漏洞描述

2020 年1月15日,微软例行公布了1月的补丁更新列表,在其中存在一个位于CryptoAPI.dll椭圆曲线密码(ECC)证书检测绕过相关的漏洞,同时紧随其后的是美国NSA发布的相关漏洞预警通告,其中通告显示,该漏洞为NSA独立发现,并汇报给微软。这对于专门挖掘微软漏洞进行利用(例如“永恒之蓝”系列)的NSA来说,实属罕见。

Windows 10、Windows Server 2016/2019、Windows Server 1803/1903/1909版本中使用的Windows CryptoAPI (Crypt32.dll) 验证椭圆曲线加密 (ECC) 证书的方式中存在欺骗漏洞,攻击者可以通过使用欺骗性的代码签名证书对恶意可执行文件进行签名来利用此漏洞,从而使该文件看似来自受信任的合法来源,用户将无法知道该文件是恶意文件,因为数字签名看似来自受信任的提供程序,成功利用后还可以使攻击者进行中间人攻击,并对有关用户与受影响软件连接的敏感信息进行解密,建议尽快测试和更新该安全补丁。

微软核心加密库漏洞(CVE-2020-0601)通告 - 图1

漏洞影响

CVE-2020-0601漏洞主要影响Windows 10、Windows Server 2016/2019、Windows Server 1803/1903/1909版本,具体版本如下:
Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1709 for 32-bit Systems
Windows 10 Version 1709 for ARM64-based Systems
Windows 10 Version 1709 for x64-based Systems
Windows 10 Version 1803 for 32-bit Systems
Windows 10 Version 1803 for ARM64-based Systems
Windows 10 Version 1803 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1803 (Server Core Installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)

Windows 10 之前的版本,例如于今年1月14日停止安全维护的WIN7/Windows Server 2008由于不支持带参数的ECC密钥,因此不受相关影响。

攻击检测**

当安装更新补丁后,检测到有人尝试利用CVE-2020-0601漏洞攻击时,系统将在每次重启后在“Windows 日志/应用程序”日志中生成由用户模式进程引起的事件ID为1的事件。

注意:安装补丁前“Windows 日志/应用程序”也会有事件ID为1的事件:“已经启动 Windows 安全中心服务。”,来源SecurityCenter,这个是正常的。

修复方法

目前软件厂商微软已经发布了漏洞相应的补丁
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601