微软于本周二发布了一项安全更新,修复影响Windows操作系统的49个漏洞,其中包括一个由美国国家安全局上报的“影响广泛的加密漏洞”。
美国国家安全局(NSA)网络安全主管Anne Neuberger在近期的新闻发布会上确认了这一事实,表示该漏洞是由NSA发现并报告的。
CVE-2020-0601
该漏洞被标记为CVE-2020-0601,影响了Windows操作系统中处理加密操作的核心组件Windows CryptoAPI。
根据发布的安全警告,“Windows CryptoAPI (Crypt32.dll)验证椭圆曲线加密(ECC)证书的方式存在欺骗漏洞。”
微软表示,攻击者可以利用这个漏洞“对恶意的可执行文件进行签名,使其看起来像是来自合法来源”。
但除了伪造文件签名外,该漏洞还可以用来伪造用于加密通信的数字证书。
“这个漏洞一旦利用成功就可以让攻击者进行中间人攻击,非法解密用户的敏感通信信息。”
据微软称,该漏洞影响了Windows 10
、Windows Server 2019
和Windows Server 2016
操作系统。
微软和美国国家安全局都表示,在今天的补丁发布之前,他们没有看到任何利用这个漏洞进行攻击的痕迹。
国家安全局
这个漏洞被认为是此次安全修补最糟糕的漏洞。Neuberger表示,出于漏洞的严重性,该机构并没有像以前那样囤积漏洞(用于该渗透攻击),而是采取了“前所未有的步骤”,直接上报漏洞。
CVE-2020-0601
是微软首次将漏洞报告明确归功于美国国家安全局。不过在此之前其他网络安全机构也曾向微软报告重大漏洞。例如,英国国家网络安全中心在2019年5月向微软报告了现在臭名昭著的BlueKeep漏洞。
Neuberger表示,美国国家安全局报告这个漏洞代表该机构的一个重大改变,以后也会有其他漏洞陆续上报。
除了向微软报告漏洞外,在今天的官方补丁发布之前,NSA还向关键基础设施运营商发送了一份预先通知,让他们知道即将发布的重大系统修复。
在晚些时候,NSA还发布了自己的安全建议,包括如何检测利用和防御,并敦促IT人员加快安装周二发布的安全更新。
美国国土安全部的网络安全和基础设施安全局(DHS CISA)今天也将发布一项紧急指令,提醒美国私营企业和政府单位尽快安装最新的Windows操作系统补丁。
值得注意的是,多家机构的通告中表示,漏洞会影响Windows的RDP客户端(所有版本)以及RDP Gateway Server(Server 2012、2016、2019),可让攻击者无需身份验证就进行远程命令执行(通过欺骗用户连接到恶意服务器来利用)。
Cybereason的联合创始人兼首席技术官Yonatan Striem-Amit告诉ZDNet:“根据我们目前掌握的信息,所有用户应绝对确保补丁已被安装,这比任何时候都关键。”
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场:https://nosec.org/home/detail/3949.html 来源:https://www.zdnet.com/article/microsoft-fixes-windows-crypto-bug-reported-by-the-nsa/
来源:freebuf.com 2020-01-15 18:03:49 by: 白帽汇
请登录后发表评论
注册