補(bǔ)丁Windows 10和服務(wù)器現(xiàn)在 因?yàn)樽C書驗(yàn)證被打破

微軟為Windows安排的安全更新包括修復(fù)一個(gè)潛在的危險(xiǎn)錯(cuò)誤，允許攻擊者欺騙一個(gè)證書，使它看起來像是來自受信任的來源。該漏洞由安全局向微軟報(bào)告，影響Windows10、Windows Server2016、Windows Server2019和Windows Server1803版本。

微軟將此次更新評(píng)為“重要”而非“關(guān)鍵”。但在一篇博客文章中，微軟安全響應(yīng)中心（Micros of t Security Response Center）首席安全程序經(jīng)理梅切爾·格魯恩（Mechele Gruhn）解釋說，這是因?yàn)椤拔覀儧]有看到它被用于主動(dòng)攻擊。”

然而，微軟以外的研究人員——包括谷歌的塔維斯·奧曼迪（Tavis Ormandy）——對(duì)漏洞的評(píng)估要糟糕得多，并敦促用戶在活躍的漏洞出現(xiàn)之前迅速修補(bǔ)漏洞。

會(huì)確認(rèn)所有的X。509驗(yàn)證失敗，不僅僅是代碼簽名。好吧，我又回到炒作的火車上了，這太糟糕了。https://t.co/6rBV1lu4Yk

——塔維斯·奧曼迪（@tavis o）2020年1月14日

漏洞在驗(yàn)證X的Windows密碼庫的組件中。509個(gè)證書，不知何故繞過了用于驗(yàn)證證書的信任鏈。微軟關(guān)于該漏洞的咨詢稱，該漏洞可能被用來偽造惡意版本的應(yīng)用程序的軟件簽名證書，使其看起來像是來自受信任的開發(fā)人員。然而，風(fēng)險(xiǎn)不僅僅是代碼簽名。安全局的一項(xiàng)咨詢指出，該漏洞可用于針對(duì)安全HTTP（HT TPS）連接的中間人攻擊，以及欺騙簽名文件和電子郵件。

只要不使用Windows的證書驗(yàn)證，就有可能對(duì)使用檢查TLS流量的網(wǎng)絡(luò)設(shè)備的欺騙證書進(jìn)行網(wǎng)絡(luò)級(jí)保護(hù)。但安全局警告說，“快速采用補(bǔ)丁是目前唯一已知的緩解措施，應(yīng)該是所有網(wǎng)絡(luò)所有者的首要關(guān)注點(diǎn)?！?/p>

當(dāng)然，還有很多其他更緊迫的事情，我們知道-就像所有的Citrix和脈沖安全VPN，還沒有修復(fù)。

現(xiàn)在回到那些數(shù)百個(gè)未補(bǔ)丁的政府SSLVP N盒，這些盒子正在被積極地利用，并將您放在網(wǎng)絡(luò)中，并給您有效的憑據(jù)。