使证书不再可信！腾讯安全捕获CVE-2020-0601高危漏洞在野利用[附IOCs]

北京时间1月15日微软发布CVE-2020-0601漏洞公告，修补了一个Windows加密库中的关键漏洞，为Windows CryptoAPI欺骗漏洞。攻击者可利用此漏洞对恶意程序签名，从而可能骗过操作系统或安全软件的安全机制。腾讯安全团队检测到CVE-2020-0601漏洞的POC（漏洞利用代码样例）和在野利用先后出现。腾讯安全专家提醒用户尽快修复漏洞，避免成为黑客攻击的牺牲品。

在CVE-2020-0601漏洞公告发布后第二天，互联网上出现利用该漏洞的POC，这意味着漏洞利用即将到来。

国外安全研究人员公开了漏洞利用POC

腾讯安全团队迅速分析了漏洞利用POC，确认该POC为CVE-2020-0601漏洞利用的一个典型伪造签名场景，即通过该POC可轻松伪造出正常公钥对应的第二可用私钥，而在无漏洞的情况下达到该效果需要消耗极大算力。 

而几乎同时，腾讯安全团队还检测到已有国内黑产组织利用该漏洞构造多个恶意程序，证明该漏洞的利用方法已被病毒木马黑产所掌握。

➤在野利用样本1：ghost变种远程控制木马

利用该漏洞构造的恶意程序（1）

在存在漏洞的电脑上攻击样本利用漏洞构造了看起来完全正常的数字签名，极具欺骗性。中招后的电脑被黑客远程控制。攻击者可以进行提权、添加用户、获取系统信息、注册表管理、文件管理、键盘记录、窃听音频等操作，攻击者还可以控制肉鸡电脑进行DDoS攻击。 

➤在野漏洞利用样本2：horsedeal勒索病毒

利用该漏洞构造的恶意程序（2）

该样本具有看起来正常的数字签名，攻击者可诱使受害者运行，最终导致硬盘数据被加密。

➤在野利用场景3：利用漏洞骗取浏览器对拥有伪造证书的网站的信任，如通过伪造类相似域名进行钓鱼攻击，在浏览器识别为”可信”网站下注入恶意脚本。

漏洞利用样本（3）：该恶意网页可显示正常的证书信息

腾讯安全研究人员还讨论了伪造邮件的利用，可以让伪造后的邮件同样具有看起来正常的数字签名。腾讯安全研究人员指出，在任意受影响的机器中，任意PE文件只要用这个伪造的证书进行签名，都能通过Windows的证书检验。现有安全体系很大程度依赖证书签名，如果通过漏洞伪造签名欺骗系统，成功绕过安全防御及查杀机制，攻击者基本上可以为所欲为了。

漏洞利用样本（4）：可以给任意PE文件伪造签名欺骗系统

而更为危险的是，仅仅在微软发布安全公告之后不到一天的时间里，已经发现漏洞利用代码公开，及众多在野利用样本。由NSA(美国国家安全局)贡献给微软的这条漏洞信息已经迅速引发黑产利用的狂欢，2017年4月，黑客攻击NSA，释放出NSA核武级漏洞攻击包就是永恒之蓝系列工具包，该工具包至今都是网络黑产最常使用的绝佳攻击武器。

腾讯安全团队验证确认，Windows CryptoAPI (Crypt32.dll)欺骗漏洞（CVE-2020-0601）不影响Win10之前的系统。微软公司也关注到国内有关自媒体炒作所谓“最强”漏洞，并澄清指出该漏洞并不影响所有Windows系统。鉴于该漏洞具有极高的利用价值，而且在很短时间内漏洞利用方法已被黑产所掌握，腾讯安全专家建议用户尽快修复漏洞，以免成为黑客攻击的目标。

安全建议：

1、企业用户可使用腾讯T-Sec 高级威胁检测系统（NTA，腾讯御界）检测利用CVE-2020-0601漏洞的攻击活动。 SHAPE \* MERGEFORMAT

腾讯御界沙箱检测到危险程序

2、建议企业网管使用腾讯T-Sec 终端安全管理系统（EPM，腾讯御点）统一检测修复所有终端系统存在的安全漏洞。

3、个人用户可使用腾讯电脑管家的漏洞修复功能，或Windows Update安装补丁；同时开启腾讯电脑管家的实时防护功能拦截危险程序。

IOCs

MD5

716c502ba250f742fc935b3cb223ca4a

2e5a8c49f728dcf6a019c935bc4081d9

1月17日新增攻击样本MD5

f2d50b3df5001033a12a4ab2a387202e
d50b298a071b0f2b31af1786a2c549e3
1bf13aae3be549fcb90bb3ed9d3c9be8
3e6d4a85a326c9082ebbb95683a243b4
96bb5fbf4b579973504155ec8f79e11e

ICQ:@bigbosshorse (勒索病毒攻击者的联系方式)

XMPP:bigbosshourse@xmpp.jp (勒索病毒攻击者的联系方式)

C2:ddos.lyjq.org （远控木马的C2）