Microsoft 昨日发布了一个安全更新,以修复影响Windows操作系统的“广泛的加密漏洞”。
美国国家安全局(NSA)网络安全主管Anne Neuberger在新闻发布会上说,该漏洞是由美国国家安全局(NSA)发现并报告的。
CVE-2020-0601错误
漏洞跟踪为CVE-2020-0601,影响Windows CryptoAPI,Windows CryptoAPI是处理密码操作的Windows操作系统的核心组件。
根据发布的安全公告,“ Windows CryptoAPI(Crypt32.dll)验证椭圆曲线密码术(ECC)证书的方式中存在一个欺骗漏洞”。
微软表示,攻击者可以利用此错误“对恶意可执行文件进行签名,使该文件看起来像是来自受信任的合法来源。”
但是,除了伪造文件签名之外,该错误还可以用于伪造用于加密通信的数字证书。
微软还说:“成功的利用还可以使攻击者进行中间人攻击,并在与受影响软件的用户连接上解密机密信息。”
根据Microsoft的说法,此漏洞会影响Windows 10,Windows Server 2019和Windows Server 2016 OS版本。
微软和美国国家安全局表示,在今天的补丁发布之前,他们还没有发现任何主动利用此漏洞的攻击。
NSA的第一信用
该BUG被认为是最严重的。纽伯格说,该机构通过报告该错误采取了前所未有的措施,而不是bug积该漏洞并将其用于攻击性工具和操作。
CVE-2020-0601漏洞标志着Microsoft首次将NSA归功于其报告错误。其他网络安全机构先前已向Microsoft报告了重大漏洞。例如,英国国家网络安全中心于2019年5月向微软报告了现在臭名昭著的BlueKeep错误。
纽伯格说,NSA报告此错误是该机构网络安全一般方法的变化,其他错误报告也将随之而来。
除了向Microsoft报告此错误外,该机构还在今天正式补丁发布之前向关键基础设施运营商发送了预先通知,让他们知道即将进行重大修复。
该机构已在今天晚些时候发布了自己的安全公告,其中包含缓解信息以及如何检测漏洞利用,还敦促IT员工加快安装今天的Patch Tuesday安全更新。
国土安全部网络安全和基础设施安全局(DHS CISA)今天还将发布紧急指令,以提醒美国私营部门和政府实体有关需要安装最新Windows OS修复程序的信息。
Cybereason的首席技术官兼联合创始人Yonatan Striem-Amit表示:“鉴于现在掌握的信息,客户应绝对确保他们迅速应用此补丁。这对于所有“关键补丁”都是正确的,但在目前是双重事实。
*编译:Domino
*来自:ZDNET