Win10漏洞惊动美国国家安全局？所有版本皆受影响

椛朶朶

https://www.ali213.net/news/html/2020-1/482437.html

　近日，根据外媒报道称美国国家安全局NSA向微软报告了一个安全漏洞，编号CVE-2020-0601，影响Windows 10所有版本。

　　存在问题的漏洞位于一个名为crypt32.dll的Windows组件中，这是管理Windows数字证书的组件之一。该漏洞可以让攻击者伪造代码签名证书对恶意可执行文件进行签名，使文件看似来自可信的来源。例如，可以让勒索软件或其他间谍软件拥有看似有效的证书，从而促使用户安装。中间人攻击并解密用户连接到受影响软件的机密信息也是主要的攻击场景之一。

该漏洞是NSA在研究中自行发现的，并且发现后就将漏洞信息透露给了微软公司，这还是NSA首次向微软报告漏洞而不是将漏洞武器化。

　　此前NSA曾因为其武器化了一个微软漏洞而陷入舆论风波，而且更糟糕的是黑客窃取了该“武器”，并在全球范围内发起了大规模的勒索软件攻击——其中就有大名鼎鼎的WannaCry，当时波及了150个国家的20万个公司。

　NSA网络安全总监Anne Neuberger召开发布会对媒体确认了报告漏洞一事，并且表示“这是微软第一次将其报告的安全漏洞归功于NSA。”

微软为此发表了一份声明，但拒绝证实或提供更多细节。声明称：“我们遵循协调披露漏洞的原则，将其作为保护客户免受安全漏洞影响的行业最佳实践。为了防止给客户带来不必要的风险，安全研究人员和供应商在更新可用之前不会讨论漏洞细节。”