一、事件报告

2020年伊始，NSA发现了一个影响Microsoft Windows加密功能的严重漏洞(CVE-2020-0601)。证书验证漏洞允许攻击者破坏Windows验证加密信任的方式，并且可以启用远程代码执行。该漏洞会影响Windows 10和Windows Server 2016/2019以及依赖Windows的信任功能的应用程序。利用此漏洞，攻击者可以击败受信任的网络连接并传递可执行代码，同时显示为合法可信的实体。示例，其中信任验证可能会受到影响，包括(不限于)： 

HTTPS连接

文件签名和电子邮件签名

以用户模式启动的签名可执行程序

二、影响范围

存在漏洞的组件是20多年前就引入Windows，从Windows10、Windows Server2016一直可以追溯到爷爷辈的Windows NT 4.0中。因此，可以说所有版本的Windows都可能受到影响(包括Windows XP)。

三、缓解措施

金山安全实验室认为及时升级补丁是目前唯一已知的缓解措施，建议大家立即升级。以有效缓解所有相关系统上的漏洞。

补丁信息：

CVE-2020-0601 Windows CryptoAPI中存在欺骗漏洞,影响以下Windows Server版本的系统：需要打对应的补丁编号，金山安全已经为您标注：

Windows Server 2016 (KB4534271)

Windows Server 2016 (服务器核心安装)(KB4534271)

Windows Server 2019 (KB4534273)

Windows Server 2019 (服务器核心安装)(KB4534273)

★Windows Server 2008由于不支持带参数的ECC密钥，因此不受此漏洞影响。

CVE-2020-0601 Windows CryptoAPI中存在欺骗漏洞

影响以下普通版本的系统：

需要打对应的补丁编号，金山安全已经标注

Microsoft Windows 10 X86 X64 1507 (KB4534306)注：1507为2015_ltsb版本的系统Microsoft Windows 10 X86 X64 1607 (KB4534271)注：1607为2016_ltsb版本的系统Microsoft Windows 10 X86 X64 1709 (KB4534276)Microsoft Windows 10 X86 X64 1803 (KB4534293)Microsoft Windows 10 X86 X64 1809 (KB4534273)Microsoft Windows 10 X86 X64 1903 (KB4528760)Microsoft Windows 10 X86 X64 1909 (KB4528760)

★Windows 7 X86 X64 Service Pack 1由于不支持带参数的ECC密钥，因此不受此漏洞影响。

.NET Framework 漏洞

CVE-2020-0606 .NET Framework远程执行代码漏洞CVE-2020-0605 .NET Framework远程执行代码漏洞CVE-2020-0646 .NET Framework远程执行代码注入漏洞

需要打的补丁编号：

Windows Server 2008 Service Pack 2KB4532971(仅安全更新).NET Framework 4.6/4.6.1/4.6.2/4.7/4.7.1/4.7.2KB4532959(仅安全更新) .NET Framework 2.0/3.0Windows 7 X86 X64 Service Pack 1Windows Server 2008 R2 X64 Service Pack 1Windows Server 2008 R2 X64 Service Pack 1(服务器核心安装)Windows Server 2008 R2(用于基于Itanium的系统)Service Pack 1KB4532971(仅安全更新).NET Framework 4.6/4.6.1/4.6.2/4.7/4.7.1/4.7.2KB4532952(仅安全更新).NET Framework 4.8KB4532960(仅安全更新).NET Framework 3.5.1KB4532964(仅安全更新).NET Framework 4.5.2Windows RT 8.1Windows 8.1 X86 X64Windows Server 2012 R2Windows Server 2012 R2(服务器核心安装)KB4532970(仅安全更新).NET Framework 4.6/4.6.1/4.6.2/4.7/4.7.1/4.7.2KB4532951(仅安全更新).NET Framework 4.8KB4532961(仅安全更新).NET Framework 3.5KB4532962(仅安全更新).NET Framework 4.5.2Windows Server 2012Windows Server 2012(服务器核心安装)KB4532969(仅安全更新).NET Framework 4.6/4.6.1/4.6.2/4.7/4.7.1/4.7.2KB4532950(仅安全更新).NET Framework 4.8KB4532958(仅安全更新).NET Framework 3.5KB4532963(仅安全更新).NET Framework 4.5.2Windows 10 X86 X64 1607版Windows Server 2016Windows Server 2016(服务器核心安装)KB4532933(安全更新) .NET Framework 4.8KB4534271(累计更新) . NET Framework 3.5 /4.6.2 /4.7/4.7.1/4.7.2Windows 10 X86 X64 1703版本KB4532934(安全更新).NET Framework 4.8Windows 10 X86 X64 1709版本KB4532935(安全更新).NET Framework 4.8Windows Server版本1803(服务器核心安装)Windows 10 X86 X64 1803版本KB4532936(安全更新) .NET Framework 4.8Windows 10 X86 X64 1809版本Windows Server 2019Windows Server 2019(服务器核心安装)KB4532937(安全更新).NET Framework 3.5和4.8KB4532947(安全更新).NET Framework 3.5和4.7.2Windows 10 X86 X64 1903版Windows Server 1903版(服务器核心安装)Windows 10 X86 X64 1909版KB4532938(安全更新).NET Framework 3.5和4.8CVE-2020-0603 ASP.NET Core远程执行代码漏洞CVE-2020-0602 ASP.NET核心拒绝服务漏洞ASP.NET Core 2.1https://dotnet.microsoft.com/download/dotnet-core/2.1ASP.NET Core 3.0https://dotnet.microsoft.com/download/dotnet-core/3.0ASP.NET Core3.1https://dotnet.microsoft.com/download/dotnet-core/3.1Microsoft OneDrive for Android安全功能绕过漏洞https://play.google.com/store/apps/details?id=com.microsoft.skydrive&hl=en_USCVE-2020-0656 | Microsoft Dynamics 365(本地)跨站点脚本漏洞https://mbs.microsoft.com/customersource/Global/365Enterprise/downloads/product-releases/365fieldservice7Windows Server 2008 Service Pack 2KB4534312(仅安全更新) Windows通用日志文件系统驱动程序信息泄漏漏洞KB4534251(IE累积更新) Internet ExplorerKB4534303(每月汇总)Windows 7 X86 X64 Service Pack 1Windows Server 2008 R2 X64 Service Pack 1Windows Server 2008 R2 X64 Service Pack 1(服务器核心安装)Windows Server 2008 R2(用于基于Itanium的系统)Service Pack 1KB4534314(仅安全更新)Windows通用日志文件系统驱动程序信息泄漏漏洞KB4534251 (IE累积更新) Internet ExplorerKB4534310(每月汇总)Windows RT 8.1Windows 8.1 X86 X64Windows Server 2012 R2Windows Server 2012 R2(服务器核心安装)KB4535104(每月汇总)KB4534309(仅安全更新) Windows通用日志文件系统驱动程序信息泄漏漏洞KB4534251 (IE累积更新) Internet ExplorerWindows Server 2012Windows Server 2012(服务器核心安装)KB4535103(每月汇总)KB4534288(仅安全更新) Windows通用日志文件系统驱动程序信息泄漏漏洞KB4534251 (IE累积更新) Internet ExplorerWindows 10 X86 X64 1507版注：1507为2015_ltsb版本的系统KB4534306(累计更新)Windows 10 X86 X64 1607版注：1607为2016_ltsb版本的系统Windows Server 2016Windows Server 2016(服务器核心安装)KB4534271(累计更新)Windows 10 X86 X64 1703版本KB4534296(累计更新)Windows 10 X86 X64 1709版本KB4534276(累计更新)Windows Server版本1803(服务器核心安装)Windows 10 X86 X64 1803版本KB4534293(累计更新)Windows 10 X86 X64 1809版本Windows Server 2019Windows Server 2019(服务器核心安装)KB4534273(累计更新)Windows 10 X86 X64 1903版Windows Server 1903版(服务器核心安装)Windows 10 X86 X64 1909版KB4528760(累计更新)

四、网络预防与检测

一些企业通过执行TLS检查但不使用Windows进行证书验证的代理设备来承载流量。这些设备可以帮助隔离代理后面未打补丁的终端。正确配置和管理TLS检查代理独立地验证来自外部实体的TLS证书，并拒绝无效或不可信的证书，以保护终端免受试图利用漏洞的证书攻击。确保为TLS代理启用证书验证，以限制暴露此类漏洞，并查看日志以检测利用漏洞迹象。

抓包分析工具(如Wireshark)可以提取网络协议数据中的证书并进行分析。可以利用OpenSSL和Windows certutil等软件对证书执行深入分析，以检查其恶意属性。

Certutil检查X509证书命令：certutil -asn <证书文件>OpenSSL检查X509证书命令：openssl asn1parse -inform DER -in <证书文件> -i -dump或者openssl x509 -inform DER -in <证书文件> -text以下命令解析并显示指定的DER编码证书文件中的ASN.1对象。检查具有可疑属性的椭圆曲线对象的结果。有明确曲线OID值表示的椭圆曲线的证书可以被判定为良性证书。Certutil可用于列出已注册的椭圆曲线，并通过运行以下命令查看它们的参数：lcertutil –displayEccCurvelcertutil –displayEccCurve OpenSSL对应命令：lopenssl ecparam –list_curveslopenssl ecparam –name –param_enc explicit –text仅包含部分匹配标准曲线的明确定义的椭圆曲线参数的证书是可疑的，特别是如果它们包含受信任证书的公钥，并且可能代表善意的利用尝试。

五、金山安全解决方案

指引操作

V8+用户，服务器可以联网的，登陆控制台点升级。

V9用户，服务器可以联网的，登陆控制台点升级。

V8+和V9不能联网的，请使用离线升级工具在可以上网的电脑上下载升级数据，拿到内网同步数据升级。

★注意，一定要保证以下域名畅通

需要在设备上放行

duba-011.duba.net(日常升级地址)、lnc.ep.ejinshan.net(授权验证地址)kpc.ejinshan.net(云转查地址)。

如果要打补丁需要开启下面地址的访问

补丁下载地址：

buding.ijinshan.comdownload.microsoft.comtc.dlservice.microsoft.comdownload.windowsupdate.comqh.dlservice.microsoft.com

升级到最新之后，登陆系统中心→终端管理→全选→更多→升级

客户端漏洞信息展示

在所有的客户端都升级到最新之后，需要等待两个小时左右，客户端默认自动启动漏扫，上报到系统中心，系统中心上才可以看到漏洞信息。

微软官方建议用户尽快安装操作系统补丁，微软官方称暂时没有漏洞缓解措施。使用V8+/V9产品的用户，把病毒库升级到2020-01-16.09号即可统一打补丁。

注意:V8不支持WIN10系统打补丁。V9支持WIN10系统打补丁。