本文作者：李勤 大壯旅

1 月 15 日，微軟例行公布了 1 月的補(bǔ)丁更新列表，其中有一個(gè)漏洞引起了高度關(guān)注：這是一個(gè)位于CryptoAPI.dll橢圓曲線密碼 (ECC) 證書(shū)檢測(cè)繞過(guò)相關(guān)的漏洞。

厲害的是，美國(guó)美國(guó)國(guó)家安全局（NSA） 隨后也發(fā)布了關(guān)于這個(gè)漏洞的預(yù)警通告。

通告顯示，NSA 獨(dú)立發(fā)現(xiàn)了這個(gè)漏洞，并匯報(bào)給微軟。要知道，NSA 之前可是專門(mén)挖掘了微軟漏洞進(jìn)行利用，還搞出了“永恒之藍(lán)”系列。

雷鋒網(wǎng)給不熟悉網(wǎng)絡(luò)安全的童鞋們回憶下其中的“細(xì)思恐極”之處：2017 年 5 月 12 日晚上 20 時(shí)左右，全球爆發(fā)大規(guī)模勒索軟件感染事件，用戶只要開(kāi)機(jī)上網(wǎng)就可被攻擊。五個(gè)小時(shí)內(nèi)，包括英國(guó)、俄羅斯、整個(gè)歐洲以及國(guó)內(nèi)多個(gè)高校校內(nèi)網(wǎng)、大型企業(yè)內(nèi)網(wǎng)和政府機(jī)構(gòu)專網(wǎng)中招，被勒索支付高額贖金（有的需要比特幣）才能解密恢復(fù)文件，這場(chǎng)攻擊甚至造成了教學(xué)系統(tǒng)癱瘓，包括校園一卡通系統(tǒng)。 

上述事件是不法分子通過(guò)改造之前泄露的 NSA 黑客武器庫(kù)中“永恒之藍(lán)”攻擊程序發(fā)起的網(wǎng)絡(luò)攻擊事件。

不過(guò)，在一些外媒報(bào)道中，NSA 表達(dá)了自己的誠(chéng)意：將努力成為網(wǎng)絡(luò)安全界和私營(yíng)部門(mén)的盟友，并將開(kāi)始與合作伙伴分享漏洞數(shù)據(jù)，而不是積累這些數(shù)據(jù)并用于未來(lái)的攻擊行動(dòng)。

按照“說(shuō)人話”的版本，這次 NSA 發(fā)現(xiàn)的是個(gè)嚴(yán)重的核心加密組件漏洞，多版 Windows 都躲不過(guò)。一旦這個(gè)關(guān)鍵漏洞被不法分子利用，可能會(huì)對(duì)幾個(gè)關(guān)鍵的 Windows 安全功能造成廣泛的影響，比如 Windows 桌面與服務(wù)器的認(rèn)證，微軟 IE/Edge 瀏覽器負(fù)責(zé)的敏感信息保護(hù)，以及許多第三方應(yīng)用與工具等。

這個(gè)嚴(yán)重漏洞藏在名為 crypt32.dll 的 Windows 組件中。在微軟官方語(yǔ)境中，crypt32.dll 所在的模塊負(fù)責(zé)的是“CryptoAPI（加密 API）中的認(rèn)證與密碼信息功能”。在工作中，微軟 CryptoAPI 提供的服務(wù)能幫助開(kāi)發(fā)者借助密碼保護(hù)基于 Windows 平臺(tái)的應(yīng)用，其功能包括利用數(shù)字證書(shū)加密與解密數(shù)據(jù)。

同樣的，crypt32.dll 中的這個(gè)漏洞遭到濫用后，不法分子就能欺騙與軟件捆綁的數(shù)字簽名。此外，攻擊者甚至能借此將惡意軟件打扮成人畜無(wú)害的正規(guī)軟件并加上合法軟件公司的簽名。

雷鋒網(wǎng)從奇安信紅雨滴的研究成果中發(fā)現(xiàn)，攻擊者可以通過(guò)構(gòu)造惡意的簽名證書(shū)，并以此簽名惡意文件來(lái)進(jìn)行攻擊，此外由于ECC證書(shū)還廣泛的應(yīng)用于通信加密中，攻擊者成功利用該漏洞可以實(shí)現(xiàn)對(duì)應(yīng)的中間人攻擊。

紅雨滴的分析報(bào)告還顯示，值得注意的是指定參數(shù)的 ECC 密鑰證書(shū)的 Windows 版本會(huì)受到影響，而這一機(jī)制，最早由 WIN10 引入，影響 WIN10，Windows Server2016/2019 版本，而于今年 1 月 14 日停止安全維護(hù)的 WIN7/Windows Server 2008 由于不支持帶參數(shù)的 ECC 密鑰，因此不受相關(guān)影響。

今日上午 11 時(shí)左右，紅雨滴的負(fù)責(zé)人汪列軍還對(duì)雷鋒網(wǎng)編輯表示，這個(gè)漏洞影響很大，正在抓緊分析。安全公司360 方面也表示，將有研究人員出具分析報(bào)告。

CERT-CC 安全研究人員 Will Dormann 則提前一天就發(fā)了推文稱，“明天的微軟周二補(bǔ)丁日升級(jí)大家可得盯緊了別放松。怎么說(shuō)呢？這算是我的預(yù)感吧。”

在此之前，據(jù)說(shuō)微軟已經(jīng)悄悄地向美國(guó)軍方和一些高價(jià)值客戶/目標(biāo)（那些管理關(guān)鍵互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的），以及一些簽了保密協(xié)議的組織機(jī)構(gòu)推送了一版補(bǔ)丁。簡(jiǎn)言之，它們不想在今年的首個(gè)周二補(bǔ)丁日（美國(guó)時(shí)間 1 月 14 日）前走漏這一消息。

這意味著，國(guó)內(nèi)外安全公司對(duì)此相當(dāng)重視。

坊間傳聞，過(guò)去 48 小時(shí)內(nèi)微軟憋了大招，才在周二補(bǔ)丁日上推出了非常顯眼的升級(jí)，而且運(yùn)行 Windows 的所有組織機(jī)構(gòu)需要第一時(shí)間完成升級(jí)。

以下是補(bǔ)丁地址

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601

參考來(lái)源：

krebsonsecurity，Cryptic Rumblings Ahead of First 2020 Patch Tuesday；

奇安信威脅情報(bào)中心，微軟核心加密庫(kù)漏洞（CVE-2020-0601）通告

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。