Підроблені оновлення Windows

19

Я чув, що хакери можуть змусити вас завантажити їх шкідливе програмне забезпечення, сказавши вам, що вони є оновленням операційної системи через оновлення Windows. Це правда? Якщо так, то як я можу захистити себе?

windows-7 windows windows-update

— користувач3787755
джерело

9

Ви чули, що підписані оновлення Windows

— Рамхаунд

5

Якщо ви справді параноїк, ви можете змінити свої налаштування так, щоб оновлення не завантажувалися автоматично (встановлено або "сповіщати лише", або "нічого не робити"), а потім вручну перейдіть до "Оновлення Windows", щоб завантажити / встановити зміни. Це запевняє, що вони походять від Microsoft.

— Даніель Р Хікс

1

У відповідній примітці відомо, що зловмисне програмне забезпечення ховається за надійним програмним забезпеченням, щоб оминути підказки UAC. Наприклад, ZeroAccess приєднається до інсталятора Adobe Flash Player, щоб підказка UAC виглядала законною, і ви хотіли б виглядати: "О, це знову лише оновлення Flash ..." і натисніть на.

— indiv

Анекдотичний, але чи не продемонстрував це Барнабі Джек кілька років тому, про це Мудж згадував у своїй розмові про Defcon минулого року - youtube.com/watch?v=TSR-b9y (починаючи приблизно через 35 хвилин)

— JMK

31

Звичайний хакер майже неможливо надіслати вам щось через систему оновлення Windows.

Те, що ви чули, є різним. Це шпигунське програмне забезпечення, схоже, це оновлення Windows, і говорить вам про його встановлення. Якщо ви натиснете кнопку "Встановити", з'явиться підказка UAC з проханням отримати адміністративні пільги. Якщо ви приймаєте це, він може встановлювати шпигунські програми. Зверніть увагу, що оновлення Windows НІКОЛИ не вимагає пройти тест на підвищення рівня UAC. Це не потрібно, оскільки служба Windows Update працює як SYSTEM, яка має найвищі привілеї. Єдине підказка, яке ви отримаєте під час встановлення Windows Update, - це затвердження ліцензійної угоди.

EDIT: внесла зміни до посади, тому що уряд, можливо, зможе це зняти, але я сумніваюся, як нормальний громадянин, ви можете захистити від уряду в будь-якому випадку.

— LPChip
джерело

50

Дійсно, "неможливо"? Чи можемо ми замість цього піти з чимось більшим за принципом "дуже вкрай малоймовірного / малоймовірного"?

— корінь

11

@root Я гадаю, якби вони підробляли WSUS і змінювали оновлення Windows таким чином (що, звичайно, НЕ вимагає адміністративних привілеїв, які вони все одно хочуть отримати) оновлення Windows може отримати оновлення Windows, яке є шкідливим. Я ще не чув про будь-яку інфекцію, яка поширюється за допомогою цього методу, і я сумніваюся, що вони б пішли цим шляхом, оскільки якщо вони отримають адміністративні пільги, вони можуть просто заразити машину шпигунським програмним шляхом, як вони мають намір робити.

— LPChip

7

Вони раніше це робили в XP. Все, що вам потрібно зробити - це змінити файл хостів, щоб перенаправити запит на шкідливий веб-сайт.

— ps2goat

3

Хіба це не те, що зробив Полум'я ?

— sch

9

-1 тому що ця відповідь не відповідає дійсності. Незважаючи на те, що це дуже-дуже малоймовірно, і сам @LPChip не уявляє, що це траплялося в реальному житті

— slebetman

8

Так, це правда.

Полум'я шкідливе атакований користувач через недолік в процесі оновлення Windows. Його творці знайшли дірку в безпеці в системі оновлення Windows, яка дозволила їм обдурити жертв думати, що їхній патч із вмістом зловмисного програмного забезпечення є справжнім оновленням Windows.

Що можуть зробити цілі шкідливого програмного забезпечення для захисту? Не багато. Полум’я роками залишалося непоміченим.

Однак Microsoft тепер зафіксувала отвір у захисті, що дозволило Flame приховати себе як оновлення для Windows. Це означає, що хакерам або потрібно знайти нову дірку в захисті, підкупити Microsoft, щоб дати їм можливість підписувати оновлення, або просто вкрасти ключ підпису у Microsoft.

Крім того, зловмисник повинен бути в положенні в мережі, щоб здійснити атаку "людина в середині".

Це означає, що на практиці це лише питання, про який потрібно хвилюватися, якщо ви думаєте про захист проти нападників національних держав, таких як АНБ.

— Християнин
джерело

Ця відповідь не доведена. Він НЕ був підписаний Microsoft, він був підписаний сертифікатом, оскільки використаний сертифікат мав той самий підпис

— Ramhound

1

@Ramhound: У цій відповіді я не стверджую, що її підписав Microsoft. Я стверджую, що він отримав підпис, завдяки якому він був схожий на те, що його підписав Microsoft через пробірку. У них був 0-денний день, який пізніше виправили Microsoft.

— Крістіан

2

Мені ніколи не поширювалося Windows Update

— Рамхаунд

@Ramhound: Я змінив це речення, ти задоволений новою версією?

— Крістіан

2

Використовуйте панель керування Windows Update лише коли-небудь для оновлення програмного забезпечення Windows. Ніколи не натискайте на будь-який сайт, якому ви не можете повністю довіряти.

— Тецуджин
джерело

Дякуємо за вашу пропозицію. Я чув, що хакери можуть замаскувати своє шкідливе програмне забезпечення як офіційне оновлення windwos та змусити оновлення Windows сказати, що вам потрібно його завантажити. Це правда?

— користувач3787755

3

Мені це здається FUD - їм не тільки доведеться заносити це зловмисне програмне забезпечення на сервери Microsoft, їм доведеться створити статтю KB, що описує це ... все, не помічаючи MS

— Tetsujin

4

Якби вони вкрали ключі, потім захопили ваші DNS-сервери ... тоді це можна було б зробити. Ще дуже малоймовірно.

— D Schlachter

2

@DSchlachter, що цілком відповідає можливостям шпигунських корпусів більшості промислово розвинених країн.

— Snowbody

2

Багато відповідей правильно вказали, що недолік у процесі оновлення Windows використовувався програмним забезпеченням Flame Malware, але деякі важливі деталі були узагальнені.

Ця публікація в "Блозі дослідження безпеки та оборони" Microsoft під назвою: Пояснена атака зіткнення з полум'ям

... за замовчуванням сертифікат зловмисника не працює в Windows Vista або новіших версіях Windows. Вони повинні були здійснити атаку зіткнення, щоб підробити сертифікат, який би був дійсним для підписання коду в Windows Vista або новіших версіях Windows. У системах, які датують Windows Vista, атака можлива без зіткнення хешу MD5.

"MD5 Collision Attack" = Високо технічна криптографічна майстерність - яку я, звичайно, не претендую на розуміння.

Коли 28 травня 2012 року Касперський був відкритий та відкрито розкритий полум'ям , дослідники виявили, що він працював у дикій природі з принаймні березня 2010 року, кодова база, яка розроблялася з 2007 року. що ця вразливість існувала кілька років, перш ніж її виявили та виправили.

Але «Полум’я» було операцією на рівні «нації», і як уже зазначалося - звичайному користувачеві вдається зробити дуже мало, щоб захистити себе від трьох літерних агентств.

Злобний

Evilgrade - це модульна рамка, яка дозволяє користувачеві скористатися поганими реалізаціями оновлення шляхом введення підроблених оновлень. Він постачається із заздалегідь виготовленими бінарними файлами (агентами), робочою конфігурацією за замовчуванням для швидких перерв і має власні модулі WebServer та DNSServer. Легко налаштовувати нові настройки та має автоматичну конфігурацію, коли встановлюються нові бінарні агенти.

Проект проводиться на Github . Це безкоштовно та з відкритим кодом.

Щоб цитувати передбачуване використання:

Цей фреймворк вступає в гру, коли зловмисник може зробити перенаправлення імені хоста (маніпулювання dns-трафіком жертви) ...

Переклад: потенційно хтось у тій же мережі (LAN), як ви або хтось, хто може маніпулювати вашим DNS ... все ще використовуючи ім'я користувача за замовчуванням та передати ваш маршрутизатор Linksys ...?

В даний час є 63 різні "модулі" або потенційні оновлення програмного забезпечення, які вона атакує, з такими іменами, як itunes, vmware, virtualbox, skype, блокнот ++, ccleaner, Teamviewer і т. Д. І т.д. жодна не для "поточних" версій, але ей - хто все-таки оновлює ...

Демонстрація у цьому відео

— боб
джерело