美國安局主動向微軟通報Windows 10安全漏洞,超過百萬裝置蒙受風險

2020.01.15 by
Dylan Yeh
美國安局主動向微軟通報Windows 10安全漏洞,超過百萬裝置蒙受風險
shutterstock
微軟今日針對Windows 10的認證和加密消息傳遞功能發布安全補丁,該漏洞是由美國國家安全局發現,建議企業立即更新修補。

微軟今日針對Windows 10和Windows Server 2016作業系統的認證和加密消息傳遞功能發布安全補丁,該漏洞是由美國國家安全局(NSA)發現,建議企業立即更新修補,或對託管關鍵基礎架構(例如VPN伺服器或DNS伺服器)系統進行優先級排序,預計有超過數百萬的裝載Windows 10的電腦受到影響。

該漏洞是在有數十年曆史的Windows加密組件CryptoAPI中找到的。CryptoAPI的功能之一即是允許開發者在他們的軟體中加上數位簽名,證明該軟體未被篡改,但是該漏洞給予攻擊者欺騙合法軟體的機會,讓未經簽名及惡意軟體能偽裝成合法軟體,使安全防禦較低的電腦容易遭受惡意軟體的攻擊。

微軟目前將該漏洞等級歸類為「重要」而非最嚴重的「關鍵」級別,並表示目前沒有證據顯示該漏洞已被攻擊者積極利用,微軟進一步解釋說:「由於數位簽名似乎是來自受信任的提供商,因此用戶無法察覺文件是否為惡意軟體。」卡內基梅隆大學漏洞披露中心CERT-CC在其通報中表示,該漏洞還可以用於攔截和修改HTTPS(或TLS)通信。

獨立安全記者布萊恩·克雷布斯(Brian Krebs)首次披露了該漏洞的嚴重程度,警告Windows電腦和伺服器上的身份驗證潛在安全疑慮。克雷布斯表示國家安全局直接向Microsoft通報這些類型的漏洞並不常見,但這屬於國家安全局向軟體商和大眾公開該機構研究成果的計畫之一。

兩年前,國家安全局因發現並使用Windows漏洞進行監視,而不是告知微軟該漏洞的存在而受到批評,該漏洞後來被洩露,並讓WannaCry勒索軟件感染了數千台計算機,造成了數百萬美元的損失。

攻擊者長期以來一直試圖透過獲取和竊取認證的方式,將惡意軟體作為合法軟體來傳播。去年,攻擊者竊取了華碩的認證,用於簽署其軟體更新工具的後門版本,並通過將該工具推到華碩的伺服器上,結果讓數以萬計的華碩客戶遭受損失。

責任編輯:蕭閔云
資料來源:Tech CrunchThe VergeMicrosoft

延伸閱讀

每日精選科技圈重要消息