报告编号:B6-2020-011501
报告来源:360-CERT
报告作者:360-CERT
更新日期:2020-01-15
0x00 漏洞背景
2020年01月15日,360CERT监测到微软发布了2020年1月份的安全更新,其中修复了一个Windows CryptoAPI的验证绕过漏洞(CVE-2020-0601)。该漏洞由NSA报告给微软。
0x01 漏洞详情
该漏洞存在于Windows CryptoAPI(Crypt32.dll)验证椭圆曲线加密算法证书的方式,影响Windows 10和Windows Server 2016/2019以及依赖于Windows CryptoAPI的应用程序。攻击场景包括:
1.使用伪造的证书对恶意的可执行文件进行签名,使文件看起来来自可信的来源。
2.进行中间人攻击并解密用户连接到受影响软件的机密信息。
2020年1月份的安全更新修复的其它部分严重漏洞还包括:
CVE-2020-0609/0610:远程桌面网关远程代码执行漏洞,攻击者通过RDP向目标系统远程桌面网关发送恶意的请求可能导致远程代码执行。微软为Windows Server 2012/2012 R2/2016/2019发布了补丁。
CVE-2020-0611:远程桌面客户端远程代码执行漏洞,攻击者欺骗受害者连接恶意服务器之后可能导致远程代码执行。微软为从Windows 7 SP1/Windows Server 2008 R2到Windows 10 Version 1909/Windows Server 2019的版本发布了补丁。
CVE-2020-0603/0605/0606/0646:.NET Framework远程代码执行漏洞,如果用户使用受影响的 .NET Framework版本打开恶意的文件可能导致远程代码执行。
CVE-2020-0613/0614/0623/0625/0626/0627/0628/0629/0630/0631/0632/0633:Windows Search Indexer本地权限提升漏洞,攻击者可以通过运行一个恶意的程序提升自己的权限。
0x02 缓解措施
1.安装360安全卫士一键更新防范此类攻击。
2.从网络流量中提取证书,检查可疑的属性。
3.为TLS代理启用证书验证,从外部实体验证TLS证书。
0x03 时间线
2020-01-14 微软官方发布安全公告
2020-01-15 360CERT发布通告