继Adobe 星期二发布2020年第一个补丁程序软件更新后,微软也发布了一月份安全公告,警告数十亿用户有49个漏洞需要更新。周二发布的补丁程序的特别之处在于它更新修复了一个由美国国家安全局(NSA)发现的被广泛应用于windows10、Server 2016和2019版本中的一个核心组件。
CVE-2020-0601: Windows CryptoAPI欺诈漏洞
根据微软发布的官方公告:这个被称为“’NSACrypt”并定义为CVE-2020-0601的漏洞存在于Crypt32.dll模块中,该模块被包含在windows API系统,会对数据进行加密以及对各种“通行证和加密信息传递”进行解密处理。
但问题在于Crypt32.dll模块主要采用椭圆曲线加密(ECC)方式(该加密形式主要在SSL/TLS证书中使用),而椭圆曲线加密是目前公钥加密行业的标准。NSA在发布的新闻稿中对此现象解释到:攻击者通过通行证会破坏windows的加密验证方式,实现远程代码的执行。
攻击者通过滥用漏洞会破坏的验证方式有:
- HTTPS连接
- 签名文件和电子邮件
- 用户模式进下启动可执行签名代码
尽管该漏洞的技术细节尚未公开,但微软证实:若攻击者成功利用漏洞,会在用户不知情的情况下仿冒用户数字签名,进行恶意软件程序安装,也可以仿冒用户安装任何合法软件。此外,CryptoAPI中的漏洞还可能使远程攻击者更容易冒充网站或对受影响软件上的信息进行解密。
国家安全局表示:“此漏洞是我们与安全社区研究合作的一个例子,为确保用户安全,在此之前一个漏洞已被私下披露进行发布更新,若我们不对漏洞进行修复,其后果会很严重。
除了威胁等级被评为“重要”的Windows CryptoAPI欺诈漏洞之外,微软还修补了48个其他漏洞,其中8个是核心漏洞,其余40个都是重要漏洞。目前对于此种漏洞没有彻底的解决办法,建议用户可通过点击“窗口设置→更新和安全→窗口更新→单击“检查电脑上的更新”来安装最新的软件更新。
Windows系统中的其他重要的RCE漏洞
其中两个是会影响windows远程网关的CVE-2020-0609和CVE-2020-0610,未经身份验证的攻击者可以利用这些网关通过RDP请求在目标系统上执行恶意代码。
“此漏洞采用的是身份预先认证,不需要用户进行交互认证。成功利用此漏洞,攻击者可以在目标系统上执行任意代码,”windows顾问说。而CVE-2020-0611远程桌面客户端中的一个关键问题是它可能会导致反向RDP攻击,恶意服务器可以在连接客户端的计算机上执行任意代码。
“要利用这一漏洞,攻击者需要控制服务器,然后说服用户连接到它,而攻击者还可能危及合法服务器,在其上托管恶意代码,并等待用户连接”微软顾问说到。
幸运的是,微软本月修复的漏洞并未发现被公开披露或任意利用。
消息来源:thehackernews, 译者:dengdeng,校审:吴烦恼
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接
请登录后发表评论
注册