軟今日針對Windows 10的認證和加密音讯傳遞功用發布平安補丁，沐鸣网站該破绽是由美國國家平安局發現，建議企業立刻更新修補。

 

微軟今日針對Windows 10和Windows Server 2016作業系統的認證和加密音讯傳遞功用發布平安補丁，該破绽是由美國國家平安局（NSA）發現，建議企業立刻更新修補，或對託管關鍵基礎架構（例如VPN伺服器或DNS伺服器）系統進行優先級排序，預計有超過數百萬的裝載Windows 10的電腦遭到影響。

 

該破绽是在有數十年曆史的Windows加密組件CryptoAPI中找到的。CryptoAPI的功用之一即是允許開發者在他們的軟體中加上數位簽名，沐鸣登录證明該軟體未被窜改，但是該破绽給予攻擊者欺騙合法軟體的機會，讓未經簽名及惡意軟體能偽裝成合法軟體，使平安防禦較低的電腦容易遭受惡意軟體的攻擊。

 

微軟目前將該破绽等級歸類為「重要」而非最嚴重的「關鍵」級別，並表示目前沒有證據顯示該破绽已被攻擊者積極应用，微軟進一步解釋說：「由於數位簽名似乎是來自受信任的提供商，因而用戶無法察覺文件能否為惡意軟體。」卡內基梅隆大學破绽披露中心CERT-CC在其通報中表示，該破绽還能够用於攔截和修正HTTPS（或TLS）通讯。

 

獨立平安記者布萊恩·克雷布斯（Brian Krebs）初次披露了該破绽的嚴重水平，沐鸣登录正告Windows電腦和伺服器上的身份驗證潛在平安疑慮。克雷布斯表示國家平安局直接向Microsoft通報這些類型的破绽並不常見，但這屬於國家平安局向軟體商和大眾公開該機構研讨成果的計畫之一。

 

兩年前，國家平安局因發現並运用Windows破绽進行監視，沐鸣平台登陆而不是告知微軟該破绽的存在而遭到批評，該破绽後來被洩露，並讓WannaCry讹诈軟件感染了數千台計算機，形成了數百萬美圆的損失。

 

攻擊者長期以來不断試圖透過獲取和竊取認證的方式，將惡意軟體作為合法軟體來傳播。去年，攻擊者竊取了華碩的認證，用於簽署其軟體更新工具的後門版本，並通過將該工具推到華碩的伺服器上，結果讓數以萬計的華碩客戶遭受損失。