更新时间:2024-09-24 GMT+08:00

Windows CryptoAPI欺骗漏洞(CVE-2020-0601)

2020年1月15日,微软公布了1月的补丁更新列表,其中存在一个由NSA发现的、影响Microsoft Windows加密功能的高危漏洞(CVE-2020-0601)。该漏洞影响CryptoAPI椭圆曲线密码(ECC)证书检测机制,致使攻击者可以破坏Windows验证加密信任的过程,并可以导致远程代码执行。

漏洞编号

CVE-2020-0601

漏洞名称

Windows CryptoAPI欺骗漏洞(CVE-2020-0601)

漏洞描述

Windows CryptoAPI (Crypt32.dll) 验证椭圆曲线加密 (ECC) 证书的方式中存在欺骗漏洞。

攻击者可以通过使用欺骗性的代码签名证书,对恶意可执行文件进行签名来利用此漏洞,从而使该文件看似来自受信任的合法来源,用户将无法知道该文件是恶意文件。例如,攻击者可以通过该漏洞,让勒索木马等软件拥有看似“可信”的签名证书,从而绕过Windows的信任检测机制,误导用户安装。

攻击者还可以利用该漏洞进行中间人攻击,并对有关用户与受影响软件的连接的机密信息进行解密。影响Windows信任关系的一些实例,如用户常见的HTTPS连接、文件签名和电子邮件签名等。

影响范围

  • Windows 10
  • Windows Server 2016和Windows Server 2019版本
  • 依赖于Windows CryptoAPI的应用程序。

官方解决方案

官方建议受影响的用户尽快安装最新的漏洞补丁。

详情请参见https://msrc.microsoft.com/update-guide/en-us/vulnerability/CVE-2020-0601。

检测与修复建议

华为云企业主机安全提供了对该漏洞的便捷检测与修复。

在需要检测与修复的云主机上,已安装企业主机安全客户端(Agent),并开启防护。

  1. 登录管理控制台。
  2. 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入企业主机安全页面。
  3. 单击左侧“主机管理”,在云服务器列表中,单击Windows操作系统主机的名称,查看主机详情。
  4. 在详情页面,单击漏洞管理 > Windows系统漏洞 > 手动检测检测主机存在的漏洞。

    图1 手动检测漏洞

  5. 检测完成后,可查看“解决方案”所在列的修复建议,根据修复建议修复漏洞。
  6. 修复过程需要花费一段时间,修复完成后,请重启云主机使补丁生效。
  7. 重启云主机后,再次单击“手动检测”,验证该漏洞是否修复成功。

    您也可以通过在企业主机安全中,选择漏洞管理 > Windows系统漏洞管理页签,进入漏洞管理页面,在漏洞列表右上角,输入漏洞名称。查看并修复该漏洞。
    • Windows Server 2019:KB4534273
    • Windows Server 2016:KB4534271