黑产进攻Win10高危漏洞,腾讯安全全面拦截

  • 时间:
  • 浏览:0
  • 来源:排列3娱乐平台-排列3下注平台_排列3注册平台

近日,微软发布CVE-2020-05001漏洞公告,修补了Windows加密库中的CryptoAPI欺骗漏洞。该漏洞可被利用对恶意多多系统进程 签名,从而骗过操作系统或安全软件的安全机制,使Windows终端面临被攻击的巨大风险,主要影响Window

近日,微软发布CVE-2020-05001漏洞公告,修补了Windows加密库中的CryptoAPI欺骗漏洞。该漏洞可被利用对恶意多多系统进程 签名,从而骗过操作系统或安全软件的安全机制,使Windows终端面临被攻击的巨大风险,主要影响Windows 10以及Windows Server 2016和2019,Win10以下版本不受影响。

经腾讯安全技术专家检测发现,该漏洞的POC和在野利用已先后再次出现,影响范围包括HTTPS连接,文件签名和电子邮件签名,以用户模式启动的签名可执行多多系统进程 等。目前,腾讯电脑管家、T-Sec 终端安全管理系统均可修复该漏洞,腾讯安全也已率先发布漏洞利用恶意多多系统进程 专杀工具,可快速检测可疑多多系统进程 算是利用CVE-2020-05001漏洞伪造证书,用户可运行此工具扫描本地硬盘或特定目录,将危险多多系统进程 清除。

腾讯安全团队对该漏洞利用的POC进行深入分析后,确认该POC为CVE-2020-05001漏洞利用的三个 多多典型伪造签名场景,即通过该POC可轻松伪伟大的伟大的发明正常公钥对应的第二可用私钥,相当于黑客可不都能能能用每人及的私钥欺骗微软系统,随便制造三个 多多签名,系统都以为是合法的;而在无漏洞的具体情况下达到该效果前要消耗极大算力。

与此一块儿,腾讯安全团队还检测到已有国内黑产组织利用该漏洞构造多个恶意多多系统进程 ,说明该漏洞的利用方法已被要素病毒木马黑产所掌握。人太好该漏洞没法直接导致 蠕虫式的利用,但可不都能能能在多种欺骗场景中运用。

在野利用样本1:ghost变种远程控制木马。该样本利用漏洞构造了看似正常的数字签名,极具迷惑性。用户一旦中招,电脑不可能 被黑客远程控制。攻击者可不都能能能进行提权、加进用户、获取系统信息、注册表管理、文件管理、键盘记录、窃听音频等操作,还可不都能能能控制肉鸡电脑进行DDoS攻击。

(图:利用该漏洞构造的恶意多多系统进程 一)

在野漏洞利用样本2:horsedeal勒索病毒。该样本具有看似正常的数字签名,攻击者诱使受害者运行该恶意多多系统进程 后,会导致 受害者硬盘数据被加密。

(图:利用该漏洞构造的恶意多多系统进程 二)

在野利用场景3:利用漏洞骗取浏览器对拥有伪造证书的网站的信任,如通过伪造类类事域名进行钓鱼攻击,在浏览器识别为“可信”网站下注入恶意脚本。

(图:该恶意网页可显示正常的证书信息)

此外,腾讯安全研究人员指出,在任意受影响的机器中,任意PE文件假如用你这一 伪造的证书进行签名,都能通过windows的证书检验。现有安全体系很大程度依赖证书签名,不可能 通过漏洞伪造签名欺骗系统,成功绕过安全防御及查杀机制,攻击者便可为所欲为,造成严重后果。

(图:漏洞可不都能能能给任意PE文件伪造签名欺骗系统)

仅在微软发布安全公告后没法一天的时间里,不可能 发现漏洞利用代码公开,及众多在野利用样本。通过对攻击样本进行深入分析,腾讯安全技术专家认为,该漏洞的相关代码已通过网络扩散,被黑灰产业利用的不可能 性正在增加。如2017年4月,黑客攻击NSA,释放出NSA核武级漏洞攻击包也不永恒之蓝系列工具包,该工具包至今仍是网络黑产最常使用的绝佳攻击武器。

值得一提的是,该漏洞主要影响Windows 10以及Windows Server 2016和2019。而Windows 8.1和更低版本以及Server 2012 R2和更低版本不支持含有参数的ECC密钥,怎么让,较早的Windows版本会直接不信任尝试利用此漏洞的此类证书,不受该漏洞影响。

鉴于该漏洞具有极高的利用价值,怎么让在很短时间内漏洞利用方法已被黑产所掌握,腾讯安全专家建议广大企业网络管理员,可参考以下方法运行专杀工具清除危险多多系统进程 。

使用方法:

1,手动扫描(每人及模式):

a,根据提示输入前要扫描的目录,怎么让按Enter键,不可能 是全盘扫描,则输入root后按Enter键

b,发现病毒的具体情况下,输入Y,怎么让按Enter键,则也不始于删除。该操作请谨慎,删除后无法还原

2,命令行模式(企业模式):

a,将exe以命令行启动,比如扫描C盘test目录(##dir=C:\test;autodel=N),不可能 要全盘扫描(##dir=root;autodel=N)

b,   不可能 要自动删除则设置autodel=Y

产品截图:如下

CVE-2020-05001漏洞利用恶意样本专杀工具下载地址:

http://dlied6.qq.com/invc/xfspeed/qqpcmgr/download/cve_2020_05001_scan.exe

一块儿,腾讯安全建议企业用户立即升级补丁尽快修复该漏洞,或使用T-Sec 终端安全管理系统(腾讯御点)统一检测修复所有终端系统居于的安全漏洞。一块儿,企业用户还可使用T-Sec 高级威胁检测系统(腾讯御界),检测利用CVE-2020-05001漏洞的攻击活动,全方位保障企业自身的网络安全。

(图:T-Sec 高级威胁检测系统沙箱检测到危险多多系统进程 )

对于普通每人及用户来说,腾讯安全推荐使用腾讯电脑管家的漏洞修复功能,或Windows Update安装补丁,拦截危险多多系统进程 ,全面保护系统安全。

(图:腾讯电脑管家发现漏洞风险)

(本内容属于网络转载,文中涉及图片等内容如有侵权,请联系编辑删除)