近日,微软发布了CVE-2020-0601漏洞通报,用于修补Windows加密库中的CryptoAPI欺骗漏洞。利用该漏洞可以对恶意程序进行签名,从而欺骗操作系统或安全软件的安全机制,使Windows终端面临极大的被攻击风险。主要影响Windows 10和Windows Server 2016、2019。Win10以下版本不受影响。
经腾讯安全技术专家检测,发现该漏洞已先后出现POC和恶意利用,影响范围包括HTTPS连接、文件签名和邮件签名、用户态启动的签名可执行程序等。目前、腾讯电脑管家和T-Sec终端安全管理系统可以修复此漏洞。腾讯安全还率先发布了利用漏洞的恶意程序查杀工具,可以快速检测可疑程序是否利用CVE-2020-0601漏洞伪造证书。用户您可以运行此工具扫描您的本地硬盘或特定目录以删除危险程序。
腾讯安全团队对该漏洞利用的POC进行深入分析后,确认该POC是CVE-2020-0601漏洞利用的典型伪造签名场景。也就是说,通过该POC可以很容易地伪造与普通公钥对应的第二可用私钥。 ,这意味着黑客可以使用自己的私钥来欺骗微软系统并随意创建签名,系统会认为它是合法的;然而,要实现这种没有漏洞的效果,需要巨大的计算能力。
同时,腾讯安全团队还检测到国内黑色组织利用该漏洞构建了多个恶意程序,表明利用该漏洞的方法已经被一些病毒、木马黑公司掌握。虽然该漏洞不能直接导致蠕虫式利用,但可以用于多种欺骗场景。
野外使用样本1:ghost变种远程控制木马。该样本利用漏洞构造了看似正常的数字签名,极其令人困惑。一旦用户被感染,计算机就会被黑客远程控制。攻击者可以进行提权、添加用户、获取系统信息、注册表管理、文件管理、键盘记录、窃听音频等操作,还可以控制肉鸡计算机进行DDoS攻击。
利用该漏洞构建的恶意程序
漏洞利用样本 2:horsedeal 勒索软件。该样本具有看似正常的数字签名。攻击者诱骗受害者运行恶意程序后,受害者的硬盘数据将被加密。
利用该漏洞构造的恶意程序2
野外利用场景三:利用漏洞利用伪造证书欺骗浏览器信任网站,例如通过伪造相似域名进行钓鱼攻击,向浏览器识别为“信任”的网站注入恶意脚本等。
恶意网页可以显示正常的证书信息
此外,腾讯安全研究人员指出,在任何受影响的机器上,任何PE文件只要用这个伪造的证书签名,都可以通过Windows证书验证。现有的安全系统严重依赖于证书签名。如果利用漏洞伪造签名欺骗系统,成功绕过安全防御和检测机制,攻击者就可以为所欲为,造成严重后果。
该漏洞可以为任何PE文件提供伪造的签名来欺骗系统。
微软发布安全公告不到一天,漏洞利用代码就被发现,并在野外发现了大量利用样本。通过对攻击样本的深入分析,腾讯安全技术专家认为,该漏洞的相关代码已通过网络传播,被黑灰行业利用的可能性正在增大。例如,2017年4月,黑客攻击NSA,发布了NSA核级漏洞攻击套件,即永恒之蓝系列工具包。该工具包仍然是网络勒索者最常用、最优秀的攻击武器。
值得一提的是,该漏洞主要影响Windows 10以及Windows Server 2016和2019。Windows 8.1及更早版本和Server 2012 R2及更早版本不支持带参数的ECC密钥,因此较旧的Windows版本将简单地不信任尝试利用此漏洞的此类证书并且不受此漏洞的影响。 。
鉴于该漏洞利用价值极高,且该漏洞的利用方法已被黑客在短时间内掌握,腾讯安全专家建议企业网络管理员参考以下方法,运行专门的查杀工具进行查杀。删除危险程序。
使用方法:
1.手动扫描(个人模式):
一个。根据提示输入要扫描的目录,然后按Enter键。如果是全盘扫描,则输入root并按回车键。
b.如果发现病毒,输入Y并按Enter键开始删除。请谨慎操作,删除后无法恢复。
2.命令行模式(企业模式):
一个。通过命令行启动exe黑客root软件,例如扫描C盘test目录(##dir=C:\test;autodel=N),如果要扫描全盘(##dir=root;autodel= “N”)
b.如果要自动删除,设置autodel="Y"
产品截图:如下
同时,腾讯安全建议企业用户立即升级补丁,尽快修复漏洞黑客root软件,或者使用T-Sec终端安全管理系统(腾讯御点)统一检测并修复所有终端系统的安全漏洞。同时,企业用户还可以使用T-Sec高级威胁检测系统(腾讯御捷)检测利用CVE-2020-0601漏洞的攻击活动,全面保护企业自身网络安全。
T-Sec 高级威胁检测系统沙箱检测危险程序
对于普通个人用户,腾讯安全建议使用腾讯电脑管家或Windows Update的漏洞修复功能安装补丁拦截危险程序,全面保护系统安全。
腾讯电脑管家发现漏洞风险
