绿盟安全月刊->第35期->业界动态 Windows OS发现高危漏洞 安检机制形同虚设

出处：日经BP社
日期：2002-09-16

【日经BP社报道】日本微软9月5日宣布，所有Windows OS均存在可让伪造者进入的安全漏洞。由于Windows无法检测出伪造的数字证书，因此当有人使用S/MIME接受伪造的署名邮件，或利用SSL访问伪造的Web站点时，Windows上的应用将不会发出警告。在Internet Explorer(IE) for Mac、Office for Mac和Outlook Express for Mac中也存在同样的安全漏洞。最大严重程度为“高”，解决办法是安装补丁。

　　此次安全漏洞的原因在于Windows OS中的“CryptoAPI”存在缺陷。CryptoAPI的作用是在Windows上实现加密、解密和署名功能。由于在具体的嵌入方面存在瑕疵，因此有可能将使用某种特殊方法伪造的数字证书当作正确的证书处理。Mac中尽管不包含CryptoAPI，但由于IE/Office/Outlook Express for Mac均存在同样问题，因此也会受到影响。

　　数字证书由CA(Certificate Authority，认证授权机构)发行给用户(终端实体)。CA的作用是证明包含在数字证书中的公开密钥信息确实属于拥有该邮件地址(URL)的用户(Web站点)等。

　　目前所用的数字证书规格(X.509 V.3)可以对上述“证明”进行分层处理。具体而言，如果CA1证明CA2，而CA2证明用户1，那么CA1则证明用户1(此时，CA1称根CA，CA2称为下层证书)。不过，在分层证明时，由于在数字证书中明确标注有具体流程，因此从CA1得到证明的攻击者即使伪装成下层CA制作出证明他人的数字证书，也会被立刻识破(IE和Outlook Express等应用程序可在认可该证书之前发出警告)。

　　但是，由于CryptoAPI的嵌入方面存在缺陷，因此Windows OS以及IE for Mac等软件并不检测记述有证明是否分层被执行的部分(“Basic Constraints”区)。因此证书中伪造的根CA如果是事先注册到应用程序上的CA，那么应用程序就会不发出警告而将其认可。

　　因此攻击者就有可能以别人的名义发送数字署名邮件，或者构筑伪装成其他值得信赖的站点的SSL站点，或者在ActiveX控件上进行伪装署名(不过，各种攻击都有多种前提条件和限制，详细情况请参阅美国微软发布的信息)。解决的办法是安装补丁。不过，目前(9月5日19点)只公布了Windows NT 4.0和XP的补丁。由于此次的安全漏洞相当严重，因此希望NT及XP以外的用户随时登录微软站点及Windows Update，一旦公布，立即安装。

　　据美国微软公布的信息称，由于攻击方法(代码)已经被公开，因此尽管还未完成所有的补丁，但也已开始陆续公开。据说，某邮件列表已介绍了伪造其他用户证书的方法。