信息來(lái)源:hackernews
繼Adobe 星期二發(fā)布2020年第一個(gè)補(bǔ)丁程序軟件更新后,微軟也發(fā)布了一月份安全公告,警告數(shù)十億用戶有49個(gè)漏洞需要更新。周二發(fā)布的補(bǔ)丁程序的特別之處在于它更新修復(fù)了一個(gè)由美國(guó)國(guó)家安全局(NSA)發(fā)現(xiàn)的被廣泛應(yīng)用于windows10、Server 2016和2019版本中的一個(gè)核心組件。
CVE-2020-0601: Windows CryptoAPI欺詐漏洞
根據(jù)微軟發(fā)布的官方公告:這個(gè)被稱為“’NSACrypt”并定義為CVE-2020-0601的漏洞存在于Crypt32.dll模塊中,該模塊被包含在windows API系統(tǒng),會(huì)對(duì)數(shù)據(jù)進(jìn)行加密以及對(duì)各種“通行證和加密信息傳遞”進(jìn)行解密處理。
但問題在于Crypt32.dll模塊主要采用橢圓曲線加密(ECC)方式(該加密形式主要在SSL/TLS證書中使用),而橢圓曲線加密是目前公鑰加密行業(yè)的標(biāo)準(zhǔn)。NSA在發(fā)布的新聞稿中對(duì)此現(xiàn)象解釋到:攻擊者通過通行證會(huì)破壞windows的加密驗(yàn)證方式,實(shí)現(xiàn)遠(yuǎn)程代碼的執(zhí)行。
攻擊者通過濫用漏洞會(huì)破壞的驗(yàn)證方式有:
-
HTTPS連接
-
簽名文件和電子郵件
-
用戶模式進(jìn)下啟動(dòng)可執(zhí)行簽名代碼
盡管該漏洞的技術(shù)細(xì)節(jié)尚未公開,但微軟證實(shí):若攻擊者成功利用漏洞,會(huì)在用戶不知情的情況下仿冒用戶數(shù)字簽名,進(jìn)行惡意軟件程序安裝,也可以仿冒用戶安裝任何合法軟件。此外,CryptoAPI中的漏洞還可能使遠(yuǎn)程攻擊者更容易冒充網(wǎng)站或?qū)κ苡绊戃浖系男畔⑦M(jìn)行解密。
國(guó)家安全局表示:“此漏洞是我們與安全社區(qū)研究合作的一個(gè)例子,為確保用戶安全,在此之前一個(gè)漏洞已被私下披露進(jìn)行發(fā)布更新,若我們不對(duì)漏洞進(jìn)行修復(fù),其后果會(huì)很嚴(yán)重。
除了威脅等級(jí)被評(píng)為“重要”的Windows CryptoAPI欺詐漏洞之外,微軟還修補(bǔ)了48個(gè)其他漏洞,其中8個(gè)是核心漏洞,其余40個(gè)都是重要漏洞。目前對(duì)于此種漏洞沒有徹底的解決辦法,建議用戶可通過點(diǎn)擊“窗口設(shè)置→更新和安全→窗口更新→單擊“檢查電腦上的更新”來(lái)安裝最新的軟件更新。
Windows系統(tǒng)中的其他重要的RCE漏洞
其中兩個(gè)是會(huì)影響windows遠(yuǎn)程網(wǎng)關(guān)的CVE-2020-0609和CVE-2020-0610,未經(jīng)身份驗(yàn)證的攻擊者可以利用這些網(wǎng)關(guān)通過RDP請(qǐng)求在目標(biāo)系統(tǒng)上執(zhí)行惡意代碼。
“此漏洞采用的是身份預(yù)先認(rèn)證,不需要用戶進(jìn)行交互認(rèn)證。成功利用此漏洞,攻擊者可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼,”windows顧問說。而CVE-2020-0611遠(yuǎn)程桌面客戶端中的一個(gè)關(guān)鍵問題是它可能會(huì)導(dǎo)致反向RDP攻擊,惡意服務(wù)器可以在連接客戶端的計(jì)算機(jī)上執(zhí)行任意代碼。
“要利用這一漏洞,攻擊者需要控制服務(wù)器,然后說服用戶連接到它,而攻擊者還可能危及合法服務(wù)器,在其上托管惡意代碼,并等待用戶連接”微軟顧問說到。
幸運(yùn)的是,微軟本月修復(fù)的漏洞并未發(fā)現(xiàn)被公開披露或任意利用。