2020年1月15日,微软公布了1月的补丁更新列表,其中存在一个由NSA发现的、影响Microsoft Windows加密功能的高危漏洞(CVE-2020-0601)。该漏洞影响CryptoAPI椭圆曲线密码(ECC)证书检测机制,致使攻击者可以破坏Windows验证加密信任的过程,并可以导致远程代码执行。
漏洞编号
CVE-2020-0601
漏洞名称
Windows CryptoAPI欺骗漏洞(CVE-2020-0601)
漏洞描述
Windows CryptoAPI (Crypt32.dll) 验证椭圆曲线加密 (ECC) 证书的方式中存在欺骗漏洞。
攻击者可以通过使用欺骗性的代码签名证书,对恶意可执行文件进行签名来利用此漏洞,从而使该文件看似来自受信任的合法来源,用户将无法知道该文件是恶意文件。例如,攻击者可以通过该漏洞,让勒索木马等软件拥有看似**“可信”**的签名证书,从而绕过Windows的信任检测机制,误导用户安装。
攻击者还可以利用该漏洞进行中间人攻击,并对有关用户与受影响软件的连接的机密信息进行解密。影响Windows信任关系的一些实例,如用户常见的HTTPS连接、文件签名和电子邮件签名等。
影响范围
- Windows 10
- Windows Server 2016和Windows Server 2019版本
- 依赖于Windows CryptoAPI的应用程序。
官方解决方案
官方建议受影响的用户尽快安装最新的漏洞补丁。
详情请参见https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-0601。
检测与修复建议
天翼云企业主机安全服务提供了对该漏洞的便捷检测与修复。
在需要检测与修复的云主机上,已安装企业主机安全客户端(Agent),并开启防护。
- 登录管理控制台。
- 在页面左上角选择“区域”,单击,选择“安全> 企业主机安全”,进入企业主机安全页面。
- 单击左侧“主机管理”,在云服务器列表中,单击Windows操作系统主机的名称,查看主机详情。
- 在详情页面,单击“漏洞管理 > Windows系统漏洞 > 手动检测”检测主机存在的漏洞。
- 检测完成后,可查看“解决方案”所在列的修复建议,根据修复建议修复漏洞。
- 修复过程需要花费一段时间,修复完成后,请重启云主机使补丁生效。
- 重启云主机后,再次单击“手动检测”,验证该漏洞是否修复成功。
您也可以通过在企业主机安全服务中,选择“漏洞管理 > Windows系统漏洞管理”页签,进入漏洞管理页面,在漏洞列表右上角,输入漏洞名称。查看并修复该漏洞。Windows Server 2019:KB4534273;Windows Server 2016:KB4534271