微軟修補首個由NSA所提報的CVE-2020-0601漏洞

微軟在本月的Patch Tuesday修補了49個安全漏洞，其中最受矚目的為涉及簽章驗證的CryptoAPI漏洞CVE-2020-0601，雖然它只被微軟列為重要（Important）漏洞，但它卻是第一個由美國國安局（NSA）所發現並主動提交給微軟的安全漏洞。

這是因為NSA多年前曾發現藏匿在Microsoft Server Message Block（SMB）伺服器中的CVE-2017-0145安全漏洞，該漏洞允許駭客執行任意程式，然而，當時NSA不但沒有通報微軟，還自行打造了鎖定該漏洞的EternalBlue攻擊程式，而宣稱在2016年入侵NSA網路攻擊組織Equation Group的影子掮客（Shadow Brokers）即於隔年對外釋出EternalBlue。微軟則是在2017年3月才修補CVE-2017-0145。

被公開的EternalBlue很快成為駭客的重要攻擊工具，包括北韓駭客在2017年發動的WannaCry攻擊、俄羅斯駭客所執行的NotPetya，或是俄羅斯駭客介入美國大選，以及伊朗駭客散布勒索軟體，都是以EternalBlue作為前鋒，同時它還被用來攻擊美國的政府、大學及各組織。

過去外界曾抨擊NSA隱匿安全漏洞，只為追求網路間諜與攻擊的作法罔顧廣大使用者的權益，才使得這次NSA主動向微軟通報安全漏洞的事件躍上媒體標題。

根據微軟對CVE-2020-0601漏洞的說明，該漏洞存在於CryptoAPI驗證橢圓曲線密碼學（Elliptic Curve Cryptography，ECC）的方式，駭客只要利用一個偽造的程式碼簽章憑證去簽署一個惡意的執行程式，讓它看起來像是來自可靠且合法的來源，就能開採該漏洞，且因該數位簽署看似來自可靠的供應商，因此使用者幾乎無從察覺該檔案是惡意的。

成功的開採將允許駭客執行中間人攻擊，同時解密使用者所連結之軟體的機密資訊。微軟藉由確保CryptoAPI能夠完全驗證ECC憑證解決了該漏洞。

美國國安局也特別為此一漏洞發布了新聞稿，表示該漏洞允許駭客透過特製的PKI憑證來偽裝成可靠來源，不論是個人、網站、軟體業者或服務供應商，透過偽造的憑證取得使用者或服務的信賴，再利用該信賴來危害系統。該漏洞可能波及HTTPS連線、已簽署的檔案與電子郵件，以及作為使用者模式程序的已簽署可執行程式。

CVE-2020-0601漏洞影響Windows 10及Windows Server 2016/2019作業系統。

微軟也讚揚NSA此次的行為，雖未指名道姓，卻是以CVE-2020-0601作為例子，指出協調漏洞披露（Coordinated Vulnerability Disclosure，CVN）已被證明是解決安全漏洞的最佳作法，藉由安全研究人員與業者之間的合作，可確保漏洞在被披露前便已修補，避免客戶承擔不必要的安全風險，微軟同時也鼓勵所有的安全研究人員都應直接向微軟提報潛在的安全漏洞。