微软核心加密库漏洞(CVE-2020-0601)通告

作者:深圳市网安计算机安全检测技术有限公司 | 国际 2020/01/15 23:12:40 654

一、事件背景

2020 年1月15日,微软例行公布了1月的补丁更新列表,在其中存在一个位于CryptoAPI.dll椭圆曲线密码(ECC)证书检测绕过相关的漏洞,同时紧随其后的是美国NSA发布的相关漏洞预警通告,其中通告显示,该漏洞为NSA独立发现,并汇报给微软。这对于专门挖掘微软漏洞进行利用的NSA来说,实属罕见。

攻击者可以通过构造恶意的签名证书,并以此签名恶意文件来进行攻击,此外由于ECC证书还广泛的应用于通信加密中,攻击者成功利用该漏洞可以实现对应的中间人攻击。


NSA发布的预警通告


二、漏洞概述


三、影响范围

目前,支持使用带有指定参数的ECC密钥的证书的Microsoft Windows版本会受到影响,包括了Windows 10、Windows Server 2016/2019以及依赖于Windows CryptoAPI的应用程序。而Windows 10 之前的版本,如Windows 7、Windows Server 2008 R2 等均不受该漏洞的影响。


四、缓解措施

快速采用补丁是目前唯一已知的缓解措施。尽管尚未出现公开的攻击方式和案例,但建议大家及时安装安全更新。更新后,当检测到有人试图利用CVE-2020-0601进行攻击时,系统将在每次重新启动Windows日志后在事件查看器中生成事件ID 1。


五、安全建议

除了安装修补程序之外,企业还可以采取其他措施保护端点,比如:

1、从网络流量中提取证书,检查可疑的属性;

2、通过执行TLS检查,但不使用Windows进行证书验证的代理设备来承载流量;

3、在企业内部部署私有根证书颁发机构,并且在特定计算机/服务器位置控制第三方软件的部署和使用;

4、符合条件的企业可以申请加入微软 Security Update Validation Program (SUVP) 或 Microsoft Active Protections Program (MAPP),从而提前从微软获得安全更新以进行相关的测试分析。​​​​​​​

推荐关注

指导单位
广东省公安厅网络警察总队 | 广东省信息安全等级保护协调小组办公室