NSA Windows 10安全披露提出了问题
超过一半的英国企业缺乏实施5G的信心
制造商呼吁在科技上妇女周围的“叙述变化”
Wolverhampton市委员会龙头市费以提供全纤维连通性
新内阁办公室初级部长接管了GDS职责
英国和美国指责俄罗斯幽灵的佐治亚网络攻击
Verizon在伦敦开设5G实验室和工作室
IR35私营部门改革:在税收地位评估武器中的国家网格承包商
iPhone 11将二级移动市场震撼,因为换货率继续上升
遇见警察署长警察技术立法框架
NHSX任命新的首席技术官
欧盟无视大型技术公司并提出单一数据市场
安全面试:Gil Shwed的安全10年愿景
英国调查了用于搜救的无人机用途
北欧行业增加了IOT和大数据技能的外包
新加坡世界顶级在线威胁的来源
Techuk为春季预算制定了建议
私募股权球员在2019年促进了数据中心的合并和收购的纪录数
安全恐惧持续但企业绝大多数地看到5G的积极影响
华为:MPS空气涉及代码和管理合同中的安全风险
NHS Digital推出登录工具包
NHSX为信托的最低技术支出
GDS致力于加入政府服务
NHSX自发布以来发布第一份进度报告
KDDI TAPS诺基亚,爱立信支持5G独立网络
泰国为数据保护法准备好了
Canonical在云中提供可扩展的移动Android应用程序
Cisos恐惧成为下一个旅行
沃达丰揭示了200亿欧元的成本,两年5G推出延迟,从核心网络剥离华为
华为盯着光学网络机会
CES 2020:IBM培养了Q网络合作者
NHS将供应商安全审核添加到采购平台
NHS警告GE Health Equipment的严重漏洞
自由全球欧洲震撼了行政领导力
腾讯云收益多层云安全认证
内阁办公室推出数据处理评审
政府从地平线诉讼中的邮局决定距离
DCMS旨在外面的专家们在支出审查之前审查政府数据分享
基于MAC的安全威胁突破窗口
俄罗斯的VTB和Rostelecom专注于大数据
Lorca宣布推出新的20个安全扩展队伍的队列
为什么亚波蹄船员呼吁政府支付地平线试验费用
Harvey Nash Hires第一个女首席执行官
分析师表示,美国不太可能在华为随时迫使华为的收入
爱沙尼亚Cio为英国IT专业人士提供希望,因为Brexit删除了权利
万事达卡打开欧洲安全弹性单位
工业集团推出以制定下水道网络中的光纤部署标准
IR35私营部门改革:招聘产业敦促大臣4月2020年4月推出
IR35法庭认为全国项目经理失去了7万英镑的税收票据诉诸HMRC
爱沙尼亚给予公民Alexa-Lise的公共服务
您的位置:首页 >科技 > 消费电子 >

NSA Windows 10安全披露提出了问题

2021-09-11 14:44:18 [来源]:

在Microsoft移动以修复一个关键的加密漏洞后,网络安全行业正在嗡嗡作响,以便在美国国家安全局(NSA)的提示之后,渲染Windows 10和Windows Server 2016非常容易受到网络犯罪分子的Windows Server 2016。

Anne Neuberger于1920年1月14日新闻发布会上表示,该组织首次发布了该组织的漏洞公众,该问题是“信任弱势群”的漏洞。

Windows CryptoAPI的Crypt32.dll元素的漏洞,CVE-2020-0601,Crypt32.dll元素如何验证一种称为椭圆曲线密码学或ECC证书的证书。

通过利用它,黑客可以使用欺骗的代码证书来呈现恶意可执行文件作为可信任的,合法的文件,因此受害者将绝对无法知道它是危险的,因为它的数字签名将是完全信任的。

成功的漏洞利用也可以让黑客执行所谓的中间人攻击,并将关于用户连接的机密信息解密到受影响的软件。

Amit Yoran,Adable和美国计算机紧急批准团队(CERT)的创始总监CEO董事长和首席执行官表示,如果不是前所未有的,对于政府机构披露其对供应商的关键脆弱性的发现,这是罕见的。

“它强调了漏洞的关键性,我们敦促所有组织能够快速修补系统的优先级,”他说。“这些显然值得注意的是常规做法的转变,并使这种脆弱性值得关注,也值得询问有关的问题。

“多久以前发现了漏洞?发现到报告需要多长时间?NSA使用了吗?是否已经观察过外国情报服务?是什么触发了供应商披露的?这些问题都没有改变组织在这一点上需要做些什么,但他们的答案可能会告诉我们更多关于我们运作的环境。“

Vectra安全分析负责人Chris Morales表示:“我有兴趣了解这是什么让这个剥削值得向微软报告而不是保持他们的个人库,因为他们过去了。

“这可能是因为许多以前的工具泄露并且在多个组织中引起了广泛的伤害。它可能是因为有人担心他人会发现这个脆弱性自己,它足以保证修复而不是武器化。或者它可以是NSA已经有足够的其他方法来损害Windows系统并且不需要它。“

Neuberger表示,NSA在突出脆弱性方面的目标是快速警告最终用户来应用Windows补丁的重要性,并指出这一点太少的组织当然会这样做。

在一份声明中,NSA说:“该漏洞将Windows端点置于广泛的开发向量方面。NSA评估脆弱性严重,并且复杂的网络演员将非常快速地了解潜在的缺陷。

“不修补脆弱性的后果严重和普遍。远程剥削工具可能会迅速和广泛地提供。迅速采用贴片是此时唯一已知的缓解,应该是所有网络所有者的主要关注点。“

回到“非常”的严重脆弱性

第一次指示星期二的修补周二将出现在普通人中的一些东西提前24小时,当时安全研究员将为证书的一些漏洞报告编写了一些漏洞,推文应该“支付非常接近注意,以及时安装明天的Microsoft补丁周二更新“。

这是由独立的安全研究员Brian Krebs挑选的,他致力于自己的来源,揭示微软计划在所有核心加密组件中发布修复了修复了Windows中存在的“核心加密组件”的“非常严重的漏洞”。这结果是CVE-2020-0601。

Krebs表示,他的消息人士已经告诉他微软,实际上已经向美国军队的分支机构和其他关键高价值客户和目标的分支机构发货,包括管理全球互联网基础设施的责任。

他表示,提前收到补丁的组织被要求签署不披露协议,以防止他们提前公开披露缺陷。

克雷布斯的博客在线正式停止支持Windows 7的那一天,在网络安全部门迅速挑选,在1月14日在新闻呼吁中提示一波媒体故事。

NSA在过去的批评中,它对它开发的EternalBlue开发者进行了批评,随后失去了控制,导致2017年5月的臭虫爆发,这继续跨越威胁景观。

Ivanti的高级产品经理Todd Schell表示,该漏洞影响了许多安全技术依赖于建立和验证信任的非常重要的程序链。“如果攻击者有一种手段来欺骗系统认为文件被正确签名,他们可以绕过许多安全措施,”他说。“该漏洞仅被评为重要,但距离CVES [常见漏洞和暴露]有很多案例仅被评为重要,在野外被剥削。

“由于这种漏洞的性质,我们将敦促公司本月将此视为最优先事项并迅速修复。”

Cyber​​ Cyber​​ Security Research Center(Cyrc)的主要安全战略家,补充说:“在推迟补丁的情况下有时有时,但是推迟CVE-2020-0601的补丁并不是其中之一。底层组件Crypt32.dll用于Windows计算机 - 服务器和桌面上的所有数字签名。这是帮助验证SSL连接的组件,软件包是否合法,以及为电子邮件身份验证提交的数字证书是否有效,以及许多其他安全项目。“

除了CVE-2020-0601之外,1月2020年1月20日修补周二更新固定了49个影响Microsoft Windows,Internet Explorer,Microsoft Office和Microsoft Office Services和Web Apps,ASP.NET核心,.NET核心,.NET Framework,Onedrive的49个错误适用于Android和Microsoft Dynamics。

最新一轮更新还显示了Windows 7,Server 2008和Server 2008 R2的最终公共补丁。反对所有建议的用户想要继续运行Windows 7应该已经与Microsoft进行了咨询。

其他供应商在1月14日释放他们的补丁周二更新包括Oracle,该oracle共有334个错误; VMware,它在VMware工具中关闭了漏洞,这些工具可以允许黑客控制受控系统; Adobe,它在Illustrator CC和体验经理中解决了漏洞;和英特尔修复了多种漏洞,其中一些可能让黑客在受影响的系统上获得特权升级。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。