偽のWindowsアップデート

Question 1

一般的なハッカーが Windows Update システムを通じて何かを送信することはほぼ不可能です。

ただし、あなたが聞いた内容は異なります。これは、Windows Update のように見えるスパイウェアで、インストールするように指示します。インストールをクリックすると、管理者権限を要求する UAC プロンプトが表示されます。これを受け入れると、スパイウェアがインストールされます。Windows Update では、UAC 昇格テストに合格することが絶対に要求されないことに注意してください。Windows Update サービスは、最高の権限を持つ SYSTEM として実行されるため、これは必要ありません。Windows Update のインストール中に表示される唯一のプロンプトは、ライセンス契約の承認です。

編集: 政府はこれを実行できるかもしれないので投稿を変更しましたが、一般市民として政府から身を守ることができるかどうかは疑問です。

Answer

一般的なハッカーが Windows Update システムを通じて何かを送信することはほぼ不可能です。

ただし、あなたが聞いた内容は異なります。これは、Windows Update のように見えるスパイウェアで、インストールするように指示します。インストールをクリックすると、管理者権限を要求する UAC プロンプトが表示されます。これを受け入れると、スパイウェアがインストールされます。Windows Update では、UAC 昇格テストに合格することが絶対に要求されないことに注意してください。Windows Update サービスは、最高の権限を持つ SYSTEM として実行されるため、これは必要ありません。Windows Update のインストール中に表示される唯一のプロンプトは、ライセンス契約の承認です。

編集: 政府はこれを実行できるかもしれないので投稿を変更しましたが、一般市民として政府から身を守ることができるかどうかは疑問です。

Question 2

はい、それは本当だ。

のフレイムマルウェアWindows 更新プロセスの欠陥を利用してユーザーを攻撃しました。作成者は Windows 更新システムのセキュリティホールを発見し、マルウェアを含むパッチが本物の Windows 更新であると被害者に信じ込ませることができました。

マルウェアの標的となった人々は、自分自身を守るために何ができるでしょうか? あまりできません。Flame は何年もの間、検出されませんでした。

しかし、Microsoft は、Flame が Windows アップデートとして隠れることを可能にしたセキュリティホールを修正しました。つまり、ハッカーは、新しいセキュリティホールを見つけるか、Microsoft に賄賂を渡してアップデートに署名する権限を与えるか、または単に Microsoft から署名キーを盗むかのいずれかを行う必要があります。

さらに、攻撃者はネットワーク内で中間者攻撃を実行する位置にいる必要があります。

つまり、実際には、これは NSA のような国家による攻撃者からの防御を考える場合にのみ心配する必要がある問題です。

Answer

はい、それは本当だ。

のフレイムマルウェアWindows 更新プロセスの欠陥を利用してユーザーを攻撃しました。作成者は Windows 更新システムのセキュリティホールを発見し、マルウェアを含むパッチが本物の Windows 更新であると被害者に信じ込ませることができました。

マルウェアの標的となった人々は、自分自身を守るために何ができるでしょうか? あまりできません。Flame は何年もの間、検出されませんでした。

しかし、Microsoft は、Flame が Windows アップデートとして隠れることを可能にしたセキュリティホールを修正しました。つまり、ハッカーは、新しいセキュリティホールを見つけるか、Microsoft に賄賂を渡してアップデートに署名する権限を与えるか、または単に Microsoft から署名キーを盗むかのいずれかを行う必要があります。

さらに、攻撃者はネットワーク内で中間者攻撃を実行する位置にいる必要があります。

つまり、実際には、これは NSA のような国家による攻撃者からの防御を考える場合にのみ心配する必要がある問題です。

Question 3

Windows ソフトウェアを更新する場合は、必ず Windows Update コントロールパネルを使用してください。完全に信頼できないサイトではクリックスルーしないでください。

Answer

Windows ソフトウェアを更新する場合は、必ず Windows Update コントロールパネルを使用してください。完全に信頼できないサイトではクリックスルーしないでください。

Question 4

回答の多くは、Flame マルウェアが Windows 更新プロセスの欠陥を利用したことを正しく指摘していますが、重要な詳細の一部は一般化されています。

Microsoft TechNet の「セキュリティ研究と防衛のブログ」の次の投稿:Flame マルウェア衝突攻撃の説明

... デフォルトでは、攻撃者の証明書は Windows Vista またはそれ以降のバージョンの Windows では機能しません。Windows Vista またはそれ以降のバージョンの Windows でコード署名に有効な証明書を偽造するには、衝突攻撃を実行する必要があります。Windows Vista より前のシステムでは、MD5 ハッシュの衝突がなくても攻撃が可能です。

「MD5 衝突攻撃」 = 高度な技術を要する暗号化の魔法 - 私には理解できない。

フレイムが発見され、公になったときカスペルスキーが公開2012 年 5 月 28 日、研究者らは、Flame が少なくとも 2010 年 3 月から実際に動作しており、コードベースは 2007 年から開発中であったことを発見しました。Flame には他にも感染経路はいくつかありましたが、結局のところ、この脆弱性は発見されて修正されるまで数年間存在していました。

しかし、Flame は「国家」レベルの活動であり、すでに指摘したように、一般ユーザーが 3 文字の機関から身を守るためにできることはほとんどありません。

イーヴィルグレード

Evilgrade は、偽のアップデートを挿入することで、ユーザーが貧弱なアップグレード実装を利用できるモジュールフレームワークです。これには、事前作成されたバイナリ (エージェント)、高速ペンテスト用の動作するデフォルト構成が付属しており、独自の WebServer および DNSServer モジュールがあります。新しい設定を簡単にセットアップでき、新しいバイナリエージェントが設定されると自動構成が行われます。

このプロジェクトはギットハブ無料のオープンソースです。

意図された使用法を引用すると:

このフレームワークは、攻撃者がホスト名のリダイレクト (被害者の DNS トラフィックの操作) を実行できる場合に機能します...

翻訳: 潜在的に、あなたと同じ (LAN) ネットワーク上の誰か、またはあなたの DNS を操作できる誰か...まだデフォルトのユーザー名を使用して、Linksys ルーターを渡しています...?

現在、攻撃対象となる「モジュール」または潜在的なソフトウェアアップデートは 63 種類あり、名前は itunes、vmware、virtualbox、skype、notepad++、ccleaner、Teamviewer などです。これらの脆弱性はすべてそれぞれのベンダーによって修正されており、「現在の」バージョン向けのものはないことを付け加えておきますが、まあ、そもそも誰がアップデートを行うのでしょうか...

このデモではビデオ

Answer

回答の多くは、Flame マルウェアが Windows 更新プロセスの欠陥を利用したことを正しく指摘していますが、重要な詳細の一部は一般化されています。

Microsoft TechNet の「セキュリティ研究と防衛のブログ」の次の投稿:Flame マルウェア衝突攻撃の説明

... デフォルトでは、攻撃者の証明書は Windows Vista またはそれ以降のバージョンの Windows では機能しません。Windows Vista またはそれ以降のバージョンの Windows でコード署名に有効な証明書を偽造するには、衝突攻撃を実行する必要があります。Windows Vista より前のシステムでは、MD5 ハッシュの衝突がなくても攻撃が可能です。

「MD5 衝突攻撃」 = 高度な技術を要する暗号化の魔法 - 私には理解できない。

フレイムが発見され、公になったときカスペルスキーが公開2012 年 5 月 28 日、研究者らは、Flame が少なくとも 2010 年 3 月から実際に動作しており、コードベースは 2007 年から開発中であったことを発見しました。Flame には他にも感染経路はいくつかありましたが、結局のところ、この脆弱性は発見されて修正されるまで数年間存在していました。

しかし、Flame は「国家」レベルの活動であり、すでに指摘したように、一般ユーザーが 3 文字の機関から身を守るためにできることはほとんどありません。

イーヴィルグレード

Evilgrade は、偽のアップデートを挿入することで、ユーザーが貧弱なアップグレード実装を利用できるモジュールフレームワークです。これには、事前作成されたバイナリ (エージェント)、高速ペンテスト用の動作するデフォルト構成が付属しており、独自の WebServer および DNSServer モジュールがあります。新しい設定を簡単にセットアップでき、新しいバイナリエージェントが設定されると自動構成が行われます。

このプロジェクトはギットハブ無料のオープンソースです。

意図された使用法を引用すると:

このフレームワークは、攻撃者がホスト名のリダイレクト (被害者の DNS トラフィックの操作) を実行できる場合に機能します...

翻訳: 潜在的に、あなたと同じ (LAN) ネットワーク上の誰か、またはあなたの DNS を操作できる誰か...まだデフォルトのユーザー名を使用して、Linksys ルーターを渡しています...?

現在、攻撃対象となる「モジュール」または潜在的なソフトウェアアップデートは 63 種類あり、名前は itunes、vmware、virtualbox、skype、notepad++、ccleaner、Teamviewer などです。これらの脆弱性はすべてそれぞれのベンダーによって修正されており、「現在の」バージョン向けのものはないことを付け加えておきますが、まあ、そもそも誰がアップデートを行うのでしょうか...

このデモではビデオ

偽のWindowsアップデート

答え1

答え2

答え3

答え4

イーヴィルグレード

関連情報