Windows 10 密碼元件漏洞才剛公佈就有PoC程式!

昨天微軟才揭露CryptoAPI元件中可能假冒合法程式和網站的密碼元件漏洞,今天就有研究人員開發出概念驗證(Proof of Concept)攻擊程式。

昨天微軟才揭露CryptoAPI元件中可能假冒合法程式和網站的密碼元件漏洞,今天就有研究人員開發出概念驗證(Proof of Concept)攻擊程式。

美國國安局(NSA)近日發現並通報微軟存在一個Windows密碼元件crypt32.dll,或CryptoAPI的安全漏洞,編號CVE-2020-0601,這個元件主要讓開發人員為其程式或網站加入簽章,以確保程式和網站的真實性。本漏洞若成功開採將可讓攻擊者發動中間人攻擊,包括攔截加密流量,或製作假憑證,冒充可信任來源的檔案、電子郵件再傳給接收端用戶。微軟已經於周二釋出修補程式。

今天GitHub上出現兩宗PoC攻擊程式分別來自安全公司Kudelski Security,另一個代號Ollypwn的研究人員。它們利用了Windows CryptoAPI驗證ECC (Elliptic Curve Cryptography)憑證的瑕疵,其中Kudelski Security製作出一個金鑰以任意網域名簽發假憑證curveP384。這個憑證之後就會被CryptoAPI視為可信任。之後,惡意程式就可經由這個假憑證簽發以冒充為合法app,而在Windows電腦上執行。

另一安全研究人員Saleem Rashid則製作出假的TLS憑證 (稱為Curveball)設立足以亂真的假NSA和Github網站,然後騙過本來具有釣魚網站防護功能的Chrome、Edge以及Chromium-based瀏覽器,放行用戶登入假網站。唯一沒被騙到的是Firefox。

不過研究人員也指出,這項漏洞雖然聽來頗為嚴重,但攻擊起來不是那麼容易,因為受害者必須先連上假網站或惡意網站。這可能在用戶連上之前就被ISP發現到。因此研究人員相信,能使用這種漏洞的只有國家資助的駭客,而非一般會寫程式的年輕駭客或勒索軟體作者。微軟也僅將其風險列為次要的「重要」(important),而非最高等級的「重大」(critical)。

不管如何,安全公司及微軟仍然呼籲個人或企業用戶儘速安裝修補程式。

來源:Threat Post

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416