Поддельное обновление Windows

19

Я слышал, что хакеры могут заставить вас загрузить их вредоносные программы, сообщив, что они являются обновлением операционной системы через Центр обновления Windows. Это правда? Если да, как я могу защитить себя?

windows-7 windows windows-update user3787755
источник
9
Вы слышали, что подписаны неправильные обновления Windows
Ramhound
5
Если вы действительно параноик, вы можете изменить свои настройки, чтобы обновления не загружались автоматически (установите «только уведомление» или «ничего не делать»), а затем вручную перейдите в «Центр обновления Windows», чтобы загрузить / установить изменения. Это гарантирует, что они пришли от Microsoft.
Daniel R Hicks
1
Относительно примечания известно, что вредоносное ПО скрывается за доверенным программным обеспечением, чтобы пропустить запросы UAC. Например, ZeroAccess будет подключаться к установщику Adobe Flash Player, чтобы приглашение UAC выглядело законным, а вы бы хотели «О, это просто обновление Flash ...» и щелкнуть по.
indiv
Анекдотично, но Барнаби Джек не демонстрировал это несколько лет назад, это было упомянуто Маджем в его выступлении в Defcon в прошлом году - youtube.com/watch?v=TSR-b9y (начиная с отметки 35 минут)
JMK

Ответы:

31

Для обычного хакера практически невозможно отправить вам что-либо через систему Windows Update.

То, что вы слышали, отличается. Это шпионское ПО, которое выглядит как Центр обновления Windows и предлагает вам установить его. Если вы затем нажмете «Установить», появится окно с запросом прав администратора. Если вы принимаете это, он может установить шпионское ПО. Обратите внимание, что Центр обновления Windows НИКОГДА не потребует от вас пройти тест на повышение прав UAC. Это не требуется, поскольку служба Windows Update работает как SYSTEM, которая имеет самые высокие привилегии. Единственное приглашение, которое вы получите при установке Центра обновления Windows, - это утверждение лицензионного соглашения.

РЕДАКТИРОВАТЬ: внес изменения в должность, потому что правительство может быть в состоянии осуществить это, но я сомневаюсь, что как нормальный гражданин, вы все равно можете защитить от правительства.

LPChip
источник
50
Действительно "невозможно"? Можем ли мы вместо этого пойти с чем-то более по принципу «крайне маловероятно / невероятно»?
root
11
@ root Я полагаю, если бы они подделали WSUS и изменили обновление Windows таким образом (что, конечно, требует административных привилегий, которые они хотят получить в любом случае), обновление Windows могло бы получить обновление Windows, которое является вредоносным. Я не слышал ни о какой инфекции, распространяемой через этот метод, и я сомневаюсь, что они пойдут этим путем, потому что, если они получат административные привилегии, они могут просто заразить машину шпионским ПО, как они намереваются сделать.
LPChip
7
Они делали это все время в XP. Все, что вам действительно нужно сделать, это изменить файл hosts, чтобы перенаправить запрос на вредоносный веб-сайт.
ps2goat
3
Разве это не то, что Пламя сделал ?
sch
9
-1 потому что этот ответ не соответствует действительности. Хотя это очень-очень маловероятно, и сам @LPChip не может себе представить, чтобы это когда-либо происходило, это случалось в реальной жизни.
slebetman
8

Да, это правда.

Flame вредоносная программа атаковал пользователя через дефект в процессе обновления Windows. Его создатели обнаружили дыру в безопасности в системе обновлений Windows, которая позволила им обмануть жертв, заставив их думать, что их патч с вредоносным ПО является подлинным обновлением Windows.

Что могут сделать цели вредоносных программ, чтобы защитить себя? Немного. Пламя шло годами, оставаясь незамеченным.

Однако теперь Microsoft исправила дыру в безопасности, которая позволяла Flame скрываться как обновление Windows. Это означает, что хакерам нужно либо найти новую дыру в безопасности, подкупить Microsoft, чтобы дать им возможность подписывать обновления, либо просто украсть ключ подписи у Microsoft.

Кроме того, злоумышленник должен находиться в сети, чтобы провести атаку «человек посередине».

Это означает, что на практике это только вопрос, о котором вам нужно беспокоиться, если вы думаете о защите от нападающих национальных государств, таких как АНБ.

Christian
источник
Этот ответ не был доказан. Это НЕ было подписано Microsoft, это было подписано сертификатом, потому что у сертификата, который использовался, была та же самая подпись
Ramhound
1
@Ramhound: Я не утверждаю в этом ответе, что он был подписан Microsoft. Я утверждаю, что у него есть подпись, которая выглядела так, как будто она была подписана Microsoft из-за дыры в безопасности. У них был 0 день, который Microsoft позже исправила.
Christian
2
Я никогда не распространял Windows Update, хотя
Ramhound
@Ramhound: Я изменил это предложение, ты доволен новой версией?
Christian
2

Используйте только панель управления Центра обновления Windows для обновления программного обеспечения Windows. Никогда не переходите по ссылкам на сайты, которым вы не можете полностью доверять.

Tetsujin
источник
Спасибо за ваше предложение. Я слышал, что хакеры могут замаскировать свое вредоносное ПО как официальное обновление windwos и сделать так, чтобы обновление Windows сообщало вам, что вы должны его скачать. Это правда?
user3787755
3
Для меня это звучит как FUD - им нужно было не только перенести это вредоносное ПО на серверы Microsoft, но и создать статью в КБ, описывающую это ... и все это без замечаний MS
Tetsujin
4
ЕСЛИ они украли ключи, затем взломали ваши DNS-серверы ... тогда это можно было сделать. Еще очень навряд ли.
D Schlachter
2
@DSchlachter, который находится в пределах возможностей шпионского корпуса большинства промышленно развитых стран.
Snowbody
2

Многие из ответов правильно указали, что Flame Malware использовала уязвимость в процессе обновления Windows, но некоторые важные детали были обобщены.

Эта статья в блоге Microsoft «Исследования и защита в области безопасности» под названием: Объяснение нападения с применением Flame Malware

... по умолчанию сертификат злоумышленника не будет работать в Windows Vista или более поздних версиях Windows. Им пришлось выполнить атаку коллизий, чтобы подделать сертификат, который был бы действителен для подписывания кода в Windows Vista или более поздних версиях Windows. В системах, предшествующих Windows Vista, атака возможна без коллизии хеша MD5.

«MD5 Collision Attack» = высокотехнологичное криптографическое волшебство - которое я, конечно, не претендую на понимание.

Когда Пламя было открыто и публично раскрывается Касперским 28 мая 2012 года исследователи обнаружили, что он работал в дикой природе, по крайней мере, с марта 2010 года, а кодовая база находилась в стадии разработки с 2007 года. Хотя у Flame было несколько других векторов заражения, суть в том, что эта уязвимость существовала в течение нескольких лет. прежде чем быть обнаруженным и исправленным.

Но Flame была операцией на уровне «государства-нации», и, как уже указывалось, обычный пользователь мало что может сделать, чтобы защитить себя от трехбуквенных агентств.

Evilgrade

Evilgrade - это модульная структура, которая позволяет пользователю использовать слабые реализации обновлений путем внедрения поддельных обновлений. Он поставляется с готовыми двоичными файлами (агентами), рабочей конфигурацией по умолчанию для быстрых пентестов и имеет свои собственные модули WebServer и DNSServer. Простота установки новых настроек и автоматическая настройка при установке новых бинарных агентов.

Проект размещен на Github , Это бесплатно и с открытым исходным кодом.

Чтобы процитировать предполагаемое использование:

Эта структура вступает в игру, когда злоумышленник может перенаправить имя хоста (манипулирование DNS-трафиком жертвы) ...

Перевод: потенциально любой в той же (LAN) сети, что и вы, или кто-то, кто может манипулировать вашим DNS ... все еще используя имя пользователя по умолчанию и передавая ваш маршрутизатор linksys ...?

В настоящее время он имеет 63 различных «модуля» или потенциальных обновлений программного обеспечения, на которые он атакует, с именами, такими как itunes, vmware, virtualbox, skype, notepad ++, ccleaner, Teamviewer и т. Д. И т. Д. Я должен добавить, что все эти уязвимости были исправлены их соответствующими поставщиками ни один не для "текущих" версий, но эй - кто делает обновления в любом случае ...

Демонстрация в этом видео

bob
источник