所有Windows都中招！微软爆出超级漏洞

本周三所有运行Windows的企业和个人都必须密切关注并更新一个Windows补丁

据著名安全博客KrebsOnSecurity爆料，微软计划于周三（美国当地时间周二）发布重要软件更新，修复一个：

所有版本Windows中都存在的核心加密组件中的一个极为严重的安全漏洞。

NSA发现史上最可怕的微软产品漏洞，美军方优先获得补丁

据Krebs的Twitter消息，美国国家安全局NSA首先发现这个漏洞并呈报给微软。

另据消息人士说，在周二补丁日之前，微软已经悄悄地将这个漏洞的补丁发送给了美国国防部（DoD）美军分支机构以及管理关键互联网基础设施的其他高价值客户/目标，并且这些组织已经被要求签署保密协议，以阻止他们透露漏洞的细节。

根据消息来源，这个漏洞位于名为crypt32.dll的Windows组件中，用于处理“ CryptoAPI中的证书和加密消息传递功能。”

Microsoft CryptoAPI 是微软提供给开发人员的Windows安全服务应用程序接口，可用于加密的应用程序，实现数据加密、解密、签名及验证等功能。

由于复杂的加密算法实现起来非常困难，所以在过去，许多应用程序只能使用非常简单的加密技术，这样做的结果就是加密的数据很容易就可以被人破译。而使用Microsoft提供的加密应用程序接口（即Cryptography API）,或称CryptoAPI，就可以方便地在应用程序中加入强大的加密功能，而不必考虑基本的算法。

影响所有Windows产品和用户的“超级漏洞”

Windows组件中的这个严重漏洞（CVE-2020-0601）可能会对许多重要的Windows功能产生广泛的安全影响，包括在Windows台式机和服务器上进行身份验证，保护由Microsoft的浏览器（Internet Explorer / Edge）浏览器处理的敏感数据，以及许多第三方应用程序和工具。

同样令人担忧的是，攻击者还可能滥用 crypt32.dll中的漏洞来欺骗与特定软件相关的数字签名。

攻击者可以利用这个漏洞，使恶意软件看起来像是由合法软件公司生产并签名的良性程序。

存在漏洞的组件是20多年前就引入Windows，从Windows10、Windows Server2016一直可以追溯到爷爷辈的Windows NT 4.0中。因此，可以说所有版本的Windows都可能受到影响（包括Windows XP，Microsoft的补丁程序不再支持Windows XP）。

一位提前获知消息的CERT/CC的一位漏洞分析师Will Dormann发推说：“我有预感大家明天要拿出十二万分的热情来更新补丁”

而一位基础设施安全专家则吐槽说已经连续收到多个联邦机构的“七道金牌”，明天务必一定必须“全部更新”补丁，但这对低带宽的边缘网络来说是个巨大的挑战。

动摇了整个网络安全基础设施的信心基础

美国东部时间周一下午，Microsoft做出回应：表示在漏洞补丁更新可用之前，它不会讨论该漏洞的详细信息。该公司还表示，“不会在常规更新时间表（星期二）之前发布可用于生产的更新。微软在一份书面声明中说：“通过我们的安全更新验证程序（SUVP），我们发布了更新的升级版本，目的是在实验室环境中进行验证和互操作性测试。” “根据合同，不允许该程序的参与者将修复程序应用于此目的之外的任何系统，并且不得将其应用于生产基础结构。”

爆料的安全博客KrebsOnSecurity周二收到了美国国家安全局（NSA）的警告，称NSA计划本周三（1月14日）召开电话会议，向新闻媒体“提供有关当前NSA网络安全问题的高级通知。”

美国国家安全局网络空间安全总监Anne Neuberger指出，微软核心加密组件的漏洞，动摇了整个网络安全基础设施的信心基础。

【本文发布前更新】

• Google漏洞研究员Tavis Ormandy今晨发推确认微软漏洞不仅仅威胁代码签名，而且导致所有509证书验证失效，攻击者可以截获并修改TLS加密通讯。
• NSA发布的漏洞修复建议（比微软和CERT/CC的公告更详尽）：https://media.defense.gov/2020/Jan/14/2002234275/-1/-1/0/CSA-WINDOWS-10-CRYPT-LIB-20190114.PDF

本文参考来源：https://krebsonsecurity.com/2020/01/cryptic-rumblings-ahead-of-first-2020-patch-tuesday/