0x00 漏洞背景
2020年01月15日,360CERT监测到微软发布了2020年1月份的安全更新,其中修复了一个Windows CryptoAPI的验证绕过漏洞(CVE-2020-0601)。该漏洞由NSA报告给微软。
0x01 漏洞详情
该漏洞存在于Windows CryptoAPI(Crypt32.dll)验证椭圆曲线加密算法证书的方式,影响Windows 10和Windows Server 2016/2019以及依赖于Windows CryptoAPI的应用程序。攻击场景包括:
1.使用伪造的证书对恶意的可执行文件进行签名,使文件看起来来自可信的来源。
2.进行中间人攻击并解密用户连接到受影响软件的机密信息。
2020年1月份的安全更新修复的其它部分严重漏洞还包括:
CVE-2020-0609/CVE-2020-0610:远程桌面网关远程代码执行漏洞,攻击者通过RDP向目标系统远程桌面网关发送恶意的请求可能导致远程代码执行。微软为Windows Server 2012/2012 R2/2016/2019发布了补丁。
CVE-2020-0611:远程桌面客户端远程代码执行漏洞,攻击者欺骗受害者连接恶意服务器之后可能导致远程代码执行。微软为从Windows 7 SP1/Windows Server 2008 R2到Windows 10 Version 1909/Windows Server 2019的版本发布了补丁。
CVE-2020-0603/CVE-2020-0605/CVE-2020-0606/CVE-2020-0646:.NET Framework远程代码执行漏洞,如果用户使用受影响的 .NET Framework版本打开恶意的文件可能导致远程代码执行。
0x02 缓解措施
1.安装360安全卫士一键更新防范此类攻击。
2.从网络流量中提取证书,检查可疑的属性。
3.为TLS代理启用证书验证,从外部实体验证TLS证书。
0x03 时间线
2020-01-14 微软官方发布安全公告
2020-01-15 360CERT发布通告
发表评论
您还未登录,请先登录。
登录