微软才在本周二(1/14)披露及修补首个由美国国安局(NSA)所发现的CVE-2020-0601漏洞,但短短的两天内,就至少有两组人马已经打造出该漏洞的概念性验证(Proof of Concept,PoC)攻击程序,且通过GitHub与外界分享,其中,瑞士安全企业Kudelski Security甚至是在24小时内就公布了CVE-2020-0601的PoC。
CVE-2020-0601漏洞存在于CryptoAPI验证椭圆曲线密码学(Elliptic Curve Cryptography,ECC)的方式,根据微软与国安局的说明,黑客只要利用一个伪造的程序代码签章凭证去签署一个恶意的执行程序,让它看起来像是来自可靠且合法的来源,再利用该信赖来危害系统。
Kudelski Security的安全专家Slyvain Pelissier指出,他们参考了微软与国安局对该漏洞的描述之后,相信也许可以通过ECC及不完全符合标准曲线的明确参数来伪造凭证,缺陷存在于在加载指定明确曲线参数的凭证时。
总之,Kudelski Security不只成功打造出该漏洞的PoC,还创建了一个示范网站供用户测试。
至于另一位在GitHub上公布CVE-2020-0601漏洞PoC的则是代号为ollypwn的研究人员,他说,ECC依赖许多不同的参数,这些参数也已针对许多曲线进行了标准化,但微软并未检查所有的参数,将允许黑客使用自己的凭证产生器。
Kudelski Security认为,该漏洞并无他们原本想象的那么可怕,因为虽然它可能允许中间人攻击,但并不会被脚本小子(Script Kiddie,黑客新人)或勒索软件利用,这既是他们决定发布PoC的原因,也可能是美国国安局不藏私的原因。
即便如此,安全专家也都奉劝受到该漏洞影响的Windows 10与Windows Server 2016/2019用户应尽快修补。