細思恐極：美國NSA獨立發現微軟嚴重漏洞，上一次它泄露的“永恒之藍”造成全球災難

1 月 15 日，微軟例行公布了 1 月的補丁更新列表，其中有一個漏洞引起了高度關注：這是一個位於CryptoAPI.dll橢圓曲線密碼 (ECC) 證書檢測繞過相關的漏洞。

厲害的是，美國美國國家安全局（NSA） 隨後也發布了關於這個漏洞的預警通告。

通告顯示，NSA 獨立發現了這個漏洞，並彙報給微軟。要知道，NSA 之前可是專門挖掘了微軟漏洞進行利用，還搞出了“永恒之藍”係列。

給不熟悉網絡安全的童鞋們回憶下其中的“細思恐極”之處：2017 年 5 月 12 日晚上 20 時左右，全球爆發大規模勒索軟件感染事件，用戶隻要開機上網就可被攻擊。五個小時內，包括英國、俄羅斯、整個歐洲以及國內多個高校校內網、大型企業內網和政府機構專網中招，被勒索支付高額贖金（有的需要比特幣）才能解密恢複文件，這場攻擊甚至造成了教學係統癱瘓，包括校園一卡通係統。

上述事件是不法分子通過改造之前泄露的 NSA 黑客武器庫中“永恒之藍”攻擊程序發起的網絡攻擊事件。

不過，在一些外媒報道中，NSA 表達了自己的誠意：將努力成為網絡安全界和私營部門的盟友，並將開始與合作夥伴分享漏洞數據，而不是積累這些數據並用於未來的攻擊行動。

按照“說人話”的版本，這次 NSA 發現的是個嚴重的核心加密組件漏洞，無論你用的是哪版 Windows 都躲不過。一旦這個關鍵漏洞被不法分子利用，可能會對幾個關鍵的 Windows 安全功能造成廣泛的影響，比如 Windows 桌麵與服務器的認證，微軟 IE/Edge 瀏覽器負責的敏感信息保護，以及許多第三方應用與工具等。

這個嚴重漏洞藏在名為 crypt32.dll 的 Windows 組件中。在微軟官方語境中，crypt32.dll 所在的模塊負責的是“CryptoAPI（加密 API）中的認證與密碼信息功能”。在工作中，微軟 CryptoAPI 提供的服務能幫助開發者借助密碼保護基於 Windows 平台的應用，其功能包括利用數字證書加密與解密數據。

同樣的，crypt32.dll 中的這個漏洞遭到濫用後，不法分子就能欺騙與軟件捆綁的數字簽名。此外，攻擊者甚至能借此將惡意軟件打扮成人畜無害的正規軟件並加上合法軟件公司的簽名。

從奇安信紅雨滴的研究成果中發現，攻擊者可以通過構造惡意的簽名證書，並以此簽名惡意文件來進行攻擊，此外由於ECC證書還廣泛的應用於通信加密中，攻擊者成功利用該漏洞可以實現對應的中間人攻擊。

紅雨滴的分析報告還顯示，值得注意的是指定參數的 ECC 密鑰證書的 Windows 版本會受到影響，而這一機製，最早由 WIN10 引入，影響 WIN10，Windows Server2016/2019 版本，而於今年 1 月 14 日停止安全維護的 WIN7/Windows Server 2008 由於不支持帶參數的 ECC 密鑰，因此不受相關影響。

今日上午 11 時左右，紅雨滴的負責人汪列軍還對編輯表示，這個漏洞影響很大，正在抓緊分析。安全公司360 方麵也表示，將有研究人員出具分析報告。

CERT-CC 安全研究人員 Will Dormann 則提前一天就發了推文稱，“明天的微軟周二補丁日升級大家可得盯緊了別放鬆。怎麼說呢？這算是我的預感吧。”

在此之前，據說微軟已經悄悄地向美國軍方和一些高價值客戶/目標（那些管理關鍵互聯網基礎設施的），以及一些簽了保密協議的組織機構推送了一版補丁。簡言之，它們不想在今年的首個周二補丁日（美國時間 1 月 14 日）前走漏這一消息。

這意味著，國內外安全公司對此相當重視。

坊間傳聞，過去 48 小時內微軟憋了大招，才在周二補丁日上推出了非常顯眼的升級，而且運行 Windows 的所有組織機構需要第一時間完成升級。

以下是補丁地址

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601

參考來源：

krebsonsecurity，Cryptic Rumblings Ahead of First 2020 Patch Tuesday；

奇安信威脅情報中心，微軟核心加密庫漏洞（CVE-2020-0601）通告