2020年1月,美国国家安全局(NSA)主动向微软报告了Windows核心加密组件crypt32.dll中的一个严重证书验证漏洞(CVE-2020-0601)——该漏洞源于椭圆曲线密码(ECC)证书检测逻辑缺陷,可让恶意程序获得合法的数字签名以绕过安全检测,攻击者藉此可发起中间人攻击并伪装可信软件,微软在当月补丁星期二紧急修复并向NSA公开致谢。
该漏洞影响Windows CryptoAPI的证书链验证功能。具体而言,crypt32.dll在验证ECC证书时未正确检查基础参数,攻击者可伪造根证书或中间证书,使恶意软件看起来拥有来自受信任证书颁发机构的合法签名。由于Windows操作系统及各类安全软件广泛依赖数字签名机制判断软件可信度,此漏洞的影响范围覆盖所有受支持的Windows版本,从Windows 10到Windows Server 2019均受影响。
事件引发业界对情报机构漏洞披露策略的广泛讨论。微软在安全公告中将漏洞评定为”重要”级别并迅速发布补丁,对NSA负责任的披露方式公开表示感谢。NSA网络安全总监Anne Neuberger表示,这一披露体现了情报机构在保护国家网络安全方面的核心使命,并承诺将建立更透明的漏洞审查流程。电子前哨基金会(EFF)等隐私组织对此给予肯定,认为这是公私合作的积极范例。然而部分安全研究人员质疑:NSA手中还有多少未披露的零日漏洞?漏洞审查委员会的决策标准是否足够透明?情报收集与安全防护之间的职能冲突仍是悬而未决的制度性难题。
NSA与微软的此次协作展现了网络安全生态中公私合作的新模式,但其制度化、透明化仍需进一步推进。在国家级网络威胁日益增长的背景下,情报机构在漏洞披露上的每一个选择,都将在全球网络安全格局中产生涟漪效应。
本文由龙小新newer整理撰写,首发于信卜蜂。转载请注明出处。
消息来源
- 微软安全响应中心(MSRC):crypt32.dll漏洞公告
- NSA网络安全公告:ECC证书验证漏洞负责任披露
- NVD/NIST:crypt32.dll相关CVE条目
暂无评论内容