Fałszywa aktualizacja systemu Windows

19

Słyszałem, że hakerzy mogą zmusić cię do pobrania złośliwego oprogramowania, informując Cię, że są aktualizacją systemu operacyjnego za pośrednictwem Windows Update. Czy to prawda? Jeśli tak, jak mogę się chronić?

użytkownik3787755
źródło
9
Słyszeliście, że podpisano nieprawidłowe aktualizacje systemu Windows
Ramhound
5
Jeśli jesteś naprawdę paranoikiem, możesz zmienić ustawienia, aby aktualizacje nie były automatycznie pobierane (ustaw opcję „tylko powiadamiaj” lub „nic nie rób”), a następnie ręcznie przejdź do „Windows Update”, aby załadować / zainstalować zmiany. Zapewnia to, że pochodzą one od Microsoft.
Daniel R Hicks,
1
W powiązanej notatce wiadomo, że złośliwe oprogramowanie ukrywa się za zaufanym oprogramowaniem, aby ominąć monity UAC. Na przykład ZeroAccess przyłączy się do instalatora Adobe Flash Playera, aby monit UAC wyglądał poprawnie i brzmiałby „Och, to tylko aktualizacja Flash ...” i kliknięcie.
indyw
Anegdota, ale Barnaby Jack nie zademonstrował tego kilka lat temu, wspomniał o tym Mudge w swoim ubiegłorocznym przemówieniu na Defconie - youtube.com/watch?v=TSR-b9y (od około 35 minut)
JMK

Odpowiedzi:

31

Zwykły haker nie jest w stanie wysłać Ci czegoś za pośrednictwem systemu Windows Update.

To, co słyszałeś, jest jednak inne. To oprogramowanie szpiegujące, które wygląda jak Windows Update i mówi, aby je zainstalować. Jeśli następnie klikniesz Zainstaluj, pojawi się monit UAC z pytaniem o uprawnienia administracyjne. Jeśli to zaakceptujesz, może zainstalować oprogramowanie szpiegujące. Należy pamiętać, że usługa Windows Update NIGDY nie wymaga zdania testu podniesienia kontroli konta użytkownika. Nie jest to wymagane, ponieważ usługa Windows Update działa jako SYSTEM, który ma najwyższe uprawnienia. Jedynym monitem, który otrzymasz podczas instalacji Windows Update, jest zatwierdzenie umowy licencyjnej.

EDYCJA: wprowadzono zmiany na stanowisku, ponieważ rząd może być w stanie to zrobić, ale wątpię, aby jako zwykły obywatel, i tak można było chronić się przed rządem.

LPChip
źródło
50
Naprawdę „niemożliwe”? Czy zamiast tego możemy zastosować coś więcej w stylu „wysoce mało prawdopodobne / nieprawdopodobne”?
root
11
@root Przypuszczam, że gdyby sfałszowali program WSUS i zmienili aktualizację systemu Windows w taki sposób (co oczywiście NIE wymaga uprawnień administracyjnych, które i tak chcą uzyskać), aktualizacja systemu Windows mogłaby uzyskać złośliwą aktualizację systemu Windows. Jednak nie słyszałem o infekcji rozprzestrzeniającej się za pomocą tej metody i wątpię, by poszli tą drogą, ponieważ jeśli otrzymają uprawnienia administracyjne, mogą po prostu zainfekować maszynę programami szpiegującymi w sposób, w jaki zamierzają to zrobić.
LPChip
7
Robili to cały czas w XP. Wszystko, co naprawdę musisz zrobić, to zmodyfikować plik hosts, aby przekierować żądanie do złośliwej witryny.
ps2goat
3
Czy nie to zrobił Flame ?
sch
9
-1, ponieważ ta odpowiedź jest nieprawdziwa. Mimo, że jest to bardzo, bardzo mało prawdopodobne, a sam @LPChip nie może sobie wyobrazić, że to się kiedykolwiek wydarzyło - zdarzyło się to w prawdziwym życiu
Slebetman
8

Tak, to prawda.

Płomień malware zaatakowany przez użytkownika wada w procesie aktualizacji systemu Windows. Twórcy znaleźli lukę w zabezpieczeniach systemu aktualizacji Windows, która pozwoliła im oszukać ofiary, aby pomyślały, że ich łatka zawierająca złośliwe oprogramowanie jest autentyczną aktualizacją systemu Windows.

Co mogą zrobić cele złośliwego oprogramowania, aby się obronić? Niewiele. Przez lata płomień nie był wykrywany.

Jednak Microsoft załatał teraz lukę w zabezpieczeniach, która pozwoliła Flame'owi ukryć się jako aktualizacja Windows. Oznacza to, że hakerzy muszą albo znaleźć nową lukę w zabezpieczeniach, przekupić Microsoft, aby umożliwić im podpisywanie aktualizacji, lub po prostu ukraść klucz do podpisu z Microsoft.

Atakujący musi dodatkowo być w pozycji w sieci, aby przeprowadzić atak man-in-the-middle.

Oznacza to, że w praktyce jest to tylko kwestia, o którą musisz się martwić, jeśli myślisz o obronie przed atakami państwa narodowego, takimi jak NSA.

chrześcijanin
źródło
Ta odpowiedź nie została udowodniona. NIE był podpisany przez Microsoft, został podpisany certyfikatem, ponieważ użyty certyfikat miał ten sam podpis
Ramhound
1
@Ramhound: W tej odpowiedzi nie twierdzę, że została podpisana przez Microsoft. Twierdzę, że otrzymał podpis, który wyglądał, jakby był podpisany przez Microsoft z powodu luki bezpieczeństwa. Mieli 0-dni, które Microsoft załatał później.
Christian
2
Nigdy jednak nie rozpowszechniano mnie przez Windows Update
Ramhound
@Ramhound: Zmieniłem to zdanie, czy jesteś zadowolony z nowej wersji?
Christian
2

Zawsze używaj panelu sterowania Windows Update do aktualizacji oprogramowania Windows. Nigdy nie klikaj w żadnej witrynie, której nie możesz w pełni zaufać.

Tetsujin
źródło
Dzięki za Twoją sugestię. Słyszałem, że hakerzy mogą zamaskować swoje złośliwe oprogramowanie jako oficjalną aktualizację windwos i sprawić, że aktualizacja systemu Windows powie ci, że musisz go pobrać. Czy to prawda?
user3787755,
3
Brzmi dla mnie jak FUD - musieliby nie tylko przenieść to złośliwe oprogramowanie na serwery Microsoftu, ale musieliby stworzyć artykuł z KB opisujący to ... wszystko bez zauważenia przez MS
Tetsujin
4
JEŻELI ukradli klucze, a następnie przejęli serwery DNS ... to można to zrobić. Nadal bardzo mało prawdopodobne.
D Schlachter,
2
@DSchlachter, który mieści się w możliwościach korpusu szpiegowskiego większości krajów uprzemysłowionych.
Snowbody
2

Wiele odpowiedzi poprawnie wskazywało, że Flame Malware wykorzystało wadę procesu aktualizacji systemu Windows, ale niektóre ważne szczegóły zostały uogólnione.

Ten post na blogu Microsoft Technet „Security Research and Defense Blog” zatytułowany: Wyjaśnienie ataku kolizji złośliwego oprogramowania Flame

... domyślnie certyfikat atakującego nie działa w systemie Windows Vista lub nowszych wersjach systemu Windows. Musieli przeprowadzić atak kolizyjny, aby sfałszować certyfikat, który byłby ważny do podpisywania kodu w systemie Windows Vista lub nowszych wersjach systemu Windows. W systemach wcześniejszych niż Windows Vista atak jest możliwy bez kolizji skrótu MD5.

„MD5 Collision Attack” = Wysoko techniczne czarodziejstwo kryptograficzne - którego z pewnością nie udaję, że rozumiem.

Kiedy Flame został odkryty i publicznie ujawniony przez Kaspersky 28 maja 2012 r., Naukowcy odkryli, że działał on na wolności od co najmniej marca 2010 r., A baza kodu była opracowywana od 2007 r. Mimo że Flame zawierał kilka innych wektorów infekcji, dolna linia jest ta jedna luka istniała przez kilka lat, zanim została odkryta i załatana.

Ale Flame był operacją na poziomie „państwa narodowego” i, jak już wspomniano - zwykły użytkownik niewiele może zrobić, aby uchronić się przed agencjami trzech liter.

Evilgrade

Evilgrade to modularna struktura, która pozwala użytkownikowi korzystać ze złych wdrożeń aktualizacji poprzez wprowadzanie fałszywych aktualizacji. Jest dostarczany z gotowymi plikami binarnymi (agentami), działającą domyślną konfiguracją dla szybkich pentestów oraz ma własne moduły WebServer i DNSServer. Łatwa konfiguracja nowych ustawień i automatyczna konfiguracja po ustawieniu nowych agentów binarnych.

Projekt jest hostowany na Github . Jest darmowy i open source.

Aby zacytować zamierzone użycie:

Ta struktura wchodzi w grę, gdy osoba atakująca może dokonać przekierowań nazw hostów (manipulowanie ruchem dns ofiary) ...

Tłumaczenie: potencjalnie każdy w tej samej sieci (LAN) co ty lub ktoś, kto może manipulować twoim DNS ... nadal używa domyślnej nazwy użytkownika i przekazuje twój router linksys ...?

Obecnie ma 63 różne „moduły” lub potencjalne aktualizacje oprogramowania, które atakuje, z nazwami takimi jak itunes, vmware, virtualbox, skype, notepad ++, ccleaner, Teamviewer itp. Itp. Powinienem dodać, że wszystkie te wulkany zostały załatane przez ich dostawców i żadna nie jest przeznaczona dla „aktualnych” wersji, ale hej - kto i tak aktualizuje ...

Demonstracja w tym filmie

kok
źródło