立即更新Windows 10以修补NSA发现的漏洞

Adobe今天发布了2020年的第一个补丁周二更新后，微软现在也发布了1月份的安全警告，警告数十亿用户其各种产品中存在49个新漏洞。

周二最新补丁的特别之处在于，其中一次更新修复了广泛使用的Windows 10、Server 2016和2019版本的核心加密组件中的一个严重漏洞，该漏洞已被美国国家安全局（NSA）发现并报告给该公司。

What's more interesting is that this is the first security flaw in Windows OS that the NSA reported responsibly to Microsoft, unlike the Eternalblue SMB flaw that the agency kept secret for at least five years and then was leaked to the public by a mysterious group, which caused WannaCry menace in 2017.

CVE-2020-0601:Windows CryptoAPI欺骗漏洞

根据微软发布的一条建议，该漏洞被称为NSACrypt“并被追踪为CVE-2020-0601，位于Crypt32DLL包含Windows Crypto API用于处理数据加密和解密的各种“证书和加密消息传递功能”的模块。

问题在于Crypt32的方式。dll模块验证椭圆曲线加密（ECC）证书，该证书目前是公钥加密的行业标准，用于大多数SSL/TLS证书。

在NSA发布的新闻稿中，该机构解释说，“证书验证漏洞允许攻击者破坏Windows验证加密信任的方式，并允许远程代码执行。”

攻击者利用该漏洞可以滥用以下各方之间的信任验证：

• HTTPS连接
• 签名文件和电子邮件
• 作为用户模式进程启动的签名可执行代码

尽管该漏洞的技术细节尚不公开，但微软证实了该漏洞，如果成功利用该漏洞，攻击者可以在软件上伪造数字签名，诱使操作系统安装恶意软件，同时冒充任何合法软件的身份；在用户不知情的情况下。

“Windows CryptoAPI（Crypt32.dll）验证椭圆曲线加密（ECC）证书的方式中存在一个欺骗漏洞，”微软顾问说。

“攻击者可以通过使用伪造的代码签名证书对恶意可执行文件进行签名，使其看起来文件来自可信的合法来源，从而利用该漏洞进行攻击。用户将无法知道该文件是恶意的，因为数字签名似乎来自可信的提供商。”

除此之外，CryptoAPI中的缺陷还可能使远程中间人攻击者很容易模拟网站或解密用户连接到受影响软件的机密信息。

微软在另一篇博文中表示：“这个漏洞被列为重要漏洞，我们还没有看到它被用于主动攻击。”。

“该漏洞是我们与安全研究界合作的一个例子，我们私下披露了一个漏洞，并发布了一个更新，以确保客户不会面临风险。”

NSA说：“不修补漏洞的后果是严重和广泛的。远程攻击工具可能会迅速和广泛地提供。”。

除了严重性被评为“重要”的Windows CryptoAPI欺骗漏洞外，微软还修补了48个其他漏洞，其中8个是关键漏洞，其余40个都是重要漏洞。

此漏洞没有缓解或解决方法，因此强烈建议您通过进入Windows设置#8594；更新及；安全和#8594；Windows Update→；单击“检查电脑上的更新”

Windows中的其他关键RCE缺陷

其中两个关键问题影响到Windows远程桌面网关（RD网关），跟踪为CVE-2020-0609和CVE-2020-0610，未经身份验证的攻击者可以利用这些问题，通过RDP发送精心编制的请求，在目标系统上执行恶意代码。

“该漏洞是预验证漏洞，不需要用户交互。成功利用该漏洞的攻击者可以在目标系统上执行任意代码，”该公告称。

远程桌面客户端中的一个关键问题（被追踪为CVE-2020-0611）可能会导致反向RDP攻击，恶意服务器可以在连接客户端的计算机上执行任意代码。能力

“要利用这个漏洞，攻击者需要控制服务器，然后说服用户连接到它，”该顾问说。

“攻击者还可能破坏合法服务器，在其上托管恶意代码，并等待用户连接。”

幸运的是，微软本月解决的所有缺陷都没有被公开披露，也没有被发现在野外被利用。