科技-Win10高危漏洞遭黑产攻击！腾讯安全紧急响应全面拦截

【逐日科技网】近日，微软发布CVE⑵020-0601漏洞公告，修补了Windows加密库中的CryptoAPI欺骗漏洞。该漏洞可被利用对恶意程序签名，从而骗过操作系统或安全软件的安全机制，使Windows终端面临被攻击的巨大风险，主要影响Windows 10和Windows Server 2016和2019，Win10以下版本不受影响。

经腾讯安全技术专家检测发现，该漏洞的POC和在野利用已前后出现，影响范围包括HTTPS连接，文件签名和电子邮件签名，以用户模式启动的签名可实行程序等。目前，腾讯电脑管家、T-Sec 终端安全管理系统都可修复该漏洞，腾讯安全也已率先发布漏洞利用恶意程序专杀工具，可快速检测可疑程序是否是利用CVE⑵020-0601漏洞捏造证书，用户可运行此工具扫描本地硬盘或特定目录，将危险程序清除。

腾讯安全团队对该漏洞利用的POC进行深入分析后，确认该POC为CVE⑵020-0601漏洞利用的1个典型捏造签名场景，即通过该POC可轻松捏造出正常公钥对应的第2可用私钥，相当于黑客可以用自己的私钥欺骗微软系统，随便制造1个签名，系统都以为是合法的;而在无漏洞的情况下到达该效果需要消耗极大算力。

与此同时，腾讯安全团队还检测到已有国内黑产组织利用该漏洞构造多个恶意程序，说明该漏洞的利用方法已被部分病毒木马黑产所掌握。虽然该漏洞不能直接导致蠕虫式的利用，但可以在多种欺骗场景中利用。

在野利用样本1：ghost变种远程控制木马。该样本利用漏洞构造了看似正常的数字签名，极具迷惑性。用户1旦中招，电脑将会被黑客远程控制。攻击者可以进行提权、添加用户、取得系统信息、注册表管理、文件管理、键盘记录、窃听音频等操作，还可以控制肉鸡电脑进行DDoS攻击。(图：利用该漏洞构造的恶意程序1)

在野漏洞利用样本2：horsedeal勒索病毒。该样本具有看似正常的数字签名，攻击者诱使受害者运行该恶意程序后，会导致受害者硬盘数据被加密农村违建的认定标准。

(图：利用该漏洞构造的恶意程序2)

在野利用途景3：利用漏洞欺骗浏览器对具有捏造证书的网站的信任，如通过捏造类类似域名进行钓鱼攻击，在浏览器辨认为可信网站下注入恶意脚本。(图：该恶意网页可显示正常的证书信息)

另外征地达到多少可以强拆，腾讯安全研究人员指出，在任意受影响的机器中，任意PE文件只要用这个捏造的证书进行签名，都能通过windows的证书检验。现有安全部系很大程度依赖证书签名，如果通过漏洞捏造签名欺骗系统，成功绕过安全防御及查杀机制，攻击者便可为所欲为，造成严重后果。(图：漏洞可以给任意PE文件捏造签名欺骗系统)

仅在微软发布安全公告后不到的时间里，已发现漏洞利用代码公然，及众多在野利用样本。通过对攻击样本进行深入分析，腾讯安全技术专家认为，该漏洞的相干代码已通过网络分散，被黑灰产业利用的可能性正在增加。如2017年4月，黑客攻击NSA，释放出NSA核武级漏洞攻击包就是永久之蓝系列工具包，该工具包至今还是网络黑产最常使用的攻击武器。

值得1提的是，该漏洞主要影响Windows 10和Windows Server 2016和2019。而Windows 8.1和更低版本和Server 2012 R2和更低版本不支持带有参数的ECC密钥，因此，较早的Windows版本会直接不信任尝试利用此漏洞的此类证书，不受该漏洞影响。

鉴于该漏洞具有极高的利用价值，而且在很短时间内漏洞利用方法已被黑产所掌握，腾讯安全专家建议广大企业网络管理员，可参考以下方法运行专杀工具清除危险程序。

使用方式：

1，手动扫描(个人模式)：

a，根据提示输入需要扫描的目录，然后按Enter键，如果是全盘扫描，则输入root后按Enter键

b，发现病毒的情况下，输入Y，然后按Enter键，则开始删除。该操作请谨慎，删除后没法还原

2，命令行模式(企业模式)：

a，将exe以命令行启动，比如扫描C盘test目录(##dir=C:\test;autodel=N)，如果要全盘扫描(##dir=root;autodel=N)

b, 如果要自动删除则设置autodel=Y

产品截图：以下同时，腾讯安全建议企业用户立即升级补丁尽快修复该漏洞，或使用T-Sec 终端安全管理系统(腾讯御点)统1检测修复所有终端系统存在的安全漏洞。同时，企业用户还可使用T-Sec 威胁检测系统(腾讯御界)，检测利用CVE⑵020-0601漏洞的攻击活动，全方位保障企业本身的网络安全。(图：T-Sec 威胁检测系统沙箱检测到危险程序)

对普通个人用户来说，腾讯安全推荐使用腾讯电脑管家的漏洞修复功能，或Windows Update安装补丁，拦截危险程序，全面保护系统安全。(图：腾讯电脑管家发现漏洞风险)