CVE-2020-0601：Windows CryptoAPI欺骗漏洞

微软在1月的补丁日修复了多个安全漏洞，包括CVE-2020-0601、CVE-2020-0609、CVE-2020-0610等。

CVE-2020-0601

NSA（美国国家安全局）发现了影响Windows加密功能的漏洞，该漏洞CVE编号为CVE-2020-0601，是Windows CryptoAPI欺骗漏洞。漏洞位于Windows CryptoAPI (Crypt32.dll) 验证椭圆曲线加密（Elliptic Curve Cryptography，ECC）证书的方式中，攻击者利用该漏洞可以创建一个代码签名证书来对恶意可执行文件签名，使得恶意文件看似来自可信的合法源。该漏洞影响Windows 10和Windows Server 2016/2019和其他依赖Windows保证可信的应用。

攻击者利用该漏洞可以打破可信网络连接，传播看似来自可信源的可执行代码，并实现远程代码执行。有了有效的证书，勒索软件和其他监控软件就可以更容易地安装到用户设备上。打破可信网络连接的例子包括：

· HTTPS连接

· 签名的文件和邮件

· 以用户模式进程启动的签名的可执行代码

该漏洞使得Windows终端设备处于大量的漏洞向量中。NSA对该漏洞的评估结果为严重，并认为熟练的网络攻击者会很快理解该漏洞的底层原理，并利用该漏洞。

微软发布的补丁在有人尝试在修复的系统中使用伪造的证书时会在Windows事件日志中创建一条新的记录。这可以帮助管理员确认系统是否被攻击。因为该漏洞有可能会被远程攻击，因此研究人员建议用户尽快更新系统。

CVE-2020-0609

CVE-2020-0609是Windows RDP网关服务器中存在的一个远程代码执行漏洞。攻击者利用该漏洞可以进行远程代码执行，影响RDP网关服务器设备。代码执行发生在服务器层，是预先认证的，因此无需用户交互。也就是说这些漏洞比较像蠕虫，至少可以在RDP网关服务器之间传播。

CVE-2020-0611

CVE-2020-0611漏洞是远程桌面客户端中存在的一个远程代码执行漏洞。该漏洞的影响不如CVE-2020-0609，但是利用该漏洞可以完全控制受影响的系统，前提是要让用户连接到一个恶意RDP服务器上。由于这个前提条件导致该漏洞被利用的可能性降低了很多。