上周的主要新闻是Windows加密库中的一个漏洞,该漏洞与数字证书的不正确验证有关。 该问题已通过1月14日星期二发布的累积补丁解决。 根据微软的说法,在信息泄露之前没有真正的攻击。 漏洞似乎是美国国家安全局历史上第一次发现。 更准确地说,NSA可能会从事漏洞的搜索,并(可能)定期利用它们,但是该信息是第一次代表NSA传输给供应商。
该漏洞影响Windows 10和Windows Server 2016/2019的最新版本。 在CVSSv3量表上,它的得分为8.1分-相当严重,但发生的情况更糟。 对于未打补丁的系统,这可能会引发高度可信的MiTM攻击。 也就是说,您可以将用户定向到假网站,以使浏览器甚至不会在证书缺失或不正确的情况下发誓。 同样,带有伪造证书的软件将被识别为合法。 这不像以前在远程访问服务中发现的漏洞那样危险,但是对于NSA和Microsoft之间的异常协作而言,它已经足够严重。
主要来源:
最新消息Microsoft
公告Microsoft博客
文章详细信息
国家安全局
咨询概念证明:
一 ,
二 ,
三Brian Krebs
的文章 ,他是第一个报告漏洞和即将发布的补丁的人
有趣的图片(
从这里 ):
从屏幕截图中可以清楚地了解问题所在。 由于Crypt32.dll库中的错误,使用椭圆曲线检查加密密钥时,Windows跳过了重要的一步。 因此,可以创建自己的证书,该证书被操作系统认为是正确的。 Kudelski Security已创建一个
站点来检查漏洞。 该页面使用伪造的Github证书签名,并且在安装补丁后,浏览器应宣誓对该域进行认证,并且证书不匹配。 在未打补丁的系统上,证书被识别为有效,并显示页面内容:
有关该漏洞的第一份报告声称,该漏洞几乎适用于过去20年的所有Windows版本,但事实并非如此。 仅支持Windows 10的最新版本和Windows Server的最新版本。 Windows 7不必修补。 这将很有趣,因为对该操作系统的支持已于本月结束。
该漏洞的范围还受到软件与Windows加密库交互的功能的限制。 在任何情况下,您都可以伪造第三方软件的数字签名。 无法伪造Windows系统更新-它们使用其他加密算法。 在Internet Explorer,Microsoft Edge浏览器和任何其他基于Chromium引擎的浏览器中,可能会伪造网站证书。 Firefox不受影响,因为它使用其自己的证书验证系统。
在某些情况下,防病毒软件会考虑存在证明程序无害的证书,因此,从理论上讲,漏洞可以促进计算机上恶意软件的感染。 但是,根据卡巴斯基实验室的说法,这样的数字不适用于其产品。 通常,我们可以说它已经解决了:未打补丁的系统面临相当大的风险,但是为此,我们需要为成功的MiTM攻击创造条件。 更危险的可能是Internet Explorer中的
错误 ,该
错误已在实际攻击中使用,并且尚无补丁。
还有什么事
除了加密漏洞外,远程桌面服务中的另一个严重漏洞也
已关闭 ,从理论上讲,该漏洞可用于执行任意代码。
出现了针对Cisco路由器中严重漏洞的
公开利用 。 该漏洞
于1月3日
关闭 ,可以用来完全控制网络设备。
下一个关键
漏洞是在Wordpress插件(InfiniteWP Client和WP Time Capsule)中发现的。 大约有30万个站点受到影响,这些错误使您无需输入密码即可获得管理员权限。
在两年之内,Google
将不再支持来自第三方站点的cookie-现在,这是跟踪出于广告目的用户行为的主要方式。
上周,在联邦调查局的要求下,苹果再次
拒绝解锁恐怖分子的手机。 上一次(
2016年 ),FBI自行管理,但自那时以来,Apple手机的保护得到了极大的改善。 这实质上是关于出于国家安全目的而削弱数据加密方法的讨论的延续。