Win10出現(xiàn)高危漏洞���,遭黑產(chǎn)攻擊 騰訊安全緊急攔截
作者:騰訊企業(yè)郵箱 發(fā)布時(shí)間:2020-01-19 10:21:03 訪問量:2745
導(dǎo)讀:2020年1月14日����,微軟已經(jīng)全面停止了對(duì)Windows 7系統(tǒng)的外延支持�����。而在近日�����,微軟發(fā)布CVE-2020-0601漏洞公告����,修補(bǔ)了Windows加密庫中的CryptoAPI欺騙漏洞����。
2020年1月14日��,微軟已經(jīng)全面停止了對(duì)Windows
7系統(tǒng)的外延支持��。而在近日����,微軟發(fā)布CVE-2020-0601漏洞公告����,修補(bǔ)了Windows加密庫中的CryptoAPI欺騙漏洞����。
該漏洞可被利用對(duì)惡意程序簽名,從而騙過操作系統(tǒng)或安全軟件的安全機(jī)制�����,使Windows終端面臨被攻擊的巨大風(fēng)險(xiǎn)���,主要影響Windows
10以及Windows Server 2016和2019���,Win10以下版本不受影響���。
經(jīng)騰訊安全技術(shù)專家檢測(cè)發(fā)現(xiàn),該漏洞的POC和在野利用已先后出現(xiàn)�,影響范圍包括HTTPS連接,文件簽名和電子郵件簽名����,以用戶模式啟動(dòng)的簽名可執(zhí)行程序等。
目前�����,騰訊電腦管家�、T-Sec
終端安全管理系統(tǒng)均可修復(fù)該漏洞,騰訊安全也已率先發(fā)布漏洞利用惡意程序?qū)⒐ぞ?���,可快速檢測(cè)可疑程序是否利用CVE-2020-0601漏洞偽造證書,用戶可運(yùn)行此工具掃描本地硬盤或特定目錄��,將危險(xiǎn)程序清除�。
騰訊安全團(tuán)隊(duì)對(duì)該漏洞利用的POC進(jìn)行深入分析后,確認(rèn)該P(yáng)OC為CVE-2020-0601漏洞利用的一個(gè)典型偽造簽名場(chǎng)景�����,即通過該P(yáng)OC可輕松偽造出正常公鑰對(duì)應(yīng)的第二可用私鑰,相當(dāng)于黑客可以用自己的私鑰欺騙微軟系統(tǒng)�,隨便制造一個(gè)簽名,系統(tǒng)都以為是合法的;而在無漏洞的情況下達(dá)到該效果需要消耗極大算力���。
與此同時(shí)��,騰訊安全團(tuán)隊(duì)還檢測(cè)到已有國內(nèi)黑產(chǎn)組織利用該漏洞構(gòu)造多個(gè)惡意程序�����,說明該漏洞的利用方法已被部分病毒木馬黑產(chǎn)所掌握。雖然該漏洞不能直接導(dǎo)致蠕蟲式的利用����,但可以在多種欺騙場(chǎng)景中運(yùn)用。
在野利用樣本1:ghost變種遠(yuǎn)程控制木馬�。
(圖:利用該漏洞構(gòu)造的惡意程序一)
該樣本利用漏洞構(gòu)造了看似正常的數(shù)字簽名,極具迷惑性���。用戶一旦中招���,電腦將會(huì)被黑客遠(yuǎn)程控制。攻擊者可以進(jìn)行提權(quán)��、添加用戶、獲取系統(tǒng)信息�、注冊(cè)表管理、文件管理�、鍵盤記錄、竊聽音頻等操作��,還可以控制肉雞電腦進(jìn)行DDoS攻擊����。
在野漏洞利用樣本2:horsedeal勒索病毒。
該樣本具有看似正常的數(shù)字簽名��,攻擊者誘使受害者運(yùn)行該惡意程序后�,會(huì)導(dǎo)致受害者硬盤數(shù)據(jù)被加密。
在野利用場(chǎng)景3:利用漏洞騙取瀏覽器對(duì)擁有偽造證書的網(wǎng)站的信任���,如通過偽造類相似域名進(jìn)行釣魚攻擊�����,在瀏覽器識(shí)別為“可信”網(wǎng)站下注入惡意腳本����。
此外,騰訊安全研究人員指出���,在任意受影響的機(jī)器中���,任意PE文件只要用這個(gè)偽造的證書進(jìn)行簽名,都能通過windows的證書檢驗(yàn)��。
現(xiàn)有安全體系很大程度依賴證書簽名���,如果通過漏洞偽造簽名欺騙系統(tǒng)�����,成功繞過安全防御及查殺機(jī)制�,攻擊者便可為所欲為�����,造成嚴(yán)重后果�����。
(圖:漏洞可以給任意PE文件偽造簽名欺騙系統(tǒng))
僅在微軟發(fā)布安全公告后不到一天的時(shí)間里�����,已經(jīng)發(fā)現(xiàn)漏洞利用代碼公開�,及眾多在野利用樣本。
通過對(duì)攻擊樣本進(jìn)行深入分析���,騰訊安全技術(shù)專家認(rèn)為�����,該漏洞的相關(guān)代碼已通過網(wǎng)絡(luò)擴(kuò)散����,被黑灰產(chǎn)業(yè)利用的可能性正在增加�。如2017年4月,黑客攻擊NSA�,釋放出NSA核武級(jí)漏洞攻擊包就是永恒之藍(lán)系列工具包,該工具包至今仍是網(wǎng)絡(luò)黑產(chǎn)最常使用的絕佳攻擊武器����。
值得一提的是,該漏洞主要影響Windows 10以及Windows Server 2016和2019����。而Windows
8.1和更低版本以及Server 2012
R2和更低版本不支持帶有參數(shù)的ECC密鑰�����,因此�����,較早的Windows版本會(huì)直接不信任嘗試?yán)么寺┒吹拇祟愖C書����,不受該漏洞影響���。
鑒于該漏洞具有極高的利用價(jià)值�,而且在很短時(shí)間內(nèi)漏洞利用方法已被黑產(chǎn)所掌握�,騰訊安全專家建議廣大企業(yè)網(wǎng)絡(luò)管理員,可參考以下方法運(yùn)行專殺工具清除危險(xiǎn)程序�。使用方式如下:
1、手動(dòng)掃描(個(gè)人模式)
a���、根據(jù)提示輸入需要掃描的目錄,然后按Enter鍵��,如果是全盤掃描�����,則輸入root后按Enter鍵
b、發(fā)現(xiàn)病毒的情況下��,輸入Y�����,然后按Enter鍵��,則開始刪除�����。該操作請(qǐng)謹(jǐn)慎�����,刪除后無法還原
2�、命令行模式(企業(yè)模式)
a、將exe以命令行啟動(dòng)���,比如掃描C盤test目錄(##dir=C:\test;autodel=N)���,如果要全盤掃描(##dir=root;autodel=N)
b��、如果要自動(dòng)刪除則設(shè)置autodel=Y
產(chǎn)品截圖:如下
與此同時(shí)���,騰訊安全建議企業(yè)用戶立即升級(jí)補(bǔ)丁盡快修復(fù)該漏洞,或使用T-Sec
終端安全管理系統(tǒng)(騰訊御點(diǎn))統(tǒng)一檢測(cè)修復(fù)所有終端系統(tǒng)存在的安全漏洞��。此外�����,企業(yè)用戶還可使用T-Sec
高級(jí)威脅檢測(cè)系統(tǒng)(騰訊御界)�����,檢測(cè)利用CVE-2020-0601漏洞的攻擊活動(dòng)���,全方位保障企業(yè)自身的網(wǎng)絡(luò)安全�。
(圖:T-Sec 高級(jí)威脅檢測(cè)系統(tǒng)沙箱檢測(cè)到危險(xiǎn)程序)
而對(duì)于普通個(gè)人用戶來說��,騰訊安全則推薦使用騰訊電腦管家的漏洞修復(fù)功能���,或Windows Update安裝補(bǔ)丁��,攔截危險(xiǎn)程序���,全面保護(hù)系統(tǒng)安全。
(圖:騰訊電腦管家發(fā)現(xiàn)漏洞風(fēng)險(xiǎn))
聲明:本文由騰訊企業(yè)郵箱收集整理的《Win10出現(xiàn)高危漏洞���,遭黑產(chǎn)攻擊 騰訊安全緊急攔截》�����,如轉(zhuǎn)載請(qǐng)保留鏈接:http://www.sywwl.com.cn/news_in/373
