0x00 漏洞背景

2020年01月15日，360CERT监测到微软发布了2020年1月份的安全更新，其中修复了一个Windows CryptoAPI的验证绕过漏洞(CVE-2020-0601)。该漏洞由NSA报告给微软。

0x01 漏洞详情

该漏洞存在于Windows CryptoAPI(Crypt32.dll)验证椭圆曲线加密算法证书的方式，影响Windows 10和Windows Server 2016/2019以及依赖于Windows CryptoAPI的应用程序。攻击场景包括：

1.使用伪造的证书对恶意的可执行文件进行签名，使文件看起来来自可信的来源。

2.进行中间人攻击并解密用户连接到受影响软件的机密信息。

2020年1月份的安全更新修复的其它部分严重漏洞还包括：

CVE-2020-0609/CVE-2020-0610：远程桌面网关远程代码执行漏洞，攻击者通过RDP向目标系统远程桌面网关发送恶意的请求可能导致远程代码执行。微软为Windows Server 2012/2012 R2/2016/2019发布了补丁。

CVE-2020-0611：远程桌面客户端远程代码执行漏洞，攻击者欺骗受害者连接恶意服务器之后可能导致远程代码执行。微软为从Windows 7 SP1/Windows Server 2008 R2到Windows 10 Version 1909/Windows Server 2019的版本发布了补丁。

CVE-2020-0603/CVE-2020-0605/CVE-2020-0606/CVE-2020-0646：.NET Framework远程代码执行漏洞，如果用户使用受影响的 .NET Framework版本打开恶意的文件可能导致远程代码执行。

0x02 缓解措施

1.安装360安全卫士一键更新防范此类攻击。

2.从网络流量中提取证书，检查可疑的属性。

3.为TLS代理启用证书验证，从外部实体验证TLS证书。

0x03 时间线

2020-01-14 微软官方发布安全公告

2020-01-15 360CERT发布通告

0x04 参考链接

1. Patch Critical Cryptographic Vulnerability in Microsoft Windows Clients and Servers
2. THE JANUARY 2020 SECURITY UPDATE REVIEW