NSA通報Windows 密碼元件的重大漏洞 數百萬台Windows 10電腦應儘速修補
美國國安局(NSA)發現並通報微軟存在一個Windows密碼元件安全漏洞,微軟周二對包括Windows 10、Server 2016發佈安全修補程式。
這項漏洞編號CVE-2020-0601位於Windows的crypt32.dll,它是用於實作CryptoAPI憑證和密碼訊息功能的核心密碼模組,其中一項用途可讓開發人員為其軟體加入數位簽章以防止遭人動手腳。
首先發現這項漏洞的NSA指出,這個漏洞可繞過Windows驗證加密憑證的機制,若成功遭到開採將可讓攻擊者發送惡意程式碼,冒充來自可信任方的內容。受影響的包括HTTPS連線內容、簽章檔案與電子郵件,及可執行程式。微軟表示,由於動用數位簽章冒充合法程式,使用者無從判斷檔案的真偽。
簡單而言,駭客可以將惡意程式冒充成合法程式後,騙取Windows用戶執行,或是利用內網上另一台受害電腦進行中間人(man-in-the-middle)攻擊,攔截HTTPS(或TLS)通訊以惡意程式取代植入電腦。
這個漏洞影響較新近的Windows版本,包括Windows 10、Windows Server 2016及2019。微軟計畫在Patch Tuesday的更新中一併釋出本漏洞的修補程式。美國國防部、政府及他重要客戶已經早一步接獲修補程式。
微軟表示目前尚沒有證據顯示已有攻擊者利用這項漏洞,也僅將該漏洞風險等級列為次要的「重要」(important),而非最高等級的「重大」(critical)。
本周CERT/CC研究員Wil Dormann提醒大家要「特別留意」2020年第一個Patch Tuesday,而後由資安部落格Krebs on Security首先報導。而NSA隨後也坦承發現到漏洞及通報微軟一事。
這也是首次NSA扮演好人角色。兩年前NSA發現在Windows漏洞並不會告知,而是用來開發監控工具。NSA開發出的EternalBlue後來也被惡意程式作者散佈令人聞風喪膽的WannaCry,影響全球數百萬台電腦。
惡意程式竊取憑證冒充合法軟體的事經常發生。去年也曾有駭客竊取華碩的憑證簽發了一個有後門的軟體更新。這個更新程式後來上傳到華碩伺服器上,結果數萬名用戶電腦下載而受害。