Win10漏洞驚動美國國家安全局？所有版本皆受影響

　　近日，根據(jù)外媒報道稱美國國家安全局NSA向微軟報告了一個安全漏洞，編號CVE-2020-0601，影響Windows 10所有版本。

　　存在問題的漏洞位于一個名為crypt32.dll的Windows組件中，這是管理Windows數(shù)字證書的組件之一。該漏洞可以讓攻擊者偽造代碼簽名證書對惡意可執(zhí)行文件進(jìn)行簽名，使文件看似來自可信的來源。例如，可以讓勒索軟件或其他間諜軟件擁有看似有效的證書，從而促使用戶安裝。中間人攻擊并解密用戶連接到受影響軟件的機(jī)密信息也是主要的攻擊場景之一。

　　該漏洞是NSA在研究中自行發(fā)現(xiàn)的，并且發(fā)現(xiàn)后就將漏洞信息透露給了微軟公司，這還是NSA首次向微軟報告漏洞而不是將漏洞武器化。

　　此前NSA曾因?yàn)槠湮淦骰艘粋€微軟漏洞而陷入輿論風(fēng)波，而且更糟糕的是黑客竊取了該“武器”，并在全球范圍內(nèi)發(fā)起了大規(guī)模的勒索軟件攻擊——其中就有大名鼎鼎的WannaCry，當(dāng)時波及了150個國家的20萬個公司。

　　NSA網(wǎng)絡(luò)安全總監(jiān)Anne Neuberger召開發(fā)布會對媒體確認(rèn)了報告漏洞一事，并且表示“這是微軟第一次將其報告的安全漏洞歸功于NSA。”

　　微軟為此發(fā)表了一份聲明，但拒絕證實(shí)或提供更多細(xì)節(jié)。聲明稱：“我們遵循協(xié)調(diào)披露漏洞的原則，將其作為保護(hù)客戶免受安全漏洞影響的行業(yè)最佳實(shí)踐。為了防止給客戶帶來不必要的風(fēng)險，安全研究人員和供應(yīng)商在更新可用之前不會討論漏洞細(xì)節(jié)。”