近日,多个企业用户和安全机构报告了一个严重的技术问题:Windows系统中关键的证书检索函数 CertFindChainInStore() 突然停止从eToken硬件令牌存储中返回证书,导致依赖该硬件设备进行身份验证、文档签名和加密通信的系统大面积“瘫痪”。该问题已引起微软安全响应中心(MSRC)和安全厂商SafeNet(eToken品牌持有方)的高度关注,双方正在紧急调查并制定修复方案。
问题缘起:底层API行为突变
eToken是一种广泛使用的USB硬件令牌,内置安全芯片,用于存储私钥和数字证书,常用于企业VPN登录、代码签名、电子邮件加密等场景。其核心工作方式是:应用程序调用Windows CryptoAPI中的CertFindChainInStore()函数,从系统证书存储区中查找与硬件令牌关联的证书链,随后进行加解密操作。
然而,近期安装Windows安全更新(包括2025年2月累积更新KB5051987)后,部分用户发现该函数在查找eToken硬件存储时返回空值,即使硬件已正确插入并识别。初步排查显示,问题并非硬件驱动冲突或令牌物理损坏,而是Windows对证书存储管理机制进行了未公开的调整,导致CertFindChainInStore()在枚举“硬件存储(HARDWARE_STORE)”时过滤掉了符合条件的内容。
影响范围:从金融行业到政务系统
由于eToken在企业级PKI(公钥基础设施)中占据重要地位,此次故障波及面极广。在金融领域,多家银行和证券公司的柜员登录系统采用eToken进行双因素认证,故障导致部分网点无法正常启动交易模块;在政务系统,税务局和海关的电子签章平台因无法读取证书链,暂停了在线审批服务;此外,软件开发企业签发的代码签名证书存储在eToken中,CI/CD流水线在打包环节频繁报错,不得不回滚至旧版操作系统。
“我们首先怀疑令牌坏了,但换了几十个新的也一样。”某大型企业安全运维负责人表示,“后来发现只要卸载2月份的补丁,问题就消失。这说明是微软系统层的问题。”
深度分析:底层存储枚举逻辑出现分歧
技术专家通过逆向分析发现,CertFindChainInStore()在调用CertEnumCertificatesInStore()时,对于HARDWARE_STORE类型的存储,新增了一个针对“存储位置标志”的校验。而eToken的虚拟证书存储驱动程序在注册存储时,使用的标志位与新版Windows期望的数值出现偏移,导致枚举阶段直接被跳过。
另一条线索指向微软在2024年底启用的“证书存储隔离”特性,该特性本意是防止恶意软件劫持系统存储,但意外地将第三方硬件存储视为“非受信来源”而屏蔽。SafeNet方面已确认,其eToken Middleware 8.8及更早版本均受影响,最新预览版9.0虽未完全复现,但在特定补丁组合下仍有概率失败。
临时方案:回滚补丁与驱动升级并行
截至发稿,微软已在官方支持论坛发布应急指南,建议受影响企业临时卸载KB5051987及其后续补丁,并暂停Windows Update一个月,直至微软发布针对性修复。同时,SafeNet提供了三个临时替代方案:
- 修改注册表:在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0下添加白名单项,允许eToken存储被枚举(需管理员权限,安全性需评估)。 - 使用新版中间件:安装eToken Middleware 9.0 Beta版本(预计3月中旬发布正式版),其中修改了存储注册标志,与新版Windows兼容。
- 迁移至虚拟智能卡:对于无法立即修复的环境,可将eToken证书导出为虚拟智能卡格式,通过TPM芯片模拟硬件存储,绕过
CertFindChainInStore()的调用。
长期展望:硬件安全与操作系统升级的博弈
此次事件暴露出一个深层矛盾:操作系统为了安全不断收紧内部API权限,却可能伤害合法的硬件安全模块(HSM)运行。eToken作为长达二十年的成熟产品,其驱动与Windows的兼容性一直稳定,但微软在推进“安全核心系统”计划时,并未充分测试与第三方硬件存储的交互。类似问题在2023年“Windows 11 BitLocker补丁导致TPM证书失效”事件中已有先例。
安全研究机构建议,企业应建立“硬件证书依赖清单”,在重大Windows补丁发布前,先在隔离环境中测试与eToken等安全硬件的兼容性。同时,推动SafeNet等厂商尽快与微软建立联合测试机制,避免下次出现类似“寂静中断”。
微软发言人表示,团队正在开发一个不会破坏现有API契约的修复补丁,预计在4月例行补丁日(Patch Tuesday)前后推出。而在此之前,受影响的企业只能依靠临时方案维持运行,同时警惕因卸载补丁而暴露的安全漏洞。
(本文仅代表客观报道,不构成操作建议。面临风险的用户请参考厂商官方指南。)