微软和国家安全局称安全漏洞影响数百万台Windows 10计算机

 
微软已经发布了一个安全补丁程序，该漏洞针对一个危险漏洞，影响着数亿运行Windows 10的计算机。
该漏洞是在具有数十年历史的Windows加密组件(称为CryptoAPI)中找到的。该组件具有一系列功能，其中之一允许开发人员对他们的软件进行数字签名，证明该软件未被篡改。但是该漏洞可能使攻击者能够欺骗合法软件，从而有可能使在易受攻击的计算机上运行恶意软件(如勒索软件)更加容易。
微软表示：“用户将无法知道该文件是恶意的，因为数字签名似乎是来自受信任的提供商。”
卡内基梅隆大学漏洞披露中心CERT-CC在其通报中表示，该漏洞还可以用于拦截和修改HTTPS(或TLS)通信。
微软表示，没有发现证据表明该漏洞已被攻击者积极利用，并将该漏洞归类为“重要”。
独立安全记者Brian Krebs首先报道了该错误的详细信息。
国家安全局在与记者的电话中证实，它已发现该漏洞并将详细信息移交给了Microsoft，从而使该公司可以构建并准备修复程序。
仅两年前，该间谍机构因发现并使用Windows漏洞进行监视而不是警告微软注意该漏洞而受到批评。该机构利用该漏洞创建了一个名为EternalBlue的漏洞，以秘密地向易受攻击的计算机后门。但是该漏洞后来被泄露，并被WannaCry勒索软件感染了数千台计算机，造成了数百万美元的损失。
国家安全局网络安全总监Anne Neuberger告诉TechCrunch，漏洞一旦被发现，便会通过漏洞股权流程进行，该流程由政府用来确定是否应保留对漏洞的控制权，以用于进攻性安全运营。还是应将其披露给卖方。在向Microsoft报告之前，尚不清楚NSA是否将该错误用于进攻性行动。
“看到如此严重的漏洞移交给供应商而不是武器化，这令人鼓舞。”
Neuberger证实了Microsoft的发现，即NSA尚未看到攻击者积极利用此bug。
国家安全局前黑客，Rendition Infosec的创始人杰克·威廉姆斯(Jake Williams)告诉TechCrunch，“令人鼓舞”的是，该漏洞是“而不是武器化的”。
他说：“这个漏洞可能比普通黑客更容易让政府使用。” “这将是与中间层网络访问中的人相结合的理想方法。”
据说微软已经在周二向公众发布了Windows 10和Windows Server 2016的补丁程序，该补丁程序也受到了美国政府，军方和其他知名公司的影响，原因是担心该错误会被滥用，并且易受攻击的计算机可能会受到主动攻击。
消息人士告诉TechCrunch，这家软件巨头围绕漏洞的细节保持紧密联系，很少有公司完全知道其存在。仅向公司和NSA外部的一些人员(例如政府的网络安全咨询部门网络安全和基础设施安全局)简要介绍了情况。
CISA还发布了一项指令，要求联邦机构对漏洞进行修补。
他告诉TechCrunch，威廉姆斯说，这个现已修补的漏洞就像“绕过任何端点安全控制措施的万能钥匙”。
熟练的攻击者长期以来一直试图通过获取和窃取证书的形式将恶意软件作为合法软件来传播。去年，攻击者窃取了计算机制造商华硕的证书，以签署其软件更新工具的后门版本。通过将该工具推到公司自己的服务器上，结果使“成千上万”的华硕客户受到了损害。
当证书丢失或被盗时，可以使用它们来模拟应用程序制造商，从而使它们可以签名恶意软件，并使其看起来像是来自原始开发人员。
安全公司CrowdStrike的联合创始人兼首席技术官Dmitri Alperovitch在一条推文中说，NSA发现的漏洞是“关键问题”。
“每个人都应该修补。不要等待，”他说。