产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
- NEW最新动态
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云
- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
使证书不再可信!腾讯安全捕获CVE-2020-0601高危漏洞在野利用[附IOCs]
2020-01-16 16:19:04
北京时间1月15日微软发布CVE-2020-0601漏洞公告,修补了一个Windows加密库中的关键漏洞,为Windows CryptoAPI欺骗漏洞。攻击者可利用此漏洞对恶意程序签名,从而可能骗过操作系统或安全软件的安全机制。腾讯安全团队检测到CVE-2020-0601漏洞的POC(漏洞利用代码样例)和在野利用先后出现。腾讯安全专家提醒用户尽快修复漏洞,避免成为黑客攻击的牺牲品。
在CVE-2020-0601漏洞公告发布后第二天,互联网上出现利用该漏洞的POC,这意味着漏洞利用即将到来。
国外安全研究人员公开了漏洞利用POC
腾讯安全团队迅速分析了漏洞利用POC,确认该POC为CVE-2020-0601漏洞利用的一个典型伪造签名场景,即通过该POC可轻松伪造出正常公钥对应的第二可用私钥,而在无漏洞的情况下达到该效果需要消耗极大算力。
而几乎同时,腾讯安全团队还检测到已有国内黑产组织利用该漏洞构造多个恶意程序,证明该漏洞的利用方法已被病毒木马黑产所掌握。
➤在野利用样本1:ghost变种远程控制木马
利用该漏洞构造的恶意程序(1)
在存在漏洞的电脑上攻击样本利用漏洞构造了看起来完全正常的数字签名,极具欺骗性。中招后的电脑被黑客远程控制。攻击者可以进行提权、添加用户、获取系统信息、注册表管理、文件管理、键盘记录、窃听音频等操作,攻击者还可以控制肉鸡电脑进行DDoS攻击。
➤在野漏洞利用样本2:horsedeal勒索病毒
利用该漏洞构造的恶意程序(2)
该样本具有看起来正常的数字签名,攻击者可诱使受害者运行,最终导致硬盘数据被加密。
➤在野利用场景3:利用漏洞骗取浏览器对拥有伪造证书的网站的信任,如通过伪造类相似域名进行钓鱼攻击,在浏览器识别为”可信”网站下注入恶意脚本。
漏洞利用样本(3):该恶意网页可显示正常的证书信息
腾讯安全研究人员还讨论了伪造邮件的利用,可以让伪造后的邮件同样具有看起来正常的数字签名。腾讯安全研究人员指出,在任意受影响的机器中,任意PE文件只要用这个伪造的证书进行签名,都能通过Windows的证书检验。现有安全体系很大程度依赖证书签名,如果通过漏洞伪造签名欺骗系统,成功绕过安全防御及查杀机制,攻击者基本上可以为所欲为了。
漏洞利用样本(4):可以给任意PE文件伪造签名欺骗系统
而更为危险的是,仅仅在微软发布安全公告之后不到一天的时间里,已经发现漏洞利用代码公开,及众多在野利用样本。由NSA(美国国家安全局)贡献给微软的这条漏洞信息已经迅速引发黑产利用的狂欢,2017年4月,黑客攻击NSA,释放出NSA核武级漏洞攻击包就是永恒之蓝系列工具包,该工具包至今都是网络黑产最常使用的绝佳攻击武器。
腾讯安全团队验证确认,Windows CryptoAPI (Crypt32.dll)欺骗漏洞(CVE-2020-0601)不影响Win10之前的系统。微软公司也关注到国内有关自媒体炒作所谓“最强”漏洞,并澄清指出该漏洞并不影响所有Windows系统。鉴于该漏洞具有极高的利用价值,而且在很短时间内漏洞利用方法已被黑产所掌握,腾讯安全专家建议用户尽快修复漏洞,以免成为黑客攻击的目标。
安全建议:
1、企业用户可使用腾讯T-Sec 高级威胁检测系统(NTA,腾讯御界)检测利用CVE-2020-0601漏洞的攻击活动。 SHAPE \* MERGEFORMAT
腾讯御界沙箱检测到危险程序
2、建议企业网管使用腾讯T-Sec 终端安全管理系统(EPM,腾讯御点)统一检测修复所有终端系统存在的安全漏洞。
3、个人用户可使用腾讯电脑管家的漏洞修复功能,或Windows Update安装补丁;同时开启腾讯电脑管家的实时防护功能拦截危险程序。
IOCs
MD5
716c502ba250f742fc935b3cb223ca4a
2e5a8c49f728dcf6a019c935bc4081d9
1月17日新增攻击样本MD5
f2d50b3df5001033a12a4ab2a387202e
d50b298a071b0f2b31af1786a2c549e3
1bf13aae3be549fcb90bb3ed9d3c9be8
3e6d4a85a326c9082ebbb95683a243b4
96bb5fbf4b579973504155ec8f79e11e
ICQ:@bigbosshorse (勒索病毒攻击者的联系方式)
XMPP:bigbosshourse@xmpp.jp (勒索病毒攻击者的联系方式)
C2:ddos.lyjq.org (远控木马的C2)
在线咨询
方案定制