1、今天早些時候，我們寫了一個影響Windows 10和Server 2016的主要漏洞，被NSA發(fā)現(xiàn)并及時向微軟報告。

2、當時，關于該漏洞的詳細信息很少，但隨著微軟在周二的補丁更新中發(fā)布修復程序，該局透露了一個令人擔憂的發(fā)現(xiàn)。

3、網(wǎng)絡安全局技術總監(jiān)尼爾齊林解釋說：

4、CVE-2020-0601是一個嚴重的漏洞，因為它可以用來破壞公鑰基礎設施(PKI)信任。公鑰基礎設施是家庭用戶、企業(yè)和政府在許多方面依賴的一套機制。此漏洞允許攻擊者制作公鑰基礎架構證書來欺騙可信憑據(jù)，例如個人、網(wǎng)站、軟件公司、服務提供商或其他人。使用偽造的證書，攻擊者可以(在某些情況下)獲得易受攻擊系統(tǒng)上的用戶或服務的信任，并利用這種信任來傷害用戶或服務。

5、這種漏洞可能會動搖我們對密碼認證機制強度的信念，讓我們懷疑自己是否真的可以依賴它們。幸運的是，我們可以。CVE-2020-0601反映了PKI證書驗證的一個細微的實現(xiàn)缺陷。和完善的技術標準；這是一個需要修復的實現(xiàn)。

6、CVE-2020-0601對依賴公鑰基礎設施獲得信任的企業(yè)和系統(tǒng)構成了巨大的風險-就像我們所有人一樣。修補是降低風險的唯一綜合方法。雖然有一些方法可以檢測或防止某些形式的剝削，但它們并不完整或完全可靠。企業(yè)全面應用基于Windows 10和Server 2016安裝的補丁非常重要。攻擊者善于發(fā)現(xiàn)易受攻擊的目標。更多詳情請參考已發(fā)布的《NSA網(wǎng)絡安全咨詢》；它提供了關于優(yōu)先順序和檢測的指導。

7、這個漏洞看似不華而不實，但卻是一個關鍵問題。信任機制是互聯(lián)網(wǎng)運行的基礎?！狢VE-2020-0601允許有經(jīng)驗的威脅參與者顛覆這些基礎。