微软于本周二发布了一项安全更新，修复影响Windows操作系统的49个漏洞，其中包括一个由美国国家安全局上报的“影响广泛的加密漏洞”。

美国国家安全局（NSA）网络安全主管Anne Neuberger在近期的新闻发布会上确认了这一事实，表示该漏洞是由NSA发现并报告的。

CVE-2020-0601

该漏洞被标记为CVE-2020-0601，影响了Windows操作系统中处理加密操作的核心组件Windows CryptoAPI。

根据发布的安全警告，“Windows CryptoAPI （Crypt32.dll）验证椭圆曲线加密（ECC）证书的方式存在欺骗漏洞。”

微软表示，攻击者可以利用这个漏洞“对恶意的可执行文件进行签名，使其看起来像是来自合法来源”。

但除了伪造文件签名外，该漏洞还可以用来伪造用于加密通信的数字证书。

“这个漏洞一旦利用成功就可以让攻击者进行中间人攻击，非法解密用户的敏感通信信息。”

据微软称，该漏洞影响了Windows 10、Windows Server 2019和Windows Server 2016操作系统。

微软和美国国家安全局都表示，在今天的补丁发布之前，他们没有看到任何利用这个漏洞进行攻击的痕迹。

国家安全局

这个漏洞被认为是此次安全修补最糟糕的漏洞。Neuberger表示，出于漏洞的严重性，该机构并没有像以前那样囤积漏洞（用于该渗透攻击），而是采取了“前所未有的步骤”，直接上报漏洞。

CVE-2020-0601是微软首次将漏洞报告明确归功于美国国家安全局。不过在此之前其他网络安全机构也曾向微软报告重大漏洞。例如，英国国家网络安全中心在2019年5月向微软报告了现在臭名昭著的BlueKeep漏洞。

Neuberger表示，美国国家安全局报告这个漏洞代表该机构的一个重大改变，以后也会有其他漏洞陆续上报。

除了向微软报告漏洞外，在今天的官方补丁发布之前，NSA还向关键基础设施运营商发送了一份预先通知，让他们知道即将发布的重大系统修复。

在晚些时候，NSA还发布了自己的安全建议，包括如何检测利用和防御，并敦促IT人员加快安装周二发布的安全更新。

美国国土安全部的网络安全和基础设施安全局(DHS CISA)今天也将发布一项紧急指令，提醒美国私营企业和政府单位尽快安装最新的Windows操作系统补丁。

值得注意的是，多家机构的通告中表示，漏洞会影响Windows的RDP客户端（所有版本）以及RDP Gateway Server（Server 2012、2016、2019），可让攻击者无需身份验证就进行远程命令执行（通过欺骗用户连接到恶意服务器来利用）。

Cybereason的联合创始人兼首席技术官Yonatan Striem-Amit告诉ZDNet：“根据我们目前掌握的信息，所有用户应绝对确保补丁已被安装，这比任何时候都关键。”

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场：https://nosec.org/home/detail/3949.html
来源：https://www.zdnet.com/article/microsoft-fixes-windows-crypto-bug-reported-by-the-nsa/