0
本文作者:李勤 大壯旅
1 月 15 日,微軟例行公布了 1 月的補丁更新列表,其中有一個漏洞引起了高度關(guān)注:這是一個位于CryptoAPI.dll橢圓曲線密碼 (ECC) 證書檢測繞過相關(guān)的漏洞。
厲害的是,美國美國國家安全局(NSA) 隨后也發(fā)布了關(guān)于這個漏洞的預警通告。
通告顯示,NSA 獨立發(fā)現(xiàn)了這個漏洞,并匯報給微軟。要知道,NSA 之前可是專門挖掘了微軟漏洞進行利用,還搞出了“永恒之藍”系列。
雷鋒網(wǎng)給不熟悉網(wǎng)絡(luò)安全的童鞋們回憶下其中的“細思恐極”之處:2017 年 5 月 12 日晚上 20 時左右,全球爆發(fā)大規(guī)模勒索軟件感染事件,用戶只要開機上網(wǎng)就可被攻擊。五個小時內(nèi),包括英國、俄羅斯、整個歐洲以及國內(nèi)多個高校校內(nèi)網(wǎng)、大型企業(yè)內(nèi)網(wǎng)和政府機構(gòu)專網(wǎng)中招,被勒索支付高額贖金(有的需要比特幣)才能解密恢復文件,這場攻擊甚至造成了教學系統(tǒng)癱瘓,包括校園一卡通系統(tǒng)。
上述事件是不法分子通過改造之前泄露的 NSA 黑客武器庫中“永恒之藍”攻擊程序發(fā)起的網(wǎng)絡(luò)攻擊事件。
不過,在一些外媒報道中,NSA 表達了自己的誠意:將努力成為網(wǎng)絡(luò)安全界和私營部門的盟友,并將開始與合作伙伴分享漏洞數(shù)據(jù),而不是積累這些數(shù)據(jù)并用于未來的攻擊行動。
按照“說人話”的版本,這次 NSA 發(fā)現(xiàn)的是個嚴重的核心加密組件漏洞,多版 Windows 都躲不過。一旦這個關(guān)鍵漏洞被不法分子利用,可能會對幾個關(guān)鍵的 Windows 安全功能造成廣泛的影響,比如 Windows 桌面與服務器的認證,微軟 IE/Edge 瀏覽器負責的敏感信息保護,以及許多第三方應用與工具等。
這個嚴重漏洞藏在名為 crypt32.dll 的 Windows 組件中。在微軟官方語境中,crypt32.dll 所在的模塊負責的是“CryptoAPI(加密 API)中的認證與密碼信息功能”。在工作中,微軟 CryptoAPI 提供的服務能幫助開發(fā)者借助密碼保護基于 Windows 平臺的應用,其功能包括利用數(shù)字證書加密與解密數(shù)據(jù)。
同樣的,crypt32.dll 中的這個漏洞遭到濫用后,不法分子就能欺騙與軟件捆綁的數(shù)字簽名。此外,攻擊者甚至能借此將惡意軟件打扮成人畜無害的正規(guī)軟件并加上合法軟件公司的簽名。
雷鋒網(wǎng)從奇安信紅雨滴的研究成果中發(fā)現(xiàn),攻擊者可以通過構(gòu)造惡意的簽名證書,并以此簽名惡意文件來進行攻擊,此外由于ECC證書還廣泛的應用于通信加密中,攻擊者成功利用該漏洞可以實現(xiàn)對應的中間人攻擊。
紅雨滴的分析報告還顯示,值得注意的是指定參數(shù)的 ECC 密鑰證書的 Windows 版本會受到影響,而這一機制,最早由 WIN10 引入,影響 WIN10,Windows Server2016/2019 版本,而于今年 1 月 14 日停止安全維護的 WIN7/Windows Server 2008 由于不支持帶參數(shù)的 ECC 密鑰,因此不受相關(guān)影響。
今日上午 11 時左右,紅雨滴的負責人汪列軍還對雷鋒網(wǎng)編輯表示,這個漏洞影響很大,正在抓緊分析。安全公司360 方面也表示,將有研究人員出具分析報告。
CERT-CC 安全研究人員 Will Dormann 則提前一天就發(fā)了推文稱,“明天的微軟周二補丁日升級大家可得盯緊了別放松。怎么說呢?這算是我的預感吧。”
在此之前,據(jù)說微軟已經(jīng)悄悄地向美國軍方和一些高價值客戶/目標(那些管理關(guān)鍵互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的),以及一些簽了保密協(xié)議的組織機構(gòu)推送了一版補丁。簡言之,它們不想在今年的首個周二補丁日(美國時間 1 月 14 日)前走漏這一消息。
這意味著,國內(nèi)外安全公司對此相當重視。
坊間傳聞,過去 48 小時內(nèi)微軟憋了大招,才在周二補丁日上推出了非常顯眼的升級,而且運行 Windows 的所有組織機構(gòu)需要第一時間完成升級。
以下是補丁地址
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601
參考來源:
krebsonsecurity,Cryptic Rumblings Ahead of First 2020 Patch Tuesday;
奇安信威脅情報中心,微軟核心加密庫漏洞(CVE-2020-0601)通告
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。
