腾讯安全发现CVE-2020-0601 CryptoAPI 高危漏洞在野利用

腾讯电脑管家

北京时间1月15日微软发布CVE-2020-0601漏洞公告，修补了一个Windows加密库中的关键漏洞，为Windows CryptoAPI欺骗漏洞。攻击者可利用此漏洞对恶意程序签名，从而可能骗过操作系统或安全软件的安全机制。腾讯安全团队监测到CVE-2020-0601漏洞的POC（漏洞利用代码样例）和在野利用先后出现。腾讯安全专家提醒用户尽快修复漏洞，避免成为黑客攻击的牺牲品。

在CVE-2020-0601漏洞公告发布后第二天，互联网上出现利用该漏洞的POC，这意味着漏洞利用即将到来。

图1 国外安全研究人员公开了漏洞利用POC

腾讯安全团队迅速分析了漏洞利用POC，确认该POC为CVE-2020-0601漏洞利用的一个典型伪造签名场景，即通过该POC可轻松伪造出正常公钥对应的第二可用私钥，而在无漏洞的情况下达到该效果需要消耗极大算力。

而几乎同时，腾讯安全团队还监测到已有国内黑产组织利用该漏洞构造恶意程序，证明该漏洞的利用方法已被病毒木马黑产所掌握。

图2 利用该漏洞构造的恶意程序

腾讯安全团队验证确认，Windows CryptoAPI (Crypt32.dll)欺骗漏洞（CVE-2020-0601）只影响Win10之前的系统，并不影响Win7。微软公司也关注到国内有关炒作，并作出澄清指出该漏洞并不影响所有Windows系统。 鉴于该漏洞具有极高的利用价值，而且在很短时间内漏洞利用方法已被黑产所掌握，腾讯安全专家建议用户尽快修复漏洞，以免成为黑客攻击的目标。

安全建议：

1.个人用户可使用腾讯电脑管家的漏洞修复功能，或Windows Update安装补丁；使用腾讯电脑管家拦截危险程序。

2.企业用户可使用腾讯T-Sec-高级威胁检测系统（NTA，腾讯御界）检测利用CVE-2020-0601漏洞的攻击活动。

图3 腾讯御界沙箱检测到危险程序

3.建议企业网管使用腾讯T-Sec-终端安全管理系统（EPM，腾讯御点）统一检测修复所有终端系统存在的安全漏洞。