不尋常的1月更新:NSA首次向微軟報告Windows的嚴重安全漏洞
本月的補丁星期二注定是不平凡的,不僅是因為2020年首個累積更新活動,而是修復了存在於Windows系統中的嚴重安全漏洞,更為重要的是美國國家安全局(NSA)首次向微軟發出警告,稱在Windows系統中發現安全漏洞。這也是在NSA歷史上首次向微軟發出此類報告。
在以往的概念中,NSA往往會利用Windows系統中的漏洞來達到各種目的,絕對不會讓微軟知道哪些漏洞是有效的。不過在2020年的第1個月裡,NSA似乎自願報告了這個漏洞。這無疑是一件好事,新漏洞的代碼名為CVE-2020-0601,簡稱為“NSACrypt”。
報導中稱存在於Windows組件crypt32.dll中的安全漏洞非常嚴重,以至於Microsoft提前向政府安全服務發布了補丁。KrebsonSecurity表示:“多方消息源確認,微軟公司定於本週二發佈軟件更新,以修復所有Windows版本中核心加密組件中的嚴重漏洞。目前相關補丁已經提前發給了美軍分支機構、以及管理關鍵互聯網基礎設施的其他高價值客戶/目標,而且這些組織被要求籤署協議以阻止他們透露漏洞的細節。”
這個問題影響到NSA的Windows 10操作系統,在企業內部和消費者當中普遍存在。這個漏洞影響到用於驗證軟件或文件等內容的數字簽名的加密技術。如果被犯罪分子利用,則這個漏洞能讓其發送帶有虛假簽名的惡意內容,並使其看起來很安全。
目前還不清楚在提醒微軟注意上述漏洞之前,美國國家安全局知道這個漏洞已有多久,但此次合作與該局和微軟等主要軟件開發商過去的互動有所不同。以往,美國國家安全局總會對一些主要漏洞做保密處理,以便將其用作美國技術庫的一部分。
微軟為此發表了一份聲明,但拒絕證實或提供更多細節。聲明稱:“我們遵循協調披露漏洞的原則,將其作為保護客戶免受安全漏洞影響的行業最佳實踐。為了防止給客戶帶來不必要的風險,安全研究人員和供應商在更新可用之前不會討論漏洞細節。”
微軟高級主管傑夫·瓊斯(Jeff Jones)週二發表聲明稱:“已經進行了更新或啟用了自動更新功能的客戶現已受到保護。一如既往,我們鼓勵客戶盡快安裝所有安全更新。”微軟還表示,該公司並未看到任何“在野外”環境中利用這個漏洞的行為,也就是並無在實驗室測試環境之外的攻擊行為。