Finto aggiornamento di Windows

19

Ho sentito che gli hacker possono farti scaricare il loro software dannoso dicendoti che sono un aggiornamento del sistema operativo tramite Windows Update. È vero? Se sì, come posso proteggermi?

windows-7  windows  windows-update 
user3787755
fonte
9
Hai sentito che gli aggiornamenti di Windows sbagliati sono firmati
Ramhound,
5
Se sei davvero paranoico, puoi modificare le tue impostazioni in modo che gli aggiornamenti non vengano scaricati automaticamente (impostato su "solo notifica" o "non fare nulla"), quindi vai manualmente su "Windows Update" per caricare / installare le modifiche. Questo assicura che provengono da Microsoft.
Daniel R Hicks,
1
In una nota correlata, è noto che il malware si nasconde dietro un software affidabile per superare i prompt UAC. Ad esempio, ZeroAccess si collegherebbe a un programma di installazione di Adobe Flash Player in modo che il prompt UAC sembrasse legittimo e si sarebbe detto "Oh, è solo l'aggiornamento di Flash ..." e fare clic.
indiv
Aneddotico ma Barnaby Jack non lo ha dimostrato alcuni anni fa, è stato menzionato da Mudge nel suo discorso di Defcon dell'anno scorso - youtube.com/watch?v=TSR-b9y (a partire da circa 35 minuti)
JMK

Risposte:

31

È quasi impossibile per un normale hacker inviarti qualcosa tramite il sistema di Windows Update.

Quello che hai sentito è diverso però. È uno spyware che sembra Windows Update e ti dice di installarlo. Se si fa clic su Installa, viene visualizzato un prompt UAC che richiede i privilegi di amministratore. Se lo accetti, può installare spyware. Nota che Windows Update non richiederà MAI di superare un test di elevazione UAC. Ciò non è necessario poiché il servizio Windows Update viene eseguito come SISTEMA, che dispone dei privilegi più elevati. L'unico prompt che riceverai durante le installazioni di Windows Update è l'approvazione di un contratto di licenza.

EDIT: apportato modifiche alla posta perché il governo potrebbe essere in grado di farcela, ma dubito che come un normale cittadino, puoi comunque proteggerti dal governo.

LPChip
fonte
50
Davvero "impossibile"? Possiamo invece andare con qualcosa di più sulla falsariga di "altamente altamente improbabile / improbabile"?
radice
11
@root Suppongo che se fingessero WSUS e alterassero l'aggiornamento di Windows in questo modo (che ovviamente richiede privilegi amministrativi che vogliono ottenere comunque), l'aggiornamento di Windows potrebbe ottenere un aggiornamento di Windows dannoso. Non ho sentito parlare di alcuna infezione diffusa attraverso questo metodo, e dubito che andrebbero in questo modo perché se ottengono i privilegi di amministratore possono semplicemente infettare la macchina con spyware nel modo in cui intendono fare.
LPChip
7
Lo facevano sempre in XP. Tutto quello che devi fare è modificare il file hosts per reindirizzare una richiesta a un sito Web dannoso.
ps2goat,
3
Non è quello che ha fatto Flame ?
sch
9
-1 perché questa risposta non è vera. Anche se è molto improbabile e @LPChip stesso non può immaginare che ciò accada mai è accaduto nella vita reale
slebetman
8

Si è vero.

Il malware Flame ha attaccato l'utente attraverso un difetto nel processo di aggiornamento di Windows. I suoi creatori hanno trovato un buco nella sicurezza nel sistema di aggiornamento di Windows che ha permesso loro di ingannare le vittime nel pensare che la loro patch con malware fosse un autentico aggiornamento di Windows.

Cosa potrebbero fare gli obiettivi del malware per difendersi? Non tanto. La fiamma passò anni senza essere rilevata.

Tuttavia, Microsoft ora ha corretto la falla di sicurezza che ha permesso a Flame di nascondersi come aggiornamento di Windows. Ciò significa che gli hacker devono trovare una nuova falla nella sicurezza, corrompere Microsoft per dare loro la possibilità di firmare gli aggiornamenti o semplicemente rubare la chiave di firma da Microsoft.

Inoltre, un utente malintenzionato deve trovarsi in una posizione nella rete per eseguire un attacco man-in-the-middle.

Ciò significa che in pratica questo è solo un problema di cui ti devi preoccupare se pensi di difenderti da aggressori dello stato nazionale come la NSA.

cristiano
fonte
Questa risposta non è stata dimostrata. NON è stato firmato da Microsoft ma è stato firmato da un certificato perché il certificato utilizzato aveva la stessa firma
Ramhound
1
@Ramhound: in questa risposta non sostengo che sia stato firmato da Microsoft. Sostengo che ha ottenuto una firma che lo faceva sembrare firmato da Microsoft a causa di una falla nella sicurezza. Hanno avuto uno 0-day che Microsoft ha successivamente patchato.
Christian,
2
Tuttavia, non sono mai stato distribuito da Windows Update
Ramhound,
@Ramhound: ho cambiato quella frase, sei contento della nuova versione?
Christian,
2

Utilizzare sempre il pannello di controllo di Windows Update per aggiornare il software Windows. Non fare mai clic su alcun sito di cui non ti puoi fidare completamente.

Tetsujin
fonte
Grazie per il tuo suggerimento Ho sentito che è possibile che gli hacker mascherino il loro software dannoso come un aggiornamento ufficiale di windwos e che Windows Update ti dica che devi scaricarlo. È vero?
user3787755
3
A me sembra FUD - non dovrebbero solo caricare quel software dannoso sui server di Microsoft, ma dovrebbero riuscire a costruire un articolo KB che lo descriva ... tutto senza che MS se ne accorga
Tetsujin
4
Se hanno rubato le chiavi, quindi hanno dirottato i tuoi server DNS ... allora potrebbe essere fatto. Ancora molto improbabile.
D Schlachter,
2
@DSchlachter che rientra nelle capacità dei corpi di spionaggio della maggior parte delle nazioni industrializzate.
Snowbody,
2

Molte delle risposte hanno correttamente sottolineato che Flame Malware utilizzava un difetto nel processo di aggiornamento di Windows, ma alcuni dettagli importanti sono stati generalizzati.

Questo post su un technet di Microsoft "Security Research and Defence Blog" intitolato: Spiegazione dell'attacco di collisione Flame Malware

... per impostazione predefinita il certificato dell'attaccante non funzionerebbe su Windows Vista o versioni più recenti di Windows. Hanno dovuto eseguire un attacco di collisione per creare un certificato valido per la firma del codice su Windows Vista o versioni più recenti di Windows. Sui sistemi che precedono Windows Vista, è possibile un attacco senza una collisione dell'hash MD5.

"MD5 Collision Attack" = Magia crittografica altamente tecnica - che certamente non pretendo di capire.

Quando la Fiamma è stata scoperta e divulgata pubblicamente da Kaspersky il 28 maggio 2012, i ricercatori hanno scoperto che era in circolazione da almeno marzo 2010 con la base di codice in fase di sviluppo dal 2007. Sebbene Flame avesse diversi altri vettori di infezione, la linea di fondo è che questa vulnerabilità esisteva da diversi anni prima di essere scoperta e rattoppata.

Ma Flame era un'operazione a livello di "Stato nazionale" e, come già sottolineato, c'è ben poco che un normale utente possa fare per proteggersi dalle agenzie di tre lettere.

Evilgrade

Evilgrade è un framework modulare che consente all'utente di sfruttare scarse implementazioni di upgrade iniettando falsi aggiornamenti. Viene fornito con binari (agenti) predefiniti, una configurazione predefinita funzionante per pentests veloci e ha i propri moduli WebServer e DNSServer. Facile da configurare nuove impostazioni e ha un'autoconfigurazione quando vengono impostati nuovi agenti binari.

Il progetto è ospitato su Github . È gratuito e open source.

Per citare l'uso previsto:

Questo framework entra in gioco quando l'attaccante è in grado di effettuare reindirizzamenti del nome host (manipolazione del traffico DNS della vittima) ...

Traduzione: potenzialmente chiunque sulla stessa rete (LAN) come te o qualcuno che può manipolare il tuo DNS ... continua a utilizzare il nome utente predefinito e passare il tuo router Linksys ...?

Attualmente ha 63 diversi "moduli" o potenziali aggiornamenti software che attacca, con nomi come itunes, vmware, virtualbox, skype, notepad ++, ccleaner, Teamviewer, ecc. nessuno è per le versioni "attuali", ma hey - chi aggiorna comunque ...

Dimostrazione in questo video

peso
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.