1、今天早些時(shí)候，我們寫了一個(gè)影響Windows 10和Server 2016的主要漏洞，被NSA發(fā)現(xiàn)并及時(shí)向微軟報(bào)告。

2、當(dāng)時(shí)，關(guān)于該漏洞的詳細(xì)信息很少，但隨著微軟在周二的補(bǔ)丁更新中發(fā)布修復(fù)程序，該局透露了一個(gè)令人擔(dān)憂的發(fā)現(xiàn)。

3、網(wǎng)絡(luò)安全局技術(shù)總監(jiān)尼爾齊林解釋說：

4、CVE-2020-0601是一個(gè)嚴(yán)重的漏洞，因?yàn)樗梢杂脕砥茐墓€基礎(chǔ)設(shè)施(PKI)信任。公鑰基礎(chǔ)設(shè)施是家庭用戶、企業(yè)和政府在許多方面依賴的一套機(jī)制。此漏洞允許攻擊者制作公鑰基礎(chǔ)架構(gòu)證書來欺騙可信憑據(jù)，例如個(gè)人、網(wǎng)站、軟件公司、服務(wù)提供商或其他人。使用偽造的證書，攻擊者可以(在某些情況下)獲得易受攻擊系統(tǒng)上的用戶或服務(wù)的信任，并利用這種信任來傷害用戶或服務(wù)。

5、這種漏洞可能會(huì)動(dòng)搖我們對(duì)密碼認(rèn)證機(jī)制強(qiáng)度的信念，讓我們懷疑自己是否真的可以依賴它們。幸運(yùn)的是，我們可以。CVE-2020-0601反映了PKI證書驗(yàn)證的一個(gè)細(xì)微的實(shí)現(xiàn)缺陷。和完善的技術(shù)標(biāo)準(zhǔn)；這是一個(gè)需要修復(fù)的實(shí)現(xiàn)。

6、CVE-2020-0601對(duì)依賴公鑰基礎(chǔ)設(shè)施獲得信任的企業(yè)和系統(tǒng)構(gòu)成了巨大的風(fēng)險(xiǎn)-就像我們所有人一樣。修補(bǔ)是降低風(fēng)險(xiǎn)的唯一綜合方法。雖然有一些方法可以檢測或防止某些形式的剝削，但它們并不完整或完全可靠。企業(yè)全面應(yīng)用基于Windows 10和Server 2016安裝的補(bǔ)丁非常重要。攻擊者善于發(fā)現(xiàn)易受攻擊的目標(biāo)。更多詳情請(qǐng)參考已發(fā)布的《NSA網(wǎng)絡(luò)安全咨詢》；它提供了關(guān)于優(yōu)先順序和檢測的指導(dǎo)。

7、這個(gè)漏洞看似不華而不實(shí)，但卻是一個(gè)關(guān)鍵問題。信任機(jī)制是互聯(lián)網(wǎng)運(yùn)行的基礎(chǔ)?！狢VE-2020-0601允許有經(jīng)驗(yàn)的威脅參與者顛覆這些基礎(chǔ)。