Win10出現(xiàn)高危漏洞，遭黑產(chǎn)攻擊 騰訊安全緊急攔截

　　2020年1月14日，微軟已經(jīng)全面停止了對Windows 7系統(tǒng)的外延支持。而在近日，微軟發(fā)布CVE-2020-0601漏洞公告，修補了Windows加密庫中的CryptoAPI欺騙漏洞。

　　該漏洞可被利用對惡意程序簽名，從而騙過操作系統(tǒng)或安全軟件的安全機制，使Windows終端面臨被攻擊的巨大風險，主要影響Windows 10以及Windows Server 2016和2019，Win10以下版本不受影響。

　　經(jīng)騰訊安全技術(shù)專家檢測發(fā)現(xiàn)，該漏洞的POC和在野利用已先后出現(xiàn)，影響范圍包括HTTPS連接，文件簽名和電子郵件簽名，以用戶模式啟動的簽名可執(zhí)行程序等。

　　目前，騰訊電腦管家、T-Sec 終端安全管理系統(tǒng)均可修復(fù)該漏洞，騰訊安全也已率先發(fā)布漏洞利用惡意程序?qū)⒐ぞ撸煽焖贆z測可疑程序是否利用CVE-2020-0601漏洞偽造證書，用戶可運行此工具掃描本地硬盤或特定目錄，將危險程序清除。

　　騰訊安全團隊對該漏洞利用的POC進行深入分析后，確認該POC為CVE-2020-0601漏洞利用的一個典型偽造簽名場景，即通過該POC可輕松偽造出正常公鑰對應(yīng)的第二可用私鑰，相當于黑客可以用自己的私鑰欺騙微軟系統(tǒng)，隨便制造一個簽名，系統(tǒng)都以為是合法的;而在無漏洞的情況下達到該效果需要消耗極大算力。

　　與此同時，騰訊安全團隊還檢測到已有國內(nèi)黑產(chǎn)組織利用該漏洞構(gòu)造多個惡意程序，說明該漏洞的利用方法已被部分病毒木馬黑產(chǎn)所掌握。雖然該漏洞不能直接導(dǎo)致蠕蟲式的利用，但可以在多種欺騙場景中運用。

　　在野利用樣本1：ghost變種遠程控制木馬。

(圖：利用該漏洞構(gòu)造的惡意程序一)

　　該樣本利用漏洞構(gòu)造了看似正常的數(shù)字簽名，極具迷惑性。用戶一旦中招，電腦將會被黑客遠程控制。攻擊者可以進行提權(quán)、添加用戶、獲取系統(tǒng)信息、注冊表管理、文件管理、鍵盤記錄、竊聽音頻等操作，還可以控制肉雞電腦進行DDoS攻擊。

　　在野漏洞利用樣本2：horsedeal勒索病毒。

　　該樣本具有看似正常的數(shù)字簽名，攻擊者誘使受害者運行該惡意程序后，會導(dǎo)致受害者硬盤數(shù)據(jù)被加密。

　　在野利用場景3：利用漏洞騙取瀏覽器對擁有偽造證書的網(wǎng)站的信任，如通過偽造類相似域名進行釣魚攻擊，在瀏覽器識別為“可信”網(wǎng)站下注入惡意腳本。

　　此外，騰訊安全研究人員指出，在任意受影響的機器中，任意PE文件只要用這個偽造的證書進行簽名，都能通過windows的證書檢驗。

　　現(xiàn)有安全體系很大程度依賴證書簽名，如果通過漏洞偽造簽名欺騙系統(tǒng)，成功繞過安全防御及查殺機制，攻擊者便可為所欲為，造成嚴重后果。

（圖：漏洞可以給任意PE文件偽造簽名欺騙系統(tǒng)）

　　僅在微軟發(fā)布安全公告后不到一天的時間里，已經(jīng)發(fā)現(xiàn)漏洞利用代碼公開，及眾多在野利用樣本。

　　通過對攻擊樣本進行深入分析，騰訊安全技術(shù)專家認為，該漏洞的相關(guān)代碼已通過網(wǎng)絡(luò)擴散，被黑灰產(chǎn)業(yè)利用的可能性正在增加。如2017年4月，黑客攻擊NSA，釋放出NSA核武級漏洞攻擊包就是永恒之藍系列工具包，該工具包至今仍是網(wǎng)絡(luò)黑產(chǎn)最常使用的絕佳攻擊武器。

　　值得一提的是，該漏洞主要影響Windows 10以及Windows Server 2016和2019。而Windows 8.1和更低版本以及Server 2012 R2和更低版本不支持帶有參數(shù)的ECC密鑰，因此，較早的Windows版本會直接不信任嘗試利用此漏洞的此類證書，不受該漏洞影響。

　　鑒于該漏洞具有極高的利用價值，而且在很短時間內(nèi)漏洞利用方法已被黑產(chǎn)所掌握，騰訊安全專家建議廣大企業(yè)網(wǎng)絡(luò)管理員，可參考以下方法運行專殺工具清除危險程序。使用方式如下：

　　1、手動掃描(個人模式)

　　a、根據(jù)提示輸入需要掃描的目錄，然后按Enter鍵，如果是全盤掃描，則輸入root后按Enter鍵

　　b、發(fā)現(xiàn)病毒的情況下，輸入Y，然后按Enter鍵，則開始刪除。該操作請謹慎，刪除后無法還原

　　2、命令行模式(企業(yè)模式)

　　a、將exe以命令行啟動，比如掃描C盤test目錄(##dir=C:\test;autodel=N)，如果要全盤掃描(##dir=root;autodel=N)

　　b、如果要自動刪除則設(shè)置autodel=Y

　　產(chǎn)品截圖：如下

　　與此同時，騰訊安全建議企業(yè)用戶立即升級補丁盡快修復(fù)該漏洞，或使用T-Sec 終端安全管理系統(tǒng)(騰訊御點)統(tǒng)一檢測修復(fù)所有終端系統(tǒng)存在的安全漏洞。此外，企業(yè)用戶還可使用T-Sec 高級威脅檢測系統(tǒng)(騰訊御界)，檢測利用CVE-2020-0601漏洞的攻擊活動，全方位保障企業(yè)自身的網(wǎng)絡(luò)安全。

(圖：T-Sec 高級威脅檢測系統(tǒng)沙箱檢測到危險程序)

　　而對于普通個人用戶來說，騰訊安全則推薦使用騰訊電腦管家的漏洞修復(fù)功能，或Windows Update安裝補丁，攔截危險程序，全面保護系統(tǒng)安全。

(圖：騰訊電腦管家發(fā)現(xiàn)漏洞風險)