本月的補丁星期二注定是不平凡的,不僅是因為2020年首個累積更新活動,而是修復了存在于Windows系統中的嚴重安全漏洞,更為重要的是美國國家安全局(NSA)首次向微軟發出警告,稱在Windows系統中發現安全漏洞。這也是在NSA歷史上首次向微軟發出此類報告。
在以往的概念中,NSA往往會利用Windows系統中的漏洞來達到各種目的,絕對不會讓微軟知道哪些漏洞是有效的。不過在2020年的第1個月里,NSA似乎自愿報告了這個漏洞。這無疑是一件好事,新漏洞的代碼名為CVE-2020-0601,簡稱為“NSACrypt”。
報道中稱存在于Windows組件crypt32.dll中的安全漏洞非常嚴重,以至于Microsoft提前向政府安全服務發布了補丁。KrebsonSecurity表示:“多方消息源確認,微軟公司定于本周二發布軟件更新,以修復所有Windows版本中核心加密組件中的嚴重漏洞。目前相關補丁已經提前發給了美軍分支機構、以及管理關鍵互聯網基礎設施的其他高價值客戶/目標,而且這些組織被要求簽署協議以阻止他們透露漏洞的細節。”
這個問題影響到NSA的Windows 10操作系統,在企業內部和消費者當中普遍存在。這個漏洞影響到用于驗證軟件或文件等內容的數字簽名的加密技術。如果被犯罪分子利用,則這個漏洞能讓其發送帶有虛假簽名的惡意內容,并使其看起來很安全。
目前還不清楚在提醒微軟注意上述漏洞之前,美國國家安全局知道這個漏洞已有多久,但此次合作與該局和微軟等主要軟件開發商過去的互動有所不同。以往,美國國家安全局總會對一些主要漏洞做保密處理,以便將其用作美國技術庫的一部分。
微軟為此發表了一份聲明,但拒絕證實或提供更多細節。聲明稱:“我們遵循協調披露漏洞的原則,將其作為保護客戶免受安全漏洞影響的行業最佳實踐。為了防止給客戶帶來不必要的風險,安全研究人員和供應商在更新可用之前不會討論漏洞細節。”
微軟高級主管杰夫·瓊斯(Jeff Jones)周二發表聲明稱:“已經進行了更新或啟用了自動更新功能的客戶現已受到保護。一如既往,我們鼓勵客戶盡快安裝所有安全更新。”微軟還表示,該公司并未看到任何“在野外”環境中利用這個漏洞的行為,也就是并無在實驗室測試環境之外的攻擊行為。
微軟Windows 10操作系統。
近日,美國國家安全局(NSA)檢測到微軟Windows 10操作系統上的一個漏洞,并向微軟發出了警告。微軟于1月14日發布了一個補丁對其進行修復。
這是美國國家安全局第一次發現漏洞后通知企業并公開處理,過往的做法是密而不發,利用漏洞研發黑客工具。對此,微軟曾于2017年對美國國安局進行公開譴責。
據華爾街日報1月14日報道,此次發現的Windows漏洞,可能會被黑客利用以破壞、監視或干擾目標計算機網絡。它利用了微軟使用數字簽名驗證軟件的真實性,以阻止惡意軟件被安裝到計算機上的設置,但該漏洞可能會允許黑客在系統檢測不出來的情況下安裝更強大的惡意軟件。
美國政府官員將該漏洞描述為特別嚴重,并表示微軟用戶應該立刻升級系統將其修復。當天,美國國家安全局新成立的網絡安全組組長Anne Neuberger表示:“我們建議網絡所有者立即發布補丁。”據她透露,美國國家安全局發現這個漏洞后立即通知了微軟。
微軟和美國國家安全局均表示,他們尚未找到證據證明該漏洞已被用于惡意目的。
美國國土安全部(DHS)1月14日同樣發布了一項緊急指令,指示美國聯邦機構采取一系列步驟,立即在系統上安裝補丁。美國國土安全部網絡和基礎設施安全局高級官員Bryan Ware表示,他們會與私營行業合作伙伴聯系,警告漏洞帶來的風險。
微軟高級主管Jeff Jones在一份聲明中稱:“一個安全升級已于2020年1月14日推出,自動或手動進行升級的消費者已經得到了保護。”
而實際上,此次美國國家安全局將漏洞通知微軟并公開處理,是破天荒的第一次。
據紐約時報1月14日報道,過去多年來,美國國家安全局收集各種形式的計算機漏洞,以獲取對數字網絡的訪問權限、收集情報、研發黑客工具等,用來對付美國的敵人。但是近年來,一些黑客工具落入了網絡犯罪份子和其他惡意行為者的手中,這令美國國安局遭到了嚴厲批評。
紐約時報報道稱,通過發現一個嚴重漏洞并領導對計算機系統進行更新,美國國安局似乎從美國政府的秘密機關向公共服務進行了一次不尋常的戰略轉變。此舉也表明,過去因放任漏洞傳播導致數億美元損失的指責,讓美國國安局舊傷未愈。
2017年,微軟曾經公開譴責美國國家安全局。
據華爾街日報報道,當時,利用Windows漏洞的美國國家安全局黑客工具被竊后泄露在網絡上,導致了一起全球性的網絡攻擊。
在這種情況下,微軟總裁Brad Smith發表了一篇博客文章,批評美國政府出于自身目的將漏洞保密,制造了強大的網絡武器,又失去了對它的控制權。Smith當時將這種情況比作“美國軍隊的戰斧導彈(Tomahawk)被偷走了”。
2017年底,特朗普政府發布了首個公開路線圖,概述了政府對美國國家安全局已發現的重要網絡安全漏洞的政策,通常這些漏洞都在流行的消費者軟件里。這一文件為美國國家安全局發現漏洞后何時披露、何時保密,以用于未來可能進行的進攻行動提供了指導。
上述文件中稱,關于漏洞的合理處置(Vulnerabilities Equities Process)應“采用法律允許的最低保密級別”寫一份年度報告,其中包括一個提供給國會的“非保密級別的,盡可能短小的可執行摘要”。
然而,了解情況的人士介紹,幾年過去了,并沒有任何信息被公開,美國國會也沒有拿到非保密級別的細節,這令國會山感到沮喪。