Win10高危漏洞遭黑產攻擊!騰訊安全緊急響應全面攔截
近日,微軟釋出CVE-2020-0601漏洞公告,修補了Windows加密庫中的CryptoAPI欺騙漏洞。該漏洞可被利用對惡意程式簽名,從而騙過作業系統或安全軟體的安全機制,使Windows終端面臨被攻擊的巨大風險,主要影響Windows 10以及Windows Server 2016和2019,Win10以下版本不受影響。
經騰訊安全技術專家檢測發現,該漏洞的POC和在野利用已先後出現,影響範圍包括HTTPS連線,檔案簽名和電子郵件簽名,以使用者模式啟動的簽名可執行程式等。目前,騰訊電腦管家、T-Sec 終端安全管理系統均可修復該漏洞,騰訊安全也已率先發布漏洞利用惡意程式專殺工具,可快速檢測可疑程式是否利用CVE-2020-0601漏洞偽造證書,使用者可執行此工具掃描本地硬碟或特定目錄,將危險程式清除。
騰訊安全團隊對該漏洞利用的POC進行深入分析後,確認該POC為CVE-2020-0601漏洞利用的一個典型偽造簽名場景,即通過該POC可輕鬆偽造出正常公鑰對應的第二可用私鑰,相當於黑客可以用自己的私鑰欺騙微軟系統,隨便製造一個簽名,系統都以為是合法的;而在無漏洞的情況下達到該效果需要消耗極大算力。
與此同時,騰訊安全團隊還檢測到已有國內黑產組織利用該漏洞構造多個惡意程式,說明該漏洞的利用方法已被部分病毒木馬黑產所掌握。雖然該漏洞不能直接導致蠕蟲式的利用,但可以在多種欺騙場景中運用。
在野利用樣本1:ghost變種遠端控制木馬。該樣本利用漏洞構造了看似正常的數字簽名,極具迷惑性。使用者一旦中招,電腦將會被黑客遠端控制。攻擊者可以進行提權、新增使用者、獲取系統資訊、登錄檔管理、檔案管理、鍵盤記錄、竊聽音訊等操作,還可以控制肉雞電腦進行DDoS攻擊。
(圖:利用該漏洞構造的惡意程式一)
在野漏洞利用樣本2:horsedeal勒索病毒。該樣本具有看似正常的數字簽名,攻擊者誘使受害者執行該惡意程式後,會導致受害者硬碟資料被加密。
(圖:利用該漏洞構造的惡意程式二)
在野利用場景3:利用漏洞騙取瀏覽器對擁有偽造證書的網站的信任,如通過偽造類相似域名進行釣魚攻擊,在瀏覽器識別為“可信”網站下注入惡意指令碼。
(圖:該惡意網頁可顯示正常的證書資訊)
此外,騰訊安全研究人員指出,在任意受影響的機器中,任意PE檔案只要用這個偽造的證書進行簽名,都能通過windows的證書檢驗。現有安全體系很大程度依賴證書籤名,如果通過漏洞偽造簽名欺騙系統,成功繞過安全防禦及查殺機制,攻擊者便可為所欲為,造成嚴重後果。
(圖:漏洞可以給任意PE檔案偽造簽名欺騙系統)
僅在微軟釋出安全公告後不到一天的時間裡,已經發現漏洞利用程式碼公開,及眾多在野利用樣本。通過對攻擊樣本進行深入分析,騰訊安全技術專家認為,該漏洞的相關程式碼已通過網路擴散,被黑灰產業利用的可能性正在增加。如2017年4月,黑客攻擊NSA,釋放出NSA核武級漏洞攻擊包就是永恆之藍系列工具包,該工具包至今仍是網路黑產最常使用的絕佳攻擊武器。
值得一提的是,該漏洞主要影響Windows 10以及Windows Server 2016和2019。而Windows 8.1和更低版本以及Server 2012 R2和更低版本不支援帶有引數的ECC金鑰,因此,較早的Windows版本會直接不信任嘗試利用此漏洞的此類證書,不受該漏洞影響。
鑑於該漏洞具有極高的利用價值,而且在很短時間內漏洞利用方法已被黑產所掌握,騰訊安全專家建議廣大企業網路管理員,可參考以下方法執行專殺工具清除危險程式。
使用方式:
1,手動掃描(個人模式):
a,根據提示輸入需要掃描的目錄,然後按Enter鍵,如果是全盤掃描,則輸入root後按Enter鍵
b,發現病毒的情況下,輸入Y,然後按Enter鍵,則開始刪除。該操作請謹慎,刪除後無法還原
2,命令列模式(企業模式):
a,將exe以命令列啟動,比如掃描C盤test目錄(##dir=C:\test;autodel=N),如果要全盤掃描(##dir=root;autodel=N)
b, 如果要自動刪除則設定autodel=Y
產品截圖:如下
CVE-2020-0601漏洞利用惡意樣本專殺工具下載地址:
http://dlied6.qq.com/invc/xfspeed/qqpcmgr/download/cve_2020_0601_scan.exe
同時,騰訊安全建議企業使用者立即升級補丁儘快修復該漏洞,或使用T-Sec 終端安全管理系統(騰訊御點)統一檢測修復所有終端系統存在的安全漏洞。同時,企業使用者還可使用T-Sec 高階威脅檢測系統(騰訊御界),檢測利用CVE-2020-0601漏洞的攻擊活動,全方位保障企業自身的網路安全。
(圖:T-Sec 高階威脅檢測系統沙箱檢測到危險程式)
對於普通個人使用者來說,騰訊安全推薦使用騰訊電腦管家的漏洞修復功能,或Windows Update安裝補丁,攔截危險程式,全面保護系統安全。
(圖:騰訊電腦管家發現漏洞風險)
相關文章
- 騰訊安全:微軟再爆高危漏洞,騰訊御點強勢攔截針對性攻擊微軟
- Apache Log4j2遠端程式碼執行漏洞風險緊急通告,騰訊安全支援全面檢測攔截Apache
- Chrome存在高危漏洞!谷歌緊急釋出安全補丁Chrome谷歌
- 前端安全 — 淺談JavaScript攔截XSS攻擊前端JavaScript
- GeForce Experience曝出高危漏洞:NVIDIA緊急釋出更新
- Windows MSHTML遠端程式碼執行漏洞風險通告更新,騰訊安全支援全面檢測攔截WindowsHTML
- vue中用axios攔截器攔截請求和響應VueiOS
- 【漏洞】OA辦公系統“烽火狼煙”,高危漏洞攻擊爆發
- 修復高危漏洞,谷歌 Chrome 瀏覽器釋出 107 緊急更新谷歌Chrome瀏覽器
- 安全漏洞在網路攻擊中影響多大?勒索組織趁漏洞修補時機發起攻擊
- OpenSSL安全公告高危漏洞 可以對預設配置的伺服器發動DDoS攻擊伺服器
- 使用 Apache APISIX serverless 能力快速攔截 Apache Log4j2 的高危漏洞ApacheAPIServer
- 日本豐田汽車因供應商遭網路攻擊被迫停產
- 騰訊IEG產品經理:如何打擊遊戲黑產?遊戲
- LastPass 遭駭客攻擊AST
- 遊戲出海隱性決勝點——安全防護、抗黑產DDoS攻擊遊戲
- 什麼是應急響應?網路安全應急響應體系的要素!
- 黑產攻擊來勢洶洶,應用如何從“頭”防禦
- 惠普釋出產品安全公告,通告多個高危漏洞
- 澳大利亞鐵路網路漏洞多多極易遭攻擊
- Web 安全漏洞之 XSS 攻擊Web
- 什麼是應急響應?網路安全應急響應的物件是什麼?物件
- 為什麼需要應急響應?網路安全應急響應需要做什麼?
- 深信服EDR成功攔截利用Apache Log4j2漏洞Tellyouthepass 勒索,警惕攻擊OA系統Apache
- 多起網路釣魚攻擊借勢新冠疫情!360安全大腦強力攔截
- 【轉】AngularJs HTTP請求響應攔截器AngularJSHTTP
- 騰訊安全釋出《容器安全在野攻擊調查》
- 思科被曝 VPN 高危漏洞,工業安全裝置、防火牆等多款產品受影響防火牆
- 記一次安全應急響應事件事件
- k電商頻遭“薅羊毛” 加大打擊網路黑灰產
- 多個黑產團伙利用向日葵遠控軟體RCE漏洞攻擊傳播
- 深入瞭解 Vue 響應式原理(資料攔截)Vue
- 前端快閃四: 攔截axios請求和響應前端iOS
- 【網路安全】組織為什麼需要應急響應?應急響應需要做什麼?
- 微軟曝“永恆之黑”漏洞,或成網路攻擊“暗道”微軟
- 新的PHP高危漏洞可導致黑客執行遠端程式碼攻擊PHP黑客
- 【應急響應】Windows應急響應入門手冊Windows
- 騰訊安全推出御界NDR「橫移檢測版」,全面檢測域滲透攻擊