【漏洞通告】CVE-2020-0601 | Windows CryptoAPI欺骗漏洞

发布时间 2020-01-16




1.背景描述


1月14日MicroSoft在例行的周二补丁更新中修复了一个Windows CryptoAPI欺骗漏洞,该漏洞(CVE-2020-0601)是Windows CryptoAPI(Crypt32.dll)在验证椭圆曲线加密算法(ECC)证书过程中的漏洞,攻击者可能利用该漏洞伪造数字证书或发起中间人攻击。该漏洞是由NSA发现和报告的,NSA网络安全总监Anne Neuberger表示,这是该机构首次决定向App供应商公开披露安全漏洞。


2.影响范围


Windows 10

Windows Server2016

Windows Server 2019


3.漏洞详情


该漏洞被跟踪为CVE-2020-0601,影响了Windows CryptoAPI,后者是Windows操作系统处理密码操作的核心组件。根据MicroSoft发布的安全公告, Windows CryptoAPI(Crypt32.dll)验证椭圆曲线加密算法(ECC)证书的方式中存在一个欺骗漏洞,攻击者可利用该漏洞对恶意可实行文件进行签名,使该文件看起来像是来自受信任的合法来源。除了伪造文件签名之外,该漏洞还可以用于伪造用于加密通信的数字证书。MicroSoft表示,成功的利用还可以使攻击者进行中间人攻击,并在与受影响App的用户连接上解密机密信息。”


根据NSA的说法,成功利用此漏洞将允许攻击者传递来自可信实体的恶意代码,并分析指出了一些信任验证会受到影响的例子:


           HTTPs连接

           签名文件和电子邮件

           作为用户模式进程启动的签名可实行代码


值得注意的是指定参数的 ECC 密钥证书的 Windows 版本会受到影响,而这一机制,最早由 WIN10 引入,影响 WIN10,Windows Server 2016/2019 版本,而于今年 1 月 14 日停止安全维护的 WIN7/Windows Server 2008 由于不支撑带参数的 ECC 密钥,因此不受相关影响,但仍然建议用户将 WIN7/ Windows Server 2008 系统更新至最新的 WIN10 系统或 Windows Server2016 之后的版本,并更新相关安全补丁。


MicroSoft和美国NSA表示,在补丁发布之前还没有发现任何主动利用此漏洞的攻击。NSA在14日晚些时候发布了自己的安全公告,其中包含缓解信息以及如何检测漏洞利用,还敦促IT员工尽快安装周二安全更新。国土安全部网络安全和基础设施安全局(DHS CISA)也发布了紧急指令,提醒美国私营部门和政府实体需要安装最新Windows修复补丁。


4.修复建议


建议更新Windows安全补丁


5.参考链接


https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601

https://media.defense.gov/2020/Jan/14/2002234275/-1/-1/0/CSA-WINDOWS-10-CRYPT-LIB-20190114.PDF

https://cyber.dhs.gov/ed/20-02/