Windows CryptoAPI欺骗漏洞风险通告
发布时间 2020-01-15漏洞编号和级别
CVE编号:CVE-2020-0601,危险级别:高危,CVSS分值:厂商自评:8.1,官方未评定
影响版本
Windows 10 Version 1607
Windows 10 Version 1709
Windows 10 Version 1803
Windows 10 Version 1809
Windows 10 Version 1903
Windows 10 Version 1909
Windows Server2016
Windows Server 2019
漏洞概述
2020年1月14日微软发布了CVE-2020-0601漏洞公告,此漏洞为Windows加密库中的一个关键的漏洞,Windows CryptoAPI(Crypt32.dll) 验证椭圆曲线加密 (ECC)证书的方式中存在欺骗漏洞。
攻击者可以通过使用欺骗性的代码签名证书对恶意可执行文件进行签名来利用此漏洞,从而使该文件似乎来自可靠的合法来源。用户将无法知道文件是恶意的,因为数字签名似乎来自受信任的提供程序。成功的利用还可以使攻击者进行中间人攻击,并在与受影响软件的用户连接上解密机密信息。
该漏洞为NSA独立发现,并汇报给微软。根据NSA成功利用此漏洞将使攻击者能够提供来自受信任实体的恶意代码。其中包含:签名的文件和电子邮件、签名可执行代码等、HTTPs连接。
值得注意的是指定参数的ECC密钥证书的Windows版本会受到影响,而这一机制,最早由WIN10引入,影响WIN10,Windows Server 2016/2019版本,而于今年1月14日停止安全维护的WIN7/Windows Server 2008由于不支持带参数的ECC密钥,因此不受相关影响,但仍然建议用户将WIN7/ Windows Server 2008系统更新至最新的WIN10系统或Windows Server2016之后的版本,并更新相关安全补丁。
漏洞验证
暂无POC/EXP。
修复建议
目前微软已发布升级补丁以修复漏洞,详情请关注厂商主页:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601。
参考链接
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601
https://media.defense.gov/2020/Jan/14/2002234275/-1/-1/0/CSA-WINDOWS-10-CRYPT-LIB-20190114.PDF
京公网安备11010802024551号