来自 资讯 2021-11-05 13:09 的文章

高防御cdn_香港高防云_原理

高防御cdn_香港高防云_原理

更新2020-01-17:更新以澄清Windows 7不受影响。破解MSFT的CryptoAPI漏洞本周公布的Windows CryptoAPI(crypt32.dll)组件中存在一个重大漏洞,这在安全界引起了很大反响,也给我们的研究团队带来了各种各样的问题。这篇文章总结了过去72小时我们与客户分享的一些信息这仍然是一个不断变化的情况,虽然已经有了大量的信息,但凯纳安全继续以我们处理所有高度公开、高度严重的漏洞的方式来监控局势。什么是弱点?微软的原始版本是一个很好的信息来源,自发布以来,独立研究人员共享了技术故障。为了子孙后代的利益,这里包含了Microsoft提供的漏洞描述此漏洞影响运行32位或64位Windows 10操作系统的所有计算机,包括Windows Server 2016和2019版本。此漏洞允许椭圆曲线加密(ECC)证书验证绕过信任存储,使不需要的或恶意的软件伪装为由可信或可信组织进行的真实签名Microsoft针对CVE-2020-0601的安全建议通过确保Windows CryptoAPI完全验证ECC证书来解决此漏洞。本质上,如果你能利用这个缺陷创建一个证书,你就可以绕过证书验证。该缺陷使证书看起来有效,系统接受(带有一些警告[1])。作为一个攻击者,如果你能让你自己(通过网络、二进制文件或电子邮件等)提供证书,这将使你欺骗身份和信任。这很糟糕它之所以不好,很大一部分原因是它影响了所有现代的、受支持的Windows版本:Windows 10(x86,x64)Windows 2016(x86,x64)Windows 2019(x86,x64)有鉴于此,这种行为的流行使得它对攻击者具有吸引力。这大概就是为什么在过去的72小时里,我们花了这么多精力来解决这个问题那么这在浏览器中是如何实现的呢?在连接时提供证书(TLS)的情况下,Internet Explorer和Chrome都已确认受到影响。他们都在引擎盖下使用CryptoAPI。库德尔斯基的安全小组在这里做了一个PoC。Firefox已经被确认没有受到影响,因为证书验证的执行方式不同让我们具体点。攻击场景?鉴于这不是一个传统的软件缺陷(例如:sql注入或内存损坏等)–它存在于底层加密实现中,因此该漏洞引发的场景需要更多的思考,防御CC服务器,而且应该注意的是,该漏洞只是整个攻击链的一部分。也就是说,这可能会使一些已经很糟糕的情况变得更糟。场景1:流氓用户控制DNS。然后,他们利用绕过正常验证过程的缺陷来制作一个证书。允许软件、网站或用户诱使浏览器在该网站的上下文中执行代码。这对于窃取密码或通常在用户上下文中执行javascript以传递恶意软件或窃取机密非常有用如上所述,浏览器可以接受这一点,但至少在Chrome的情况下,你不会像以前那样看到普通的TLS挂锁(见下文)。这可能不值得对用户进行这种差异的培训,因为它太小了以至于不引人注意场景2:流氓用户创建一个利用该漏洞的证书。然后,他们使用此证书将二进制文件作为可信实体(例如,Microsoft或目标组织本身)进行签名,ddos防御难点,使代码能够在需要被列入白名单或黑名单的情况下执行,从而失败。这可能会欺骗一些防病毒解决方案。 场景3:一个流氓用户伪造一个证书,利用该漏洞对通过电子邮件发送的文件或电子邮件本身进行签名,从而允许用户以其他人的身份出现,并以较少的嫌疑传播恶意软件。这一点尤其有害,因为似乎没有明显的方法可以知道用户不再是他们看上去的样子。如果你还没有,现在是一个很好的时机来推动DMARC,DKIM和SPF为你的电子邮件域名。如果这些控制措施到位,没有人应该能够可靠地伪装电子邮件给你的组织。场景4:流氓用户创建一个证书,当访问网站或登录系统时,该证书被系统作为身份验证令牌接受。这一点目前还不清楚这是否会影响使用证书的Windows身份验证机制。CERT最近提供了这一指导,它清楚地表明,这个组件可以并且可能被第三方调用来验证证书。这意味着非Microsoft产品会受到影响,虽然它们可能不会收到自己的CVE,但如果不修复此底层组件,则它们目前很容易受到攻击。证书:任何依赖Windows CertGetCertificateChain()函数来确定X.509证书是否可以跟踪到受信任的根CA的任何软件,cc可以防御,包括第三方非Microsoft软件,都可能错误地确定证书链的可信度。我应该恐慌吗?不,国安局没有被黑客入侵。这不是一个"可扫描"漏洞,但它对恶意软件、按驱动器下载和网络钓鱼很有用。我们确实希望它能很快集成到攻击者的工具箱中。作为现有攻击场景的乘数,它应该被认真对待,因为它允许用户以多种强大的方式颠覆信任。比分是多少?Kenna的风险评分是动态的,基于环境,甚至在我们写这篇文章的时候,也会根据新的信息继续发展。我们的传感器网络已经开始整合特征码,现在正在检测这种情况的在线测试。简要介绍一下凯纳的情况:最初,由于秃鹫攻击NVD之前的喋喋不休,脆弱性得分更高,达到100分中的35分。随后,由于CVSS最初将其排名为5.8,Kenna得分降至27/100,以及NVD前车型提升功能消失[2]检测到PoC漏洞,导致Kenna风险评分再次上升。我们几乎立刻就开始看到野外的剥削试验。虽然尚未检测到恶意使用,但此活动会自动并进一步提高分数考虑到同时检测到PoC和利用漏洞,分数提高到68.5909/100,即它当前所在的位置我应该如何划分优先级? 在野外的开发和开发比最初预期的要快。IPS/IDS系统的特征码仍在推广,所以我们预计我们的检测数量在未来几天内会迅速增加我们目前在Kenna Security Platform中的得分为68分,阿里最大防御ddos,低于主动利用的RCE,防御ddos攻击云,但高于大多数只有PoC的漏洞(在野外没有检测到)。在确定优先级时,请考虑上面详述的攻击场景,并一如既往地在对此进行修复时考虑业务上下文。缓解措施信息可以在微软的网站上找到,我们会继续监控情况,请联系research@kennasecurity.com如果我们能提供任何澄清。