(原標題:美國家安全局通報Windows 10嚴重漏洞:影響所有版本)
1月15日,據外媒報道,美國國家安全局(NSA)發現了一個Windows 10系統的安全漏洞,并就此通知了微軟公司。
NSA發現了“一個非常嚴重的安全漏洞”,存在問題的漏洞位于一個名為crypt32.dll的Windows組件中,這時管理Windows數字證書的組件之一,他人可以通過該漏洞偽造軟件的數字簽名,從而洗白惡意軟件,由于該組件早在20多年前的Windows NT 4.0中就引入了Windows系統,所以理論上所有版本的Windows系統均會受到此漏洞的影響。
該漏洞是NSA在研究中自行發現的,并且發現后就將漏洞信息透露給了微軟年公司,沒有留著當做“武器”使用。
此前NSA曾因為其武器化了一個微軟漏洞而陷入輿論風波,而且更糟糕的是黑客竊取了該“武器”,并在全球范圍內發起了大規模的勒索軟件攻擊——其中就有大名鼎鼎的WannaCry,當時波及了150個國家的20萬個公司。
NSA網絡安全總監Anne Neuberger召開發布會對媒體確認了報告漏洞一事,并且表示“這是微軟第一次將其報告的安全漏洞歸功于NSA。”
目前微軟已為該漏洞推送了相關安全補丁。
美國網絡安全機構 CISA 和 NSA 發布了關于解決大型組織中最常見的網絡安全錯誤配置的新指南(https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-278a)。
CISA 和 NSA 指出,這些錯誤配置影響了許多組織,包括那些已經實現成熟安全態勢的組織,說明了系統性弱點的趨勢,并強調了在軟件開發過程中采用安全設計原則的重要性。
兩家機構表示,十種最常見的網絡錯誤配置包括默認軟件配置、權限分離不當、缺乏網絡分段、網絡監控不足、補丁管理不善、繞過訪問控制、憑證安全狀況不佳、多因素身份驗證配置不當( MFA)、網絡共享的訪問控制列表 (ACL) 不足以及代碼執行不受限制。
CISA 和 NSA 指出,這些錯誤配置是在對國防部 (DoD)、聯邦機構和美國政府機構內 1,000 多個網絡飛地的安全狀況進行多年評估后發現的。
許多評估都集中在 Windows 和 Active Directory 環境上,而新發布的指南則重點關注其中發現弱點的緩解措施。然而,這兩個機構表示,包含其他軟件的環境可能會出現類似的錯誤配置。
CISA 和 NSA 指出,通過實施安全設計原則并減少這些弱點的普遍存在,軟件開發人員可以減輕網絡防御者的負擔。
兩家機構還指出,通過適當的培訓和資金,網絡安全團隊可以通過刪除默認憑據、強化配置、禁用未使用的服務、實施訪問控制、實施強有力的補丁管理以及通過審核和限制來緩解這些弱點,管理帳戶和權限。
美國機構表示,軟件制造商應采用設計安全和默認安全策略,包括在整個軟件開發生命周期 (SDLC) 中將安全控制嵌入到產品架構中、刪除默認密碼、提供高質量的審核日志給客戶,并需要防網絡釣魚的 MFA。
CISA 和 NSA 建議的緩解措施符合 CISA 和 NIST去年發布的跨部門網絡安全績效目標 (CPG) ,以及今年早些時候發布的安全設計和默認安全開發原則。
除了應用這些緩解措施之外,CISA 和 NSA 建議組織針對映射到 MITRE ATT&CK for Enterprise 框架的威脅行為測試和驗證其安全計劃,并根據 ATT&CK 技術測試其安全控制清單。
“所描述的錯誤配置在評估中非常常見,列出的技術是多個惡意行為者利用的標準技術,導致許多真正的網絡危害。學習他人的弱點并正確實施緩解措施,以保護網絡、其敏感信息和關鍵任務。”CISA 和 NSA 表示。
參考鏈接:https://www.securityweek.com/organizations-warned-of-top-10-cybersecurity-misconfigurations-seen-by-cisa-nsa/