Windows CryptoAPI ECC欺騙漏洞修復提示

由 e安全發佈 2020-01-23T11:22:35+00:00

此漏洞由美國國家安全局發現並報告，漏洞編號為CVE-2020-0601，相關連結：2.影響範圍CVE-2020-0601漏洞主要影響Windows 10、Windows Server 2016/2019、Windows Server 1803/1903/1909版本，具體版本如下

以下文章來源於安恆信息應急響應中心，作者安恆應急響應中心

1. 漏洞公告

1月14日，微軟發布了2020年1月份月度安全更新公告，其中包含一個Windows最新版本（包括Windows 10、Windows Server 2016/2019、Windows Server 1803/1903/1909版本）中使用Windows CryptoAPI (Crypt32.dll) 驗證橢圓曲線加密 (ECC) 證書的方式中存在欺騙的漏洞。此漏洞由美國國家安全局（NSA）發現並報告，漏洞編號為CVE-2020-0601，相關連結：

2. 影響範圍

CVE-2020-0601漏洞主要影響Windows 10、Windows Server 2016/2019、Windows Server 1803/1903/1909版本，具體版本如下：

Windows 10 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1709 for 32-bit Systems

Windows 10 Version 1709 for ARM64-based Systems

Windows 10 Version 1709 for x64-based Systems

Windows 10 Version 1803 for 32-bit Systems

Windows 10 Version 1803 for ARM64-based Systems

Windows 10 Version 1803 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for x64-based Systems

Windows Server 2016

Windows Server 2016 (Server Core installation)

Windows Server 2019

Windows Server 2019 (Server Core installation)

Windows Server, version 1803 (Server Core Installation)

Windows Server, version 1903 (Server Core installation)

Windows Server, version 1909 (Server Core installation)

Windows 10 之前的版本，例如Windows 7、Windows Server 2008 R2 等不受到該漏洞的影響。

3. 漏洞描述

Windows 10、Windows Server 2016/2019、Windows Server 1803/1903/1909版本中使用的Windows CryptoAPI (Crypt32.dll) 驗證橢圓曲線加密 (ECC) 證書的方式中存在欺騙漏洞，攻擊者可以通過使用欺騙性的代碼簽名證書對惡意可執行文件進行簽名來利用此漏洞，從而使該文件看似來自受信任的合法來源，用戶將無法知道該文件是惡意文件，因為數字簽名看似來自受信任的提供程序，成功的利用還可以使攻擊者進行中間人攻擊，並對有關用戶與受影響軟體的連接的敏感信息進行解密，建議儘快測試和更新該安全補丁。

4. 緩解措施

高危：目前漏洞細節和利用代碼暫未公開，但惡意攻擊者可能對安全更新補丁進行對比分析出漏洞原因，並進一步開發出漏洞利用代碼或工具，建議及時測試並安裝安全更新補丁。

攻擊檢測

當安裝更新補丁後，檢測到有人嘗試利用CVE-2020-0601漏洞攻擊時，系統將在每次重啟後在「Windows 日誌/應用程式」日誌中生成由用戶模式進程引起的事件ID為1的事件。

注意：安裝補丁前「Windows 日誌/應用程式」也會有事件ID為１的事件：「已經啟動 Windows 安全中心服務。」，來源SecurityCenter，這個是正常的。

關鍵字：

#tech #科技 #E安全

Realwoman_超速暢草本酵素錠_三代升級

售價 NT$ 790-1,380

【台灣製】陳時中同款_全面性防飛沫_全包覆式護目鏡

售價 NT$ 299-499

【amz嚴選】環保百搭_雙面水果手提袋

售價 NT$ 249

三倍滲透_熱感SPA_33°C精華液

售價 NT$ 990

【Dr.future長泰】活視王專利NADH葉黃素膠囊

售價 NT$ 890-1,980

【amz嚴選】侘寂風_旅行鞋子收納袋

售價 NT$ 229

【amz嚴選】創意不鏽鋼餐具2件組

售價 NT$ 349

【amz嚴選】精準上妝_LED廣角化妝鏡

售價 NT$ 690