CVE-2020-0601:Windows CryptoAPI欺骗漏洞
微软在1月的补丁日修复了多个安全漏洞,包括CVE-2020-0601、CVE-2020-0609、CVE-2020-0610等。
CVE-2020-0601
NSA(美国国家安全局)发现了影响Windows加密功能的漏洞,该漏洞CVE编号为CVE-2020-0601,是Windows CryptoAPI欺骗漏洞。漏洞位于Windows CryptoAPI (Crypt32.dll) 验证椭圆曲线加密(Elliptic Curve Cryptography,ECC)证书的方式中,***者利用该漏洞可以创建一个代码签名证书来对恶意可执行文件签名,使得恶意文件看似来自可信的合法源。该漏洞影响Windows 10和Windows Server 2016/2019和其他依赖Windows保证可信的应用。
***者利用该漏洞可以打破可信网络连接,传播看似来自可信源的可执行代码,并实现远程代码执行。有了有效的证书,勒索软件和其他监控软件就可以更容易地安装到用户设备上。打破可信网络连接的例子包括:
· HTTPS连接
· 签名的文件和邮件
· 以用户模式进程启动的签名的可执行代码
该漏洞使得Windows终端设备处于大量的漏洞向量中。NSA对该漏洞的评估结果为严重,并认为熟练的网络***者会很快理解该漏洞的底层原理,并利用该漏洞。
微软发布的补丁在有人尝试在修复的系统中使用伪造的证书时会在Windows事件日志中创建一条新的记录。这可以帮助管理员确认系统是否被***。因为该漏洞有可能会被远程***,因此研究人员建议用户尽快更新系统。
CVE-2020-0609
CVE-2020-0609是Windows RDP网关服务器中存在的一个远程代码执行漏洞。***者利用该漏洞可以进行远程代码执行,影响RDP网关服务器设备。代码执行发生在服务器层,是预先认证的,因此无需用户交互。也就是说这些漏洞比较像蠕虫,至少可以在RDP网关服务器之间传播。
CVE-2020-0611
CVE-2020-0611漏洞是远程桌面客户端中存在的一个远程代码执行漏洞。该漏洞的影响不如CVE-2020-0609,但是利用该漏洞可以完全控制受影响的系统,前提是要让用户连接到一个恶意RDP服务器上。由于这个前提条件导致该漏洞被利用的可能性降低了很多。
本文翻译自:https://www.zerodayinitiative.com/blog/2020/1/14/the-january-2020-security-update-review