令人震惊的Windows 10“曲线”加密安全威胁确实确实存在

Windows 10“曲线”加密漏洞的利用代码浮出水面

多伦多之星通过盖蒂图片社

美国政府警告的Windows 10“曲线”加密漏洞的利用代码现已浮出水面。对于9亿用户来说，这真是个坏消息。

国家安全局报告的Windows 10 CryptoAPI漏洞被命名为“曲线球”

三天的网络安全时间很长。就在三天前，我写了一篇文章“针对9亿用户的新Windows 10’特别严重的’安全警告”，该文章预测每月的Microsoft Patch周二更新将揭示一些较严重的漏洞可能会在一定程度上影响操作系统时间。在随后的不到72小时内，美国国家安全局（NSA）网络安全局局长Anne Neuberger确认，NSA本身已经报告了“使信任变得脆弱”的漏洞。在宣布该消息的几小时内，微软发布了星期二的补丁更新，并披露了CVE-2020-0601这个Windows CryptoAPI欺骗漏洞，有些人现在将其称为“曲线球”。

CISA发布紧急指令，但一些安全专业人员对此印象深刻

人们认为这种影响严重到足以说服美国网络安全和基础结构安全局（CISA）发布紧急指令，建议立即修补Windows10。随后不可避免的反弹开始了，一些安全专业人员带着社交媒体的身份将其消除为不是全部。确实，我与信息安全社区中受人尊敬的成员进行了交谈，他们警告我不要沉迷于NSA的这种夸张行为。该漏洞本质上远非关键，因此很难利用。可以将正在绘制的整体图像概括为“这里什么也看不到；请继续前进”。

Curveball概念证明漏洞利用代码现已浮出水面

但是，已经有很多值得一看的东西。通过将Microsoft，计算机紧急响应小组（CERT）和NSA公开的已知技术细节组合在一起，研究人员开始产生概念证明（POC）漏洞利用。萨利姆·拉希德（Saleem Rashid）能够利用NSA.gov和Github网站上的Rickroll曲线球漏洞播放Rick Astley演唱的《永不放弃》的视频。 Saleem并未发布他的漏洞利用代码，但是不久之后，更多的POC漏洞出现在网上。 Kudelski Security研究人员确定“可能可以使用椭圆曲线密码术（ECC）和不完全符合标准曲线的显式参数来制作证书”，因此产生了POC漏洞并进行了测试，以确定用户是否易受攻击。

对于脚本小子来说很难，但是对于坚定的攻击者来说相对容易

好消息是，Microsoft Windows Defender已更新，可以检测试图利用证书有效性的证书，而Kudelski Security说，曲线球漏洞“没有被脚本小子或勒索软件利用的风险”。但是，库德尔斯基还警告说，漏洞利用无处不在，民族国家的对手将具有“拥有网络”并发起攻击所需的能力。

MF’er攻击情景

是的，这仍然是一种攻击场景，需要一定水平的技能和决心。但这并不意味着可以忽略。中间人攻击或对性别术语偏少性别的MF’er攻击具有挑战性，但这并不能阻止它们的发生。很多。并不是说必须利用MF’er攻击来利用曲线球。这可以通过社会工程学来实现。将受害者定向到ECC签名的根证书站点以确保将其缓存在目标系统上，然后实施恶意单击策略就足够了。

您知道该怎么办：尽快更新Windows 10，Windows Server 2016和Windows Server 2019

如果说三天的网络安全时间很长，那么就威胁行为者而言，绝对是一两个星期。这只是时间问题，我想在发现自己报告真实世界的曲线球攻击之前没有那么多时间。因此，请听取建议，并确保您的Windows 10，Windows Server 2019和Windows Server 2016系统已获得最紧急的补丁。

—-

原文链接：https://www.forbes.com/sites/daveywinder/2020/01/17/windows-10-security-alert-as-alarming-curveball-threat-just-got-very-real-indeed/

原文作者：globalcryptopress

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。