Windows 10 密碼元件漏洞才剛公佈就有 PoC 程式！

昨天微軟才揭露 CryptoAPI 元件中可能假冒合法程式和網站的密碼元件漏洞，今天就有研究人員開發出概念驗證 (Proof of Concept) 攻擊程式。

美國國安局 (NSA) 近日發現並通報微軟存在一個 Windows 密碼元件 crypt32.dll，或 CryptoAPI 的安全漏洞，編號 CVE-2020-0601，這個元件主要讓開發人員為其程式或網站加入簽章，以確保程式和網站的真實性。本漏洞若成功開採將可讓攻擊者發動中間人攻擊，包括攔截加密流量，或製作假憑證，冒充可信任來源的檔案、電子郵件再傳給接收端用戶。微軟已經於周二釋出修補程式。

今天 GitHub 上出現兩宗 PoC 攻擊程式分別來自安全公司 Kudelski Security，另一個代號 Ollypwn 的研究人員。它們利用了 Windows CryptoAPI 驗證 ECC (Elliptic Curve Cryptography) 憑證的瑕疵，其中 Kudelski Security 製作出一個金鑰以任意網域名簽發假憑證 curveP384。這個憑證之後就會被 CryptoAPI 視為可信任。之後，惡意程式就可經由這個假憑證簽發以冒充為合法 app，而在 Windows 電腦上執行。

另一安全研究人員 Saleem Rashid 則製作出假的 TLS 憑證（稱為 Curveball）設立足以亂真的假 NSA 和 Github 網站，然後騙過本來具有釣魚網站防護功能的 Chrome、Edge 以及 Chromium-based 瀏覽器，放行用戶登入假網站。唯一沒被騙到的是 Firefox。

不過研究人員也指出，這項漏洞雖然聽來頗為嚴重，但攻擊起來不是那麼容易，因為受害者必須先連上假網站或惡意網站。這可能在用戶連上之前就被 ISP 發現到。因此研究人員相信，能使用這種漏洞的只有國家資助的駭客，而非一般會寫程式的年輕駭客或勒索軟體作者。微軟也僅將其風險列為次要的「重要」（important），而非最高等級的「重大」（critical）。

不管如何，安全公司及微軟仍然呼籲個人或企業用戶儘速安裝修補程式。

來源：Threat Post