白名单管制、也能搭配虚拟补丁的措施等，在OS更新空窗期间加强防护。

高科技业者机台设备的更新任务，比起一般企业IT主机或者是OA环境的OS更加困难，不是高科技业者自己不愿意更新，而是无法只靠他们自己的IT团队就能解决。

声明：本文来自IThome，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。