微軟發布了CVE-2020-0601,這是Windows加密庫中的一個非常關鍵的漏洞,在2020年第二個補丁程序的揭開序幕。

背景

1月14日,微軟發布了2020年的第一個補丁程序星期二,其中包含針對Windows較新版本(包括Windows 10和Windows Server 2016/2019)中使用的加密庫中一個嚴重漏洞的更新。美國國家安全局(NSA)通過Microsoft的協調漏洞披露流程將CVE-2020-0601披露給了Microsoft 。

關於Microsoft Windows中嚴重漏洞的廣泛猜測始於1月13日,當時CERT協調中心(CERT / CC)的高級漏洞分析師Will Dormann 暗示一條推文,即人們應“密切關注” Windows NT 中的更新。微軟的2020年1月補丁程序星期二。

Will Dormann@wdormann

 

I get the impression that people should perhaps pay very close attention to installing tomorrow's Microsoft Patch Tuesday updates in a timely manner. Even more so than others.
I don't know... just call it a hunch?
¯\_(ツ)_/¯

 

1,091

12:48 AM - Jan 14, 2020

Twitter Ads info and privacy

此後不久,調查記者布萊恩·克雷布斯Brian Krebs)在推特上發布了一條警告,指出“所有Windows版本中都有一個非常可怕的漏洞”,特別提到該漏洞位於核心加密組件中。

 

 

briankrebs

✔@briankrebs

Sources say Microsoft on Tuesday will fix an extraordinarily scary flaw in all Windows versions, in a core cryptographic component that could be abused to spoof the source of digitally signed software. Apparently DoD & a few others got an advance patch https://krebsonsecurity.com/2020/01/cryptic-rumblings-ahead-of-first-2020-patch-tuesday/ …

 

2,417

6:21 AM - Jan 14, 2020

Twitter Ads info and privacy

 

1,993 people are talking about this

克雷布斯(Krebs)隨後發布了一篇博客,其中包含有關該活動的更多詳細信息。根據Krebs的說法,該漏洞存在於crypt32.dll中crypt32.dll是用於證書和加密消息傳遞功能的Microsoft加密應用程序編程接口(CryptoAPI)。該內容還表明,根據保密協議(NDA),美國軍方和其他高價值客戶的分支機構已收到Microsoft的預先通知和補丁。

1月14日,在與NSA網絡安全總監Anne Neuberger進行媒體通話後,Krebs在推特上發布了更多信息。根據推文,NSA發現了嚴重的加密漏洞,並已報告給Microsoft。該推文進一步解釋說,該漏洞存在於Windows 10和Windows Server 2016中,並且該漏洞“使信任變得脆弱”。

 

 

briankrebs

✔@briankrebs

 

 · Jan 14, 2020

 

 

Replying to @briankrebs

NSA says they discovered the flaw on their own and that Microsoft will report that MS has seen no active exploitation of this vulnerability so far.

 

 

briankrebs

✔@briankrebs

 

NSA's dir. of cybersecurity Anne Neuberger says the critical cryptographic vulnerability resides in Windows 10 and Windows Server 2016, and that the concern about this particular flaw is that it "makes trust vulnerable."

 

191

10:01 PM - Jan 14, 2020

Twitter Ads info and privacy

 

117 people are talking about this

 

分析

CVE-2020-0601是crypt32.dll中的一個欺騙漏洞,crypt32.dll是Microsoft Windows中的一個核心加密模塊,負責在Microsoft的CryptoAPI中實現證書和加密消息傳遞功能。

國家安全局NSA)稱(成功發現此漏洞),成功利用此漏洞將使攻擊者能夠提供似乎來自受信任實體的惡意代碼。分析記錄了一些可能會影響信任驗證的示例:

  • HTTP連接

  • 簽名的文件和電子郵件

  • 作為用戶模式進程啟動的簽名可執行代碼

據報導,由於CVE-2020-0601繞過Windows驗證密碼信任的功能,因此攻擊者可能會將惡意應用程序作為合法的可信代碼傳遞出去,從而使Windows主機面臨風險。攻擊者需要以其他方式破壞系統,以部署利用此漏洞的惡意軟件。他們可能會使用常見的網絡釣魚策略來誘使受信任的用戶與惡意應用程序進行交互,或者可能通過環境中另一台受感染的設備使用中間人攻擊來欺騙被攔截的更新並將其替換為惡意軟件。

 

概念證明

在發布此博客文章時,尚未發布有關此漏洞的概念證明。

 

供應商回應

Microsoft已聲明,到目前為止,尚未發現對該漏洞的積極利用。但是,該漏洞在Microsoft的Security Advisory中被標記為“更有可能利用” 。

 

​解決

Microsoft已發佈軟件更新來解決CVE-2020-0601。如果無法在企業範圍內修補漏洞,則NSA建議“對執行傳輸層安全性驗證或託管關鍵基礎結構(如域控制器,域名系統服務器,虛擬專用網絡服務器等)的修補系統進行優先級排序。”此外,Tenable建議進行修補。直接暴露於互聯網或特權用戶經常使用的系統的端點。

用戶可以創建專門針對此漏洞的掃描。通過新的高級掃描,在“插件”選項卡中,將CVE的高級篩選器設置為等於CVE-2020-0601。

 

識別受影響的系統

發佈時,將在此處顯示用於標識CVE-2020-0601的Tenable插件列表。

可在此處找到Tenable 2020年1月補丁程序星期二更新發布的所有插件的列表。

 

獲取更多信息

加入Tenable社區的Tenable 安全響應團隊

了解有關Tenable的更多信息,Tenable是用於全面管理現代攻擊面的第一個Cyber​​ Exposure平台。

獲得Tenable.io漏洞管理的30天免費試用版

官網連結:

https://www.tenable.com/blog/cve-2020-0601-nsa-reported-spoofing-vulnerability-in-windows-cryptoapi

創泓科技股份有限公司  台北總公司

Uniforce Technology Corporation

台北市內湖區洲子街77號10樓

電話 +886-2-2658-3077 

傳真 +886-2-2658-3097

服務專線 0809-085-580

技 術 客 服    0809-085-580

業 務 部 門    台北 - 222 / 221 / 205 / 226 / 288

技 術 部 門    台北 - 301 / 302 / 303 / 308 / 309

Copyrights © 2019 uniforce Technology Co., Ltd.