【风险提示】关于Microsoft Windows CryptoAPI.dll存在椭圆曲线密码证书检测绕过漏洞的风险提示

2020 年1月15日，微软例行公布了1月的补丁更新列表，在其中存在一个位于CryptoAPI.dll椭圆曲线密码(ECC)证书检测绕过相关的漏洞，同时紧随其后的是美国NSA发布的相关漏洞预警通告，其中通告显示，该漏洞为NSA独立发现，并汇报给微软，该漏洞危害程度为严重 (critical) 。且存在利用此漏洞的针对性APT攻击的情况。目前官方已经发布安全补丁，建议用户尽快安装补丁升级到安全版本。

二、影响范围

目前，支持使用带有指定参数的ECC密钥的证书的Microsoft Windows版本会受到影响，包括了以及依赖于WindowsCryptoAPI的应用程序。

受影响版本：

Windows 10 各个版本

Windows Server 2016/2019 各个版本

不受影响版本：

Windows 10 之前的版本，如Windows 7、Windows8、Windows Server 2008 、Windows Server 2012等均不受该漏洞的影响。

三、漏洞原理

该漏洞位于WindowsCryptoAPI(Crypt32.dll)验证椭圆曲线加密算法证书的方式，可能影响信任的一些实例包括（不限于）：HTTPS连接、文件签名和电子邮件签名、以用户模式启动的签名可执行程序。

此外，该漏洞可以让攻击者伪造代码签名证书对恶意可执行文件进行签名，使文件看似来自可信的来源。例如，可以让勒索软件或其他间谍软件拥有看似有效的证书，从而促使用户安装。中间人攻击并解密用户连接到受影响软件的机密信息也是主要的攻击场景之一。

六、修复建议

目前Microsoft官方已经发布安全补丁，建议用户升级进行补丁升级：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601

https://media.defense.gov/2020/Jan/14/2002234275/-1/-1/0/CSA-WINDOWS-10-CRYPT-LIB-20190114.PDF

除了安装修补程序之外，企业还可以采取其他措施保护端点：

(1) 从网络流量中提取证书，检查可疑的属性；

(2) 通过执行TLS检查，但不使用Windows进行证书验证的代理设备来承载流量；

(3) 在企业内部部署私有根证书颁发机构，并且在特定计算机/服务器位置控制第三方软件的部署和使用；