McAfee了解到最新的Windows CryptoAPI欺騙漏洞（CVE-2020-0601）。McAfee擁有開發中的技術來檢測漏洞，目前正在進行嚴格的質量保證和功效測試。  

McAfee強烈建議快速部署1月14日發布的Microsoft補丁程序。McAfee產品與1月補丁星期二更新中發布的所有更新兼容。
我們還發布了本文隨附的Extra DAT，以供下載。我們強烈建議客戶部署此Extra DAT。

以下McAfee產品可檢測到此威脅，並為組織提供及時響應的手段：

一、安全性資訊與事件管理(SIEM)

SIEM可以檢測到此漏洞的利用嘗試。當客戶部署Windows更新以修復CVE-2020-0601中的漏洞時，操作系統在檢測到嘗試的利用時開始生成Windows事件。事件源將為“ Audit-CVE”或“ Microsoft-Windows-Audit-CVE”。 

具有新簽名ID的新規則已上載到內容服務器，客戶現在可以使用它們來創建警報。客戶可以在下一次更新時自動獲得此規則，也可以手動啟動規則更新以加快更新速度。請參閱規則更新。新的簽名ID為43–458000010和43–459000010。

如果客戶沒有最新規則，SIEM將自動學習該事件並為其分配簽名ID（43–2978558213或43–3364295324），具體取決於所使用的事件源。 

SIEM Microsoft Windows Content Pack版本2.2.0也已更新，並帶有客戶可以啟用的預配置警報。

二、端點偵測和回應軟體(MAR)

McAfee Active Response可以檢測對該漏洞的利用嘗試。為了識別最近嘗試進行漏洞利用的設備，客戶可以使用Active Response目錄創建自定義收集器，並使用Active Response搜索來使用該收集器執行查詢。 

客戶創建的自定義收集器從Microsoft-Windows-Audit-CVE提供程序檢索Windows事件日誌信息。

三、入侵預防系統(IPS)
Network Security Platform團隊於2020年1月15日發布了緊急簽名集版本10.8.3.3，以檢測此漏洞。
該簽名將具有以下攻擊名稱和ID： 

攻擊名稱：HTTP：Microsoft Windows CryptoAPI欺騙漏洞（CVE-2020-0601） 
攻擊ID：0x45273900 

有關發行說明和有關緊急簽名集發行版的其他信息，請參見KB55446（已註冊）。

四、端點安全（ENS）和VirusScan Enterprise（VSE）
作為2020年1月24日每日內容（DAT / AMCORE）更新的一部分，發布了CVE-2020-0601的以下簽名：
V2：9510（VSE）
V3：3961.0（ENS）
此檢測取決於GTI，並且僅在啟用GTI時發生。對於未啟用GTI的系統，或未連接到Internet的環境，請使用本文隨附的Extra.DAT。

DAT

注意： 2020年1月16日上載到本文的Extra.DAT已被刪除。現在可以通過此KB下載更新的Extra.DAT（於2020年1月21日發布）。

邁克菲（McAfee）創建了通用檢測，以保護端點免於利用此漏洞（CVE-2020-0601）。該Extra.DAT可以部署到運行VSE和ENS的端點。
McAfee 強烈建議您在將其安裝到更廣泛的組織中之前，先在一小組系統上對其進行測試。如果存在任何問題（例如誤報），或者對此Extra DAT有任何疑問，請與McAfee技術支持一起打開服務請求（SR）。

Extra.DAT下載和部署
提取 EXTRA.zip 本文附帶的文件。
打開Endpoint Security客戶端。
從“ 操作”菜單中，選擇“ 加載Extra.DAT”。
點擊瀏覽，導航到下載內容的位置DAT文件，然後點擊打開。
點擊應用。
從McAfee ePO將Extra.DAT文件部署到客戶端系統
Extra.DAT中的新檢測立即生效。部署Extra DAT並運行掃描後，將顯示檢測名稱CVE2020-0601.h。

五、端點入侵偵測與回應(EDR)
McAfee MVision EDR可以檢測到此漏洞的利用嘗試。為了識別最近參與攻擊嘗試的設備，客戶可以使用實時搜索儀表板並使用NSACryptEvents收集器執行查詢。NSACryptEvents收集器從Microsoft-Windows-Audit-CVE提供程序檢索Windows事件日誌信息。
 
搜索嘗試利用  
登錄到EDR。 
進入菜單，  實時搜索。
在搜索框中鍵入以下表達式： HostInfo主機名和NSACryptEvents，其中NSACryptEvents id不等於“”  
結果解釋
的結果是，其中的設備列表安全更新應用，並有近期部分利用此漏洞的嘗試。 
只有連接狀態為在線或隔離的設備才能響應搜索。 

搜索已應用安全更新的設備
登錄到EDR。 
進入菜單，  實時搜索。
在搜索框中鍵入以下表達式：  InstalledUpdates，其中InstalledUpdates hotfix_id等於“ KB4528760” 

結果解釋 
結果是應用了KB4528760的設備的列表。
只有連接狀態為在線或隔離的設備才能響應搜索。 

用下面的KB列表代替，客戶可以獲取應用了安全更新的設備列表：
KB4528760 
KB4534306 
KB4534271 
KB4534276 
KB4534293 
KB4534273

六、安全Web閘道(Web Gateway)
為了防止通過Authenticode簽名的Windows二進製文件進行攻擊，Web Protection團隊已於2020年1月16日（在1900 UTC）發布了6974版（或更高版本）的網關反惡意軟件（GAM）DAT更新，其中包括新的檢測程序，名為“ BehavesLike.Win32.MaybeSpoofedCert。*”，用於針對CVE-2020-0601的已簽名二進製文件的利用。Web Gateway和使用GAM（NSP，ATD）的其他產品的客戶會自動收到此DAT更新；如果您的更新節奏很少，您也可以手動觸發DAT更新。
 
注意： Web Gateway的SSL掃描程序（HTTPS代理）將驗證證書並保護使用脆弱和未修補Windows版本的CryptAPI的瀏覽器（在Web Gateway SSL掃描程序後面部署的客戶端上）防止訪問使用偽造證書的頁面。
 
不使用SSL掃描器時如何配置SSL證書驗證
要在不啟用SSL檢查的情況下啟用Web Gateway產品的證書驗證功能，請使用以下步驟。這將允許Web Gateway通過對照已知和受信任的證書頒發機構列表檢查網站的證書來增加安全性，從而防止用戶訪問運行不安全或欺騙性證書的網站。
 
注意：如果已經具有HTTPS掃描（也稱為SSL掃描或SSL檢查），則無需遵循這些說明。證書驗證是HTTPS掃描規則集的一部分，因此，如果未明確禁用證書驗證，則將啟用它。您可以按照以下步驟來驗證您的策略中仍啟用了證書驗證。
 
重要說明：強烈建議導入瀏覽器已經信任的現有證書頒發機構，或生成新的證書頒發機構並確保網絡中的客戶端信任該證書頒發機構。每當Web Gateway攔截連接並需要向客戶端顯示HTML模板時，將使用配置的證書頒發機構對連接進行簽名。可以從產品指南 https://docs.mcafee.com/bundle/web-gateway-7.8.2-product-guide獲得更多詳細信息。
訪問McAfee Web Gateway用戶界面。產品文檔中提供了訪問用戶界面的說明。
切換到用戶界面頂部的“ 策略” 選項卡。
確保 在左上角選擇了“ 規則集”選項卡。
在“ 規則集”下，單擊“ 添加”。在下拉字段中，選擇“ 頂級規則集”。
在打開的對話框中，選擇從規則集庫導入規則集。
打開類別HTTPS掃描，  然後選擇規則集HTTPS掃描。

注意：如果找不到HTTPS掃描，則規則集可能是SSL Scanner。

選擇規則集後，McAfee Web Gateway將驗證策略中已經存在的對象的規則集。因為在默認策略中“ HTTPS掃描”已經存在，所以很可能找到了現有列表，設置或規則集。您將需要通過引用現有對像或使用其他名稱創建新對象來解決衝突。對於此特定用例，建議使用“ 自動解決衝突”  嚮導，然後選擇解決方法是複制並重命名為建議。
 
解決所有衝突後，單擊“ 確定” 將規則集導入到策略中。
導入後，選擇“ 解鎖視圖”  以從嚮導切換到基於規則的完整視圖。
將規則集移到策略頂部。無需將其放在策略的最頂端。應該將其放置在通常可以找到“ HTTPS掃描”規則集的位置。作為一般性建議，應將規則集放置在“全局”允許之後，並應用阻止列表，然後再調用“通用規則”，例如Web緩存，Openers，進度指示等。
選擇“ HTTPS掃描”，“  處理CONNECT呼叫”  規則集。
對於右側的規則Set Client Conext，找到“ 使用CA啟用SSL客戶端上下文” 事件。單擊關聯的設置以打開此事件的設置。 
在該設置中，您可以導入已經受信任的從屬證書頒發機構，也可以使用“生成”按鈕創建新的證書頒發機構，如前所述，該證書頒發機構必須部署到客戶端。
選擇“ HTTPS掃描”，“ 內容檢查”  規則集。
刪除右側規則集窗格頂部的“ 啟用  ” 旁邊的複選框，以完全禁用整個“ 內容檢查” 規則集。確保它在列出所有規則集的左窗格中完全變灰。這樣做是因為，否則Web Gateway不僅將執行證書驗證，而且還使內容檢查能夠查看SSL連接。您不希望在此階段啟用此檢查，僅應啟用證書驗證。
保存更改。
從現在開始，將在Web Gateway上啟用證書驗證。如果用戶點擊了不可信，不安全或欺騙性的證書，瀏覽器將顯示由Web Gateway生成的HTML網站，概述了證書問題。在這種情況下，使用在步驟13導入或生成的證書頒發機構簽名的證書來保護連接。
 
有關“ HTTPS掃描”的更多詳細信息，請參閱產品文檔，McAfee Community，或通過以下網址聯繫技術支持：https : //support.mcafee.com。

七、威脅情報交換(TIE)
威脅情報交換（TIE）通過提供一個工作流可以轉移到欺騙的CA及其已在環境中運行的已簽名二進製文件，可以在修補之前幫助識別文件簽名濫用。

搜索欺詐性簽名的二進製文件：
登錄到ePO。
轉到菜單，TIE信譽頁面。
單擊“ 證書搜索”選項卡，然後對“ Microsoft ECC ” 使用快速查找。
結果：
對於列出的每個CA證書，請使用操作->簽名證書查找欺詐性中間證書。
對於每個列出的中間證書，請使用操作->關聯文件詳細信息查找欺詐性簽名文件。
對於列出的每個欺詐性已簽名二進製文件，請使用操作->使用文件的位置查找受影響的系統。