本文作者:李勤 大壮旅
1 月 15 日,微软例行公布了 1 月的补丁更新列表,其中有一个漏洞引起了高度关注:这是一个位于CryptoAPI.dll椭圆曲线密码 (ECC) 证书检测绕过相关的漏洞。
厉害的是,美国美国国家安全局(NSA) 随后也发布了关于这个漏洞的预警通告。
通告显示,NSA 独立发现了这个漏洞,并汇报给微软。要知道,NSA 之前可是专门挖掘了微软漏洞进行利用,还搞出了“永恒之蓝”系列。
给不熟悉网络安全的童鞋们回忆下其中的“细思恐极”之处:2017 年 5 月 12 日晚上 20 时左右,全球爆发大规模勒索软件感染事件,用户只要开机上网就可被攻击。五个小时内,包括英国、俄罗斯、整个欧洲以及国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金(有的需要比特币)才能解密恢复文件,这场攻击甚至造成了教学系统瘫痪,包括校园一卡通系统。
上述事件是不法分子通过改造之前泄露的 NSA 黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。
不过,在一些外媒报道中,NSA 表达了自己的诚意:将努力成为网络安全界和私营部门的盟友,并将开始与合作伙伴分享漏洞数据,而不是积累这些数据并用于未来的攻击行动。
按照“说人话”的版本,这次 NSA 发现的是个严重的核心加密组件漏洞,无论你用的是哪版 Windows 都躲不过。一旦这个关键漏洞被不法分子利用,可能会对几个关键的 Windows 安全功能造成广泛的影响,比如 Windows 桌面与服务器的认证,微软 IE/Edge 浏览器负责的敏感信息保护,以及许多第三方应用与工具等。
这个严重漏洞藏在名为 crypt32.dll 的 Windows 组件中。在微软官方语境中,crypt32.dll 所在的模块负责的是“CryptoAPI(加密 API)中的认证与密码信息功能”。在工作中,微软 CryptoAPI 提供的服务能帮助开发者借助密码保护基于 Windows 平台的应用,其功能包括利用数字证书加密与解密数据。
同样的,crypt32.dll 中的这个漏洞遭到滥用后,不法分子就能欺骗与软件捆绑的数字签名。此外,攻击者甚至能借此将恶意软件打扮成人畜无害的正规软件并加上合法软件公司的签名。
从奇安信红雨滴的研究成果中发现,攻击者可以通过构造恶意的签名证书,并以此签名恶意文件来进行攻击,此外由于ECC证书还广泛的应用于通信加密中,攻击者成功利用该漏洞可以实现对应的中间人攻击。
红雨滴的分析报告还显示,值得注意的是指定参数的 ECC 密钥证书的 Windows 版本会受到影响,而这一机制,最早由 WIN10 引入,影响 WIN10,Windows Server2016/2019 版本,而于今年 1 月 14 日停止安全维护的 WIN7/Windows Server 2008 由于不支持带参数的 ECC 密钥,因此不受相关影响。
今日上午 11 时左右,红雨滴的负责人汪列军还对编辑表示,这个漏洞影响很大,正在抓紧分析。安全公司360 方面也表示,将有研究人员出具分析报告。
CERT-CC 安全研究人员 Will Dormann 则提前一天就发了推文称,“明天的微软周二补丁日升级大家可得盯紧了别放松。怎么说呢?这算是我的预感吧。”
在此之前,据说微软已经悄悄地向美国军方和一些高价值客户/目标(那些管理关键互联网基础设施的),以及一些签了保密协议的组织机构推送了一版补丁。简言之,它们不想在今年的首个周二补丁日(美国时间 1 月 14 日)前走漏这一消息。
这意味着,国内外安全公司对此相当重视。
坊间传闻,过去 48 小时内微软憋了大招,才在周二补丁日上推出了非常显眼的升级,而且运行 Windows 的所有组织机构需要第一时间完成升级。
以下是补丁地址
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601
参考来源:
krebsonsecurity,Cryptic Rumblings Ahead of First 2020 Patch Tuesday;
奇安信威胁情报中心,微软核心加密库漏洞(CVE-2020-0601)通告
