• 手机下载链向财经官方IOS和安卓版APP

      链向财经APP下载

      使用环境
      iOS 9.0及以上
      Android 4.3及以上

    • 链向财经官方微信公众号

      链向财经官方微信公众号

      微信号:LXcaijing

    • 链向财经官方QQ群

      链向财经官方QQ群

      群号:570828491

    • 意见反馈
    • 回到顶部
    • 7798
    • 3
    • 喜欢
    • 举报
    细思恐极:美国NSA独立发现微软严重漏洞

    来源:碳链价值

    美国美国国家安全局(NSA)近日发布微软漏洞预警通告,其中最受关注的就是一个位于 CryptoAPI.dll 椭圆曲线密码 ( ECC ) 证书检测绕过相关的漏洞。

    作者:李勤、大壮旅

     

    1 月 15 日,微软例行公布了 1 月的补丁更新列表,其中有一个漏洞引起了高度关注:这是一个位于 CryptoAPI.dll 椭圆曲线密码 ( ECC ) 证书检测绕过相关的漏洞。

     

    厉害的是,美国美国国家安全局(NSA) 随后也发布了关于这个漏洞的预警通告。

     

    通告显示,NSA 独立发现了这个漏洞,并汇报给微软。要知道,NSA 之前可是专门挖掘了微软漏洞进行利用,还搞出了“永恒之蓝”系列。

     

    宅客频道给不熟悉网络安全的童鞋们回忆下其中的“细思恐极”之处:2017 年 5 月 12 日晚上 20 时左右,全球爆发大规模勒索软件感染事件,用户只要开机上网就可被攻击。五个小时内,包括英国、俄罗斯、整个欧洲以及国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金(有的需要比特币)才能解密恢复文件,这场攻击甚至造成了教学系统瘫痪,包括校园一卡通系统。

     

    上述事件是不法分子通过改造之前泄露的 NSA 黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。

     

    不过,在一些外媒报道中,NSA 表达了自己的诚意:将努力成为网络安全界和私营部门的盟友,并将开始与合作伙伴分享漏洞数据,而不是积累这些数据并用于未来的攻击行动。

     

    按照“说人话”的版本,这次 NSA 发现的是个严重的核心加密组件漏洞,很多版 Windows 都躲不过。一旦这个关键漏洞被不法分子利用,可能会对几个关键的 Windows 安全功能造成广泛的影响,比如 Windows 桌面与服务器的认证,微软 IE/Edge 浏览器负责的敏感信息保护,以及许多第三方应用与工具等。

     

    这个严重漏洞藏在名为 crypt32.dll 的 Windows 组件中。在微软官方语境中,crypt32.dll 所在的模块负责的是“CryptoAPI(加密 API)中的认证与密码信息功能”。在工作中,微软 CryptoAPI 提供的服务能帮助开发者借助密码保护基于 Windows 平台的应用,其功能包括利用数字证书加密与解密数据。

     

    同样的,crypt32.dll 中的这个漏洞遭到滥用后,不法分子就能欺骗与软件捆绑的数字签名。此外,攻击者甚至能借此将恶意软件打扮成人畜无害的正规软件并加上合法软件公司的签名。

     

    宅客频道从奇安信红雨滴的研究成果中发现,攻击者可以通过构造恶意的签名证书,并以此签名恶意文件来进行攻击,此外由于 ECC 证书还广泛的应用于通信加密中,攻击者成功利用该漏洞可以实现对应的中间人攻击。

     

    红雨滴的分析报告还显示,值得注意的是指定参数的 ECC 密钥证书的 Windows 版本会受到影响,而这一机制,最早由 WIN10 引入,影响 WIN10,Windows Server2016/2019 版本,而于今年 1 月 14 日停止安全维护的 WIN7/Windows Server 2008 由于不支持带参数的 ECC 密钥,因此不受相关影响。

     

    今日上午 11 时左右,红雨滴的负责人汪列军还对宅客频道编辑表示,这个漏洞影响很大,正在抓紧分析。安全公司 360 方面也表示,将有研究人员出具分析报告。

     

    CERT-CC 安全研究人员 Will Dormann 则提前一天就发了推文称,“明天的微软周二补丁日升级大家可得盯紧了别放松。怎么说呢?这算是我的预感吧。”

     

    在此之前,据说微软已经悄悄地向美国军方和一些高价值客户/目标(那些管理关键互联网基础设施的),以及一些签了保密协议的组织机构推送了一版补丁。简言之,它们不想在今年的首个周二补丁日(美国时间 1 月 14 日)前走漏这一消息。

     

    这意味着,国内外安全公司对此相当重视。

     

    坊间传闻,过去 48 小时内微软憋了大招,才在周二补丁日上推出了非常显眼的升级,而且运行 Windows 的所有组织机构需要第一时间完成升级。

     

    以下是补丁地址

     

    https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601

     

    参考来源:

     

    krebsonsecurity,Cryptic Rumblings Ahead of First 2020 Patch Tuesday;

     

    已有0人喜欢

    本文经授权发布,不代表链向财经立场。如若转载请标注文章来源:链向财经(www.chainfor.com)

    为了您能更及时的获取到最新热门资讯,请关注链向财经微信公众号:LXcaijing

    发表评论
    请先 注册 / 登录 后参与评论
    已有3发布
      已查看全部
      举报
      • 内容涉嫌抄袭,代表月亮消灭他/她
      • 发布不实消息,画个圈圈诅咒他/她
      • 诱导投资,放毛毛,揍他/她
      • 侵犯名誉、隐私,这个借一步说话
      • 其他
      具体描述(选填):
      取消提交