CVE-2020-0601
Microsoft Windows
2021-11-03
Microsoft Windows CryptoAPI (Crypt32.dll) contains a spoofing vulnerability in the way it validates Elliptic Curve Cryptography (ECC) certificates. An attacker could exploit the vulnerability by using a spoofed code-signing certificate to sign a malicious executable, making it appear the file was from a trusted, legitimate source. A successful exploit could also allow the attacker to conduct man-in-the-middle attacks and decrypt confidential information on user connections to the affected software. The vulnerability is also known under the moniker of CurveBall.
Технический анализ и план устранения
Суть уязвимости
Уязвимость (CurveBall) в библиотеке Crypt32.dll позволяет злоумышленнику подделать сертификат на основе эллиптических кривых (ECC). Это происходит из-за ошибки в проверке криптографических параметров сертификата.
Как это можно использовать:
* Подписать вредоносный исполняемый файл (например, .exe, .dll) так, что система будет считать его подписанным доверенным издателем (например, Microsoft).
* Провести атаку "человек посередине" (MitM) для перехвата и расшифровки защищённого трафика (например, HTTPS-соединений), если используется скомпрометированный сертификат.
Как исправить
Установите официальный патч от Microsoft через Центр обновления Windows. Критически важно обновить все системы Windows, поддерживающие ECC-сертификаты.
Конкретные номера обновлений (KB):
* Windows 10, версии 1903 и 1909: KB4528760
* Windows 10, версия 1809 (Server 2019, LTSC 2019): KB4528760
* Windows 10, версия 1803: KB4528760
* Windows 10, версия 1709: KB4528760
* Windows 10, версия 1607 (Server 2016, LTSC 2016): KB4528760
* Windows 10, версия 1507: KB4528760
* Windows 8.1, Server 2012 R2: KB4528761
* Windows Server 2012: KB4528761
* Windows 7 SP1, Server 2008 R2 SP1: KB4528762
* Windows Server 2008 SP2: KB4528762
Порядок действий: 1. Откройте Панель управления -> Центр обновления Windows. 2. Нажмите "Проверка наличия обновлений". 3. Установите все найденные критические обновления, включая указанное выше. 4. Перезагрузите систему после установки.
Для централизованного управления (например, WSUS или SCCM): Утвердите и разверните соответствующие обновления KB для всех групп компьютеров.
Временное решение
Если немедленная установка патча невозможна, рассмотрите следующие меры:
1. Ограничьте использование уязвимых библиотек (самый эффективный метод):
* Временно переименуйте библиотеку crypt32.dll в каталогах C:\Windows\System32 и C:\Windows\SysWOW64\. ВНИМАНИЕ: Это критическая системная библиотека. Данное действие может нарушить работу многих приложений, включая вход в систему и шифрование. Используйте только в крайнем случае на тестовых системах и будьте готовы к откату.
* Команда для переименования (запускать от имени Администратора):
bash
ren C:\Windows\System32\crypt32.dll crypt32.dll.bak
ren C:\Windows\SysWOW64\crypt32.dll crypt32.dll.bak
2. Мониторинг и обнаружение:
* Настройте правила в Windows Event Log или SIEM-системе для отслеживания событий создания процессов (Event ID 4688), особенно для исполняемых файлов, подписанных ECC-сертификатами.
* Используйте AppLocker или аналогичные решения для блокировки выполнения неподписанного или подозрительного кода.
* Включите и настройте аудит подписей кода в политиках аудита системы.
3. Сетевые меры: * Настройте правила на межсетевых экранах (брандмауэрах) и WAF для блокировки входящих соединений, использующих самоподписанные или недоверенные ECC-сертификаты. * Усильте мониторинг сетевого трафика на предмет аномальных SSL/TLS-рукопожатий или неожиданных изменений в цепочках сертификатов.
Важно: Временные решения носят ограничительный характер и могут повлиять на работоспособность. Установка официального патча — единственный полноценный способ устранения уязвимости.