據(jù)著名安全博客 KrebsOnSecurity 爆料,，微軟計劃于周三（美國當(dāng)?shù)貢r間周二）發(fā)布重要軟件更新,，修復(fù)一個：所有版本 Windows 中都存在的核心加密組件中的一個極為嚴(yán)重的安全漏洞。

據(jù) Krebs 的 Twitter 消息,，美國國家安全局 NSA 首先發(fā)現(xiàn)這個漏洞并呈報給微軟。

另據(jù)消息人士說,，在周二補(bǔ)丁日之前,，微軟已經(jīng)悄悄地將這個漏洞的補(bǔ)丁發(fā)送給了美國國防部 (DoD) 美軍分支機(jī)構(gòu)以及管理關(guān)鍵互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的其他高價值客戶/目標(biāo)，并且這些組織已經(jīng)被要求簽署保密協(xié)議,，以阻止他們透露漏洞的細(xì)節(jié),。

根據(jù)消息來源，這個漏洞位于名為 crypt32.dll 的 Windows 組件中,，用于處理 “CryptoAPI 中的證書和加密消息傳遞功能,?！?/p>

Microsoft CryptoAPI 是微軟提供給開發(fā)人員的 Windows 安全服務(wù)應(yīng)用程序接口,，可用于加密的應(yīng)用程序，實(shí)現(xiàn)數(shù)據(jù)加密,、解密,、簽名及驗(yàn)證等功能。

由于復(fù)雜的加密算法實(shí)現(xiàn)起來非常困難,，所以在過去,，許多應(yīng)用程序只能使用非常簡單的加密技術(shù)，這樣做的結(jié)果就是加密的數(shù)據(jù)很容易就可以被人破譯,。而使用Microsoft提供的加密應(yīng)用程序接口（即Cryptography API）,或稱 CryptoAPI,，就可以方便地在應(yīng)用程序中加入強(qiáng)大的加密功能，而不必考慮基本的算法,。

Windows 組件中的這個嚴(yán)重漏洞 (CVE-2020-0601) 可能會對許多重要的 Windows 功能產(chǎn)生廣泛的安全影響,，包括在 Windows 臺式機(jī)和服務(wù)器上進(jìn)行身份驗(yàn)證，保護(hù)由 Microsoft 的瀏覽器 (Internet Explorer / Edge) 瀏覽器處理的敏感數(shù)據(jù),，以及許多第三方應(yīng)用程序和工具,。

同樣令人擔(dān)憂的是，攻擊者還可能濫用 crypt32.dll 中的漏洞來欺騙與特定軟件相關(guān)的數(shù)字簽名,。

攻擊者可以利用這個漏洞,，使惡意軟件看起來像是由合法軟件公司生產(chǎn)并簽名的良性程序。

存在漏洞的組件是 20 多年前就引入 Windows,，從 Windows10,、Windows Server2016 一直可以追溯到爺爺輩的 Windows NT 4.0 中,。因此，可以說所有版本的 Windows 都可能受到影響（包括 Windows XP,，Microsoft 的補(bǔ)丁程序不再支持 Windows XP）,。

一位提前獲知消息的 CERT/CC 的一位漏洞分析師 Will Dormann 發(fā)推說：

而一位基礎(chǔ)設(shè)施安全專家則吐槽說已經(jīng)連續(xù)收到多個聯(lián)邦機(jī)構(gòu)的“七道金牌”,，明天務(wù)必一定必須“全部更新”補(bǔ)丁,，但這對低帶寬的邊緣網(wǎng)絡(luò)來說是個巨大的挑戰(zhàn)。

美國東部時間周一下午,，Microsoft 做出回應(yīng)：表示在漏洞補(bǔ)丁更新可用之前,，它不會討論該漏洞的詳細(xì)信息。

微軟在一份書面聲明中說：

爆料的安全博客 KrebsOnSecurity 周二收到了美國國家安全局 (NSA) 的警告,，稱 NSA 計劃本周三（1月14日）召開電話會議，向新聞媒體 “提供有關(guān)當(dāng)前 NSA 網(wǎng)絡(luò)安全問題的高級通知,?！?br>

美國國家安全局網(wǎng)絡(luò)空間安全總監(jiān) Anne Neuberger 指出，微軟核心加密組件的漏洞,，動搖了整個網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施的信心基礎(chǔ),。