NSA 通報 Windows 密碼元件的重大漏洞　數百萬台 Windows 10 電腦應儘速修補

美國國安局（NSA）發現並通報微軟存在一個 Windows 密碼元件安全漏洞，微軟周二對包括 Windows 10、Server 2016 發佈安全修補程式。

這項漏洞編號 CVE-2020-0601 位於 Windows 的 crypt32.dll，它是用於實作 CryptoAPI 憑證和密碼訊息功能的核心密碼模組，其中一項用途可讓開發人員為其軟體加入數位簽章以防止遭人動手腳。

首先發現這項漏洞的 NSA 指出，這個漏洞可繞過 Windows 驗證加密憑證的機制，若成功遭到開採將可讓攻擊者發送惡意程式碼，冒充來自可信任方的內容。受影響的包括 HTTPS 連線內容、簽章檔案與電子郵件，及可執行程式。微軟表示，由於動用數位簽章冒充合法程式，使用者無從判斷檔案的真偽。

簡單而言，駭客可以將惡意程式冒充成合法程式後，騙取 Windows 用戶執行，或是利用內網上另一台受害電腦進行中間人（man-in-the-middle）攻擊，攔截 HTTPS（或 TLS）通訊以惡意程式取代植入電腦。

這個漏洞影響較新近的 Windows 版本，包括 Windows 10、Windows Server 2016 及 2019。微軟計畫在 Patch Tuesday 的更新中一併釋出本漏洞的修補程式。美國國防部、政府及他重要客戶已經早一步接獲修補程式。

微軟表示目前尚沒有證據顯示已有攻擊者利用這項漏洞，也僅將該漏洞風險等級列為次要的「重要」（important），而非最高等級的「重大」（critical）。

本周 CERT/CC 研究員 Wil Dormann 提醒大家要「特別留意」2020 年第一個 Patch Tuesday，而後由資安部落格 Krebs on Security 首先報導。而 NSA 隨後也坦承發現到漏洞及通報微軟一事。

這也是首次 NSA 扮演好人角色。兩年前 NSA 發現在 Windows 漏洞並不會告知，而是用來開發監控工具。NSA 開發出的 EternalBlue 後來也被惡意程式作者散佈令人聞風喪膽的 WannaCry，影響全球數百萬台電腦。

惡意程式竊取憑證冒充合法軟體的事經常發生。去年也曾有駭客竊取華碩的憑證簽發了一個有後門的軟體更新。這個更新程式後來上傳到華碩伺服器上，結果數萬名用戶電腦下載而受害。