補丁Windows 10和服務(wù)器現(xiàn)在 因為證書驗證被打破

微軟為Windows安排的安全更新包括修復(fù)一個潛在的危險錯誤，允許攻擊者欺騙一個證書，使它看起來像是來自受信任的來源。該漏洞由安全局向微軟報告，影響Windows10、Windows Server2016、Windows Server2019和Windows Server1803版本。

微軟將此次更新評為“重要”而非“關(guān)鍵”。但在一篇博客文章中，微軟安全響應(yīng)中心（Micros of t Security Response Center）首席安全程序經(jīng)理梅切爾·格魯恩（Mechele Gruhn）解釋說，這是因為“我們沒有看到它被用于主動攻擊?！?/p>

然而，微軟以外的研究人員——包括谷歌的塔維斯·奧曼迪（Tavis Ormandy）——對漏洞的評估要糟糕得多，并敦促用戶在活躍的漏洞出現(xiàn)之前迅速修補漏洞。

會確認所有的X。509驗證失敗，不僅僅是代碼簽名。好吧，我又回到炒作的火車上了，這太糟糕了。https://t.co/6rBV1lu4Yk

——塔維斯·奧曼迪（@tavis o）2020年1月14日

漏洞在驗證X的Windows密碼庫的組件中。509個證書，不知何故繞過了用于驗證證書的信任鏈。微軟關(guān)于該漏洞的咨詢稱，該漏洞可能被用來偽造惡意版本的應(yīng)用程序的軟件簽名證書，使其看起來像是來自受信任的開發(fā)人員。然而，風險不僅僅是代碼簽名。安全局的一項咨詢指出，該漏洞可用于針對安全HTTP（HT TPS）連接的中間人攻擊，以及欺騙簽名文件和電子郵件。

只要不使用Windows的證書驗證，就有可能對使用檢查TLS流量的網(wǎng)絡(luò)設(shè)備的欺騙證書進行網(wǎng)絡(luò)級保護。但安全局警告說，“快速采用補丁是目前唯一已知的緩解措施，應(yīng)該是所有網(wǎng)絡(luò)所有者的首要關(guān)注點?！?/p>

當然，還有很多其他更緊迫的事情，我們知道-就像所有的Citrix和脈沖安全VPN，還沒有修復(fù)。

現(xiàn)在回到那些數(shù)百個未補丁的政府SSLVP N盒，這些盒子正在被積極地利用，并將您放在網(wǎng)絡(luò)中，并給您有效的憑據(jù)。