本週三,所有運行 Windows 的企業和個人都必須密切關注並更新一個Windows補丁。
據著名安全博客 KrebsOnSecurity 爆料,微軟計劃於週三(美國當地時間週二)發佈重要軟件更新,修復一個:所有版本 Windows 中都存在的核心加密組件中的一個極為嚴重的安全漏洞。
據 Krebs 的 Twitter 消息,美國國家安全局 NSA 首先發現這個漏洞並呈報給微軟。
另據消息人士說,在週二補丁日之前,微軟已經悄悄地將這個漏洞的補丁發送給了美國國防部 (DoD) 美軍分支機構以及管理關鍵互聯網基礎設施的其他高價值客戶/目標,並且這些組織已經被要求籤署保密協議,以阻止他們透露漏洞的細節。
根據消息來源,這個漏洞位於名為 crypt32.dll 的 Windows 組件中,用於處理 “CryptoAPI 中的證書和加密消息傳遞功能。”
Microsoft CryptoAPI 是微軟提供給開發人員的 Windows 安全服務應用程序接口,可用於加密的應用程序,實現數據加密、解密、簽名及驗證等功能。
由於複雜的加密算法實現起來非常困難,所以在過去,許多應用程序只能使用非常簡單的加密技術,這樣做的結果就是加密的數據很容易就可以被人破譯。而使用Microsoft提供的加密應用程序接口(即Cryptography API),或稱 CryptoAPI,就可以方便地在應用程序中加入強大的加密功能,而不必考慮基本的算法。
Windows 組件中的這個嚴重漏洞 (CVE-2020-0601) 可能會對許多重要的 Windows 功能產生廣泛的安全影響,包括在 Windows 臺式機和服務器上進行身份驗證,保護由 Microsoft 的瀏覽器 (Internet Explorer / Edge) 瀏覽器處理的敏感數據,以及許多第三方應用程序和工具。
同樣令人擔憂的是,攻擊者還可能濫用 crypt32.dll 中的漏洞來欺騙與特定軟件相關的數字簽名。
攻擊者可以利用這個漏洞,使惡意軟件看起來像是由合法軟件公司生產並簽名的良性程序。
存在漏洞的組件是 20 多年前就引入 Windows,從 Windows10、Windows Server2016 一直可以追溯到爺爺輩的 Windows NT 4.0 中。因此,可以說所有版本的 Windows 都可能受到影響(包括 Windows XP,Microsoft 的補丁程序不再支持 Windows XP)。
一位提前獲知消息的 CERT/CC 的一位漏洞分析師 Will Dormann 發推說:
而一位基礎設施安全專家則吐槽說已經連續收到多個聯邦機構的“七道金牌”,明天務必一定必須“全部更新”補丁,但這對低帶寬的邊緣網絡來說是個巨大的挑戰。
美國東部時間週一下午,Microsoft 做出回應:表示在漏洞補丁更新可用之前,它不會討論該漏洞的詳細信息。
爆料的安全博客 KrebsOnSecurity 週二收到了美國國家安全局 (NSA) 的警告,稱 NSA 計劃本週三(1月14日)召開電話會議,向新聞媒體 “提供有關當前 NSA 網絡安全問題的高級通知。”
美國國家安全局網絡空間安全總監 Anne Neuberger 指出,微軟核心加密組件的漏洞,動搖了整個網絡安全基礎設施的信心基礎。
Google 漏洞研究員 Tavis Ormandy 今晨發推確認微軟漏洞不僅僅威脅代碼簽名,而且導致所有 X.509 證書驗證失效,攻擊者可以截獲並修改 TLS 加密通訊。
NSA 發佈的漏洞修復建議(比微軟和 CERT/CC 的公告更詳盡):
閱讀更多 安全牛 的文章
