Gefälschtes Windows-Update

Question 1

Für einen gewöhnlichen Hacker ist es nahezu unmöglich, Ihnen etwas über das Windows Update-System zu senden.

Was Sie gehört haben, ist jedoch anders. Es handelt sich um Spyware, die aussieht wie Windows Update und Sie auffordert, sie zu installieren. Wenn Sie dann auf „Installieren“ klicken, wird eine UAC-Eingabeaufforderung angezeigt, in der Sie nach Administratorrechten gefragt werden. Wenn Sie diese akzeptieren, kann Spyware installiert werden. Beachten Sie, dass Windows Update NIEMALS von Ihnen verlangt, einen UAC-Elevation-Test zu bestehen. Dies ist nicht erforderlich, da der Windows Update-Dienst als SYSTEM ausgeführt wird, das über die höchsten Berechtigungen verfügt. Die einzige Eingabeaufforderung, die Sie während der Installation von Windows Update erhalten, ist die Genehmigung einer Lizenzvereinbarung.

EDIT: Ich habe Änderungen am Beitrag vorgenommen, weil die Regierung das vielleicht durchziehen kann, aber ich bezweifle, dass man sich als normaler Bürger überhaupt vor der Regierung schützen kann.

Answer

Für einen gewöhnlichen Hacker ist es nahezu unmöglich, Ihnen etwas über das Windows Update-System zu senden.

Was Sie gehört haben, ist jedoch anders. Es handelt sich um Spyware, die aussieht wie Windows Update und Sie auffordert, sie zu installieren. Wenn Sie dann auf „Installieren“ klicken, wird eine UAC-Eingabeaufforderung angezeigt, in der Sie nach Administratorrechten gefragt werden. Wenn Sie diese akzeptieren, kann Spyware installiert werden. Beachten Sie, dass Windows Update NIEMALS von Ihnen verlangt, einen UAC-Elevation-Test zu bestehen. Dies ist nicht erforderlich, da der Windows Update-Dienst als SYSTEM ausgeführt wird, das über die höchsten Berechtigungen verfügt. Die einzige Eingabeaufforderung, die Sie während der Installation von Windows Update erhalten, ist die Genehmigung einer Lizenzvereinbarung.

EDIT: Ich habe Änderungen am Beitrag vorgenommen, weil die Regierung das vielleicht durchziehen kann, aber ich bezweifle, dass man sich als normaler Bürger überhaupt vor der Regierung schützen kann.

Question 2

Ja, es ist wahr.

DerFlame-MalwareBenutzer über einen Fehler im Windows-Aktualisierungsprozess angegriffen. Die Entwickler fanden eine Sicherheitslücke im Windows-Aktualisierungssystem, die es ihnen ermöglichte, Opfer zu täuschen und ihnen vorzugaukeln, ihr Patch mit Malware sei ein authentisches Windows-Update.

Was konnten die Opfer der Malware tun, um sich zu verteidigen? Nicht viel. Flame blieb jahrelang unentdeckt.

Microsoft hat jedoch jetzt die Sicherheitslücke gepatcht, die es Flame ermöglichte, sich als Windows-Update zu tarnen. Das bedeutet, dass Hacker entweder eine neue Sicherheitslücke finden, Microsoft bestechen müssen, um Updates signieren zu können, oder einfach den Signaturschlüssel von Microsoft stehlen müssen.

Ein Angreifer muss zusätzlich in der Lage sein, im Netzwerk einen Man-in-the-Middle-Angriff durchzuführen.

Dies bedeutet, dass Sie sich in der Praxis nur dann Gedanken darüber machen müssen, wenn Sie an die Verteidigung gegen staatliche Angreifer wie die NSA denken.

Answer

Ja, es ist wahr.

DerFlame-MalwareBenutzer über einen Fehler im Windows-Aktualisierungsprozess angegriffen. Die Entwickler fanden eine Sicherheitslücke im Windows-Aktualisierungssystem, die es ihnen ermöglichte, Opfer zu täuschen und ihnen vorzugaukeln, ihr Patch mit Malware sei ein authentisches Windows-Update.

Was konnten die Opfer der Malware tun, um sich zu verteidigen? Nicht viel. Flame blieb jahrelang unentdeckt.

Microsoft hat jedoch jetzt die Sicherheitslücke gepatcht, die es Flame ermöglichte, sich als Windows-Update zu tarnen. Das bedeutet, dass Hacker entweder eine neue Sicherheitslücke finden, Microsoft bestechen müssen, um Updates signieren zu können, oder einfach den Signaturschlüssel von Microsoft stehlen müssen.

Ein Angreifer muss zusätzlich in der Lage sein, im Netzwerk einen Man-in-the-Middle-Angriff durchzuführen.

Dies bedeutet, dass Sie sich in der Praxis nur dann Gedanken darüber machen müssen, wenn Sie an die Verteidigung gegen staatliche Angreifer wie die NSA denken.

Question 3

Verwenden Sie zum Aktualisieren von Windows-Software ausschließlich die Systemsteuerung von Windows Update. Klicken Sie niemals auf Websites, denen Sie nicht vollkommen vertrauen.

Answer

Verwenden Sie zum Aktualisieren von Windows-Software ausschließlich die Systemsteuerung von Windows Update. Klicken Sie niemals auf Websites, denen Sie nicht vollkommen vertrauen.

Question 4

In vielen Antworten wurde korrekt darauf hingewiesen, dass die Flame-Malware einen Fehler im Windows-Aktualisierungsprozess ausgenutzt hat, einige wichtige Details wurden jedoch verallgemeinert.

Dieser Beitrag in einem Microsoft Technet „Security Research and Defense Blog“ trägt den Titel:Erläuterung des Kollisionsangriffs mit Flame-Malware

... standardmäßig würde das Zertifikat des Angreifers unter Windows Vista oder neueren Windows-Versionen nicht funktionieren. Sie mussten einen Kollisionsangriff durchführen, um ein Zertifikat zu fälschen, das für die Codesignierung unter Windows Vista oder neueren Windows-Versionen gültig wäre. Auf Systemen vor Windows Vista ist ein Angriff ohne eine MD5-Hash-Kollision möglich.

„MD5-Kollisionsangriff“ = Hochtechnische kryptografische Zauberei – und ich behaupte nicht, dass ich sie verstehe.

Als Flame entdeckt und öffentlich gemacht wurdevon Kaspersky veröffentlichtAm 28. Mai 2012 stellten Forscher fest, dass die Malware mindestens seit März 2010 im Umlauf war und die Codebasis seit 2007 entwickelt wurde. Obwohl Flame über mehrere andere Infektionsvektoren verfügte, bestand diese eine Sicherheitslücke unterm Strich mehrere Jahre lang, bevor sie entdeckt und gepatcht wurde.

Doch bei Flame handelte es sich um eine Operation auf „Nationalstaatsebene“, und wie bereits erwähnt, kann ein normaler Benutzer kaum etwas tun, um sich vor den dreistelligen Behörden zu schützen.

Böser Grad

Evilgrade ist ein modulares Framework, das es dem Benutzer ermöglicht, schlechte Upgrade-Implementierungen auszunutzen, indem er gefälschte Updates einfügt. Es wird mit vorgefertigten Binärdateien (Agenten) geliefert, einer funktionierenden Standardkonfiguration für schnelle Pentests und verfügt über eigene WebServer- und DNSServer-Module. Neue Einstellungen lassen sich einfach einrichten und es verfügt über eine automatische Konfiguration, wenn neue Binäragenten eingerichtet werden.

Das Projekt wird gehostet aufGithub. Es ist kostenlos und Open Source.

Um die beabsichtigte Verwendung zu zitieren:

Dieses Framework kommt ins Spiel, wenn der Angreifer in der Lage ist, Hostnamenumleitungen vorzunehmen (Manipulation des DNS-Verkehrs des Opfers) …

Übersetzung: möglicherweise jeder im selben (LAN-)Netzwerk wie Sie oder jemand, der Ihren DNS manipulieren kann … und trotzdem immer noch den Standardbenutzernamen verwendet und Ihren Linksys-Router weitergibt …?

Derzeit greift es 63 verschiedene „Module“ oder potenzielle Software-Updates an, mit Namen wie iTunes, VMware, Virtualbox, Skype, Notepad++, CCleaner, Teamviewer usw. usw. Ich sollte hinzufügen, dass alle diese Schwachstellen von den jeweiligen Anbietern gepatcht wurden und keine für „aktuelle“ Versionen gilt, aber hey – wer macht schon Updates …

Demonstration in diesemVideo

Answer

In vielen Antworten wurde korrekt darauf hingewiesen, dass die Flame-Malware einen Fehler im Windows-Aktualisierungsprozess ausgenutzt hat, einige wichtige Details wurden jedoch verallgemeinert.

Dieser Beitrag in einem Microsoft Technet „Security Research and Defense Blog“ trägt den Titel:Erläuterung des Kollisionsangriffs mit Flame-Malware

... standardmäßig würde das Zertifikat des Angreifers unter Windows Vista oder neueren Windows-Versionen nicht funktionieren. Sie mussten einen Kollisionsangriff durchführen, um ein Zertifikat zu fälschen, das für die Codesignierung unter Windows Vista oder neueren Windows-Versionen gültig wäre. Auf Systemen vor Windows Vista ist ein Angriff ohne eine MD5-Hash-Kollision möglich.

„MD5-Kollisionsangriff“ = Hochtechnische kryptografische Zauberei – und ich behaupte nicht, dass ich sie verstehe.

Als Flame entdeckt und öffentlich gemacht wurdevon Kaspersky veröffentlichtAm 28. Mai 2012 stellten Forscher fest, dass die Malware mindestens seit März 2010 im Umlauf war und die Codebasis seit 2007 entwickelt wurde. Obwohl Flame über mehrere andere Infektionsvektoren verfügte, bestand diese eine Sicherheitslücke unterm Strich mehrere Jahre lang, bevor sie entdeckt und gepatcht wurde.

Doch bei Flame handelte es sich um eine Operation auf „Nationalstaatsebene“, und wie bereits erwähnt, kann ein normaler Benutzer kaum etwas tun, um sich vor den dreistelligen Behörden zu schützen.

Böser Grad

Evilgrade ist ein modulares Framework, das es dem Benutzer ermöglicht, schlechte Upgrade-Implementierungen auszunutzen, indem er gefälschte Updates einfügt. Es wird mit vorgefertigten Binärdateien (Agenten) geliefert, einer funktionierenden Standardkonfiguration für schnelle Pentests und verfügt über eigene WebServer- und DNSServer-Module. Neue Einstellungen lassen sich einfach einrichten und es verfügt über eine automatische Konfiguration, wenn neue Binäragenten eingerichtet werden.

Das Projekt wird gehostet aufGithub. Es ist kostenlos und Open Source.

Um die beabsichtigte Verwendung zu zitieren:

Dieses Framework kommt ins Spiel, wenn der Angreifer in der Lage ist, Hostnamenumleitungen vorzunehmen (Manipulation des DNS-Verkehrs des Opfers) …

Übersetzung: möglicherweise jeder im selben (LAN-)Netzwerk wie Sie oder jemand, der Ihren DNS manipulieren kann … und trotzdem immer noch den Standardbenutzernamen verwendet und Ihren Linksys-Router weitergibt …?

Derzeit greift es 63 verschiedene „Module“ oder potenzielle Software-Updates an, mit Namen wie iTunes, VMware, Virtualbox, Skype, Notepad++, CCleaner, Teamviewer usw. usw. Ich sollte hinzufügen, dass alle diese Schwachstellen von den jeweiligen Anbietern gepatcht wurden und keine für „aktuelle“ Versionen gilt, aber hey – wer macht schon Updates …

Demonstration in diesemVideo

Gefälschtes Windows-Update

Antwort1

Antwort2

Antwort3

Antwort4

Böser Grad

verwandte Informationen