Windows CryptoAPI驗證繞過漏洞

2020-01-15 來源:安全豹作者:安全豹

【漏洞說明】

    2020年1月15日,微軟官方發布新年首次安全更新,其中Windows CryptoAPI驗證繞過漏洞(CVE-2020-0601)受到比較廣泛的關注,該漏洞屬于數字證書驗證欺騙繞過,主要由于Windows CryptoAPI(Crypt32.dll)驗證橢圓曲線加密算法證書邏輯不嚴謹導致。該漏洞由美國國家安全局(NSA)研究人員發現并通過CVD報告給微軟,目前暫未有在野利用或POC披露,毒霸安全實驗室建議受影響用戶盡快安裝更新相應漏洞補丁。



【影響范圍/攻擊場景】

    受影響的操作系統版本主要包括Windows 10和Windows Server 2016/2019等引入微軟默認ECC根證書的新系統,而windows7、windows xp/2003等老版本系統不受此漏洞影響。攻擊者可能利用該欺騙漏洞對惡意程序構造虛假數字簽名繞過系統或安全軟件信任,或者進行網絡中間人攻擊竊取加密信息。


【修復建議】

    1)安裝開啟毒霸客戶端,升級更新最新系統補丁。

    2)手動更新系統補丁: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601

    3)優先修補WEB服務器、域控、DNS服務器、TLS代理等關鍵服務器,開啟外部證書校驗。


【參考鏈接】

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601

https://msrc-blog.microsoft.com/2020/01/14/january-2020-security-updates-cve-2020-0601/

https://media.defense.gov/2020/Jan/14/2002234275/-1/-1/0/CSA-WINDOWS-10-CRYPT-LIB-20190114.PDF


上海11选5走势图爱彩 五分彩 微信霸屏app赚钱真的假的 承包监理标能赚钱吗 天津11选5 篮球比分直播球探 现在过年搞什么最赚钱吗 幸运农场 美国职业棒球比分 苹果版赚钱的漂流瓶 椒江区农村什么赚钱 黑龙江11选5 贵州麻将怎么打视频 龙王捕鱼2 上海快3 闲来贵州手机麻将官网 煤矿上什么货赚钱