Actualización de Windows falsa

Question 1

Es casi imposible que un hacker común y corriente le envíe algo a través del sistema Windows Update.

Sin embargo, lo que escuchaste es diferente. Es un software espía que parece Windows Update y le indica que lo instale. Si luego hace clic en instalar, aparecerá un mensaje de UAC solicitando privilegios administrativos. Si acepta eso, puede instalar software espía. Tenga en cuenta que Windows Update NUNCA requerirá que pase una prueba de elevación de UAC. Esto no es necesario ya que el servicio Windows Update se ejecuta como SISTEMA, que tiene los privilegios más altos. El único mensaje que recibirá durante las instalaciones de Windows Update será aprobar un acuerdo de licencia.

EDITAR: hice cambios en la publicación porque el gobierno puede lograr esto, pero dudo que, como ciudadano normal, pueda protegerse contra el gobierno de todos modos.

Answer

Es casi imposible que un hacker común y corriente le envíe algo a través del sistema Windows Update.

Sin embargo, lo que escuchaste es diferente. Es un software espía que parece Windows Update y le indica que lo instale. Si luego hace clic en instalar, aparecerá un mensaje de UAC solicitando privilegios administrativos. Si acepta eso, puede instalar software espía. Tenga en cuenta que Windows Update NUNCA requerirá que pase una prueba de elevación de UAC. Esto no es necesario ya que el servicio Windows Update se ejecuta como SISTEMA, que tiene los privilegios más altos. El único mensaje que recibirá durante las instalaciones de Windows Update será aprobar un acuerdo de licencia.

EDITAR: hice cambios en la publicación porque el gobierno puede lograr esto, pero dudo que, como ciudadano normal, pueda protegerse contra el gobierno de todos modos.

Question 2

Sí, es verdad.

Elmalware de llamausuario atacado a través de una falla en el proceso de actualización de Windows. Sus creadores encontraron un agujero de seguridad en el sistema de actualización de Windows que les permitió engañar a las víctimas haciéndoles pensar que su parche contiene malware es una auténtica actualización de Windows.

¿Qué podrían hacer los objetivos del malware para defenderse? Poco. La llama pasó años sin ser detectada.

Sin embargo, Microsoft ahora parchó el agujero de seguridad que permitía a Flame ocultarse como una actualización de Windows. Eso significa que los piratas informáticos tienen que encontrar un nuevo agujero de seguridad, sobornar a Microsoft para que les dé la posibilidad de firmar actualizaciones o simplemente robar la clave de firma de Microsoft.

Además, un atacante debe estar en una posición en la red para ejecutar un ataque de intermediario.

Eso significa que, en la práctica, esto es sólo una cuestión de la que hay que preocuparse si se piensa en defenderse de atacantes de estados nacionales como la NSA.

Answer

Sí, es verdad.

Elmalware de llamausuario atacado a través de una falla en el proceso de actualización de Windows. Sus creadores encontraron un agujero de seguridad en el sistema de actualización de Windows que les permitió engañar a las víctimas haciéndoles pensar que su parche contiene malware es una auténtica actualización de Windows.

¿Qué podrían hacer los objetivos del malware para defenderse? Poco. La llama pasó años sin ser detectada.

Sin embargo, Microsoft ahora parchó el agujero de seguridad que permitía a Flame ocultarse como una actualización de Windows. Eso significa que los piratas informáticos tienen que encontrar un nuevo agujero de seguridad, sobornar a Microsoft para que les dé la posibilidad de firmar actualizaciones o simplemente robar la clave de firma de Microsoft.

Además, un atacante debe estar en una posición en la red para ejecutar un ataque de intermediario.

Eso significa que, en la práctica, esto es sólo una cuestión de la que hay que preocuparse si se piensa en defenderse de atacantes de estados nacionales como la NSA.

Question 3

Utilice únicamente el panel de control de Windows Update para actualizar el software de Windows. Nunca haga clic en ningún sitio en el que no pueda confiar plenamente.

Answer

Utilice únicamente el panel de control de Windows Update para actualizar el software de Windows. Nunca haga clic en ningún sitio en el que no pueda confiar plenamente.

Question 4

Muchas de las respuestas han señalado correctamente que Flame Malware utilizó una falla en el proceso de actualización de Windows, pero algunos de los detalles importantes se han generalizado.

Esta publicación en un 'Blog de investigación y defensa de seguridad' de Microsoft Technet titulada:Ataque de colisión de Flame Malware explicado

... de forma predeterminada, el certificado del atacante no funcionaría en Windows Vista ni en versiones más recientes de Windows. Tuvieron que realizar un ataque de colisión para falsificar un certificado que fuera válido para la firma de código en Windows Vista o versiones más recientes de Windows. En sistemas anteriores a Windows Vista, es posible un ataque sin una colisión de hash MD5.

"MD5 Collision Attack" = Magia criptográfica altamente técnica, que ciertamente no pretendo entender.

Cuando Flame fue descubierta y públicamenterevelado por KasperskyEl 28 de mayo de 2012, los investigadores descubrieron que había estado operando en estado salvaje desde al menos marzo de 2010 con el código base en desarrollo desde 2007. Aunque Flame tenía varios otros vectores de infección, la conclusión es que esta vulnerabilidad existió durante varios años. antes de ser descubierto y parcheado.

Pero Flame era una operación a nivel de "Estado-nación" y, como ya se señaló, es muy poco lo que un usuario normal puede hacer para protegerse de las agencias de tres letras.

malgrado

Evilgrade es un marco modular que permite al usuario aprovechar implementaciones de actualización deficientes mediante la inyección de actualizaciones falsas. Viene con binarios (agentes) prediseñados, una configuración predeterminada funcional para pentests rápidos y tiene sus propios módulos WebServer y DNSServer. Fácil de configurar nuevas configuraciones y tiene una configuración automática cuando se configuran nuevos agentes binarios.

El proyecto está alojado enGitHub. Es gratuito y de código abierto.

Para citar el uso previsto:

Este marco entra en juego cuando el atacante puede realizar redirecciones de nombres de host (manipulación del tráfico DNS de la víctima)...

Traducción: ¿potencialmente cualquier persona en la misma red (LAN) que usted o alguien que pueda manipular su DNS... todavía usando el nombre de usuario predeterminado y pasando su enrutador Linksys...?

Actualmente tiene 63 "módulos" diferentes o posibles actualizaciones de software que ataca, con nombres como itunes, vmware, virtualbox, skype, notepad++, ccleaner, Teamviewer, etc. Debo agregar que todas estas vulnerabilidades fueron parcheadas por sus respectivos proveedores y Ninguno es para versiones "actuales", pero bueno, ¿quién hace las actualizaciones de todos modos?

Demostración en estevideo

Answer

Muchas de las respuestas han señalado correctamente que Flame Malware utilizó una falla en el proceso de actualización de Windows, pero algunos de los detalles importantes se han generalizado.

Esta publicación en un 'Blog de investigación y defensa de seguridad' de Microsoft Technet titulada:Ataque de colisión de Flame Malware explicado

... de forma predeterminada, el certificado del atacante no funcionaría en Windows Vista ni en versiones más recientes de Windows. Tuvieron que realizar un ataque de colisión para falsificar un certificado que fuera válido para la firma de código en Windows Vista o versiones más recientes de Windows. En sistemas anteriores a Windows Vista, es posible un ataque sin una colisión de hash MD5.

"MD5 Collision Attack" = Magia criptográfica altamente técnica, que ciertamente no pretendo entender.

Cuando Flame fue descubierta y públicamenterevelado por KasperskyEl 28 de mayo de 2012, los investigadores descubrieron que había estado operando en estado salvaje desde al menos marzo de 2010 con el código base en desarrollo desde 2007. Aunque Flame tenía varios otros vectores de infección, la conclusión es que esta vulnerabilidad existió durante varios años. antes de ser descubierto y parcheado.

Pero Flame era una operación a nivel de "Estado-nación" y, como ya se señaló, es muy poco lo que un usuario normal puede hacer para protegerse de las agencias de tres letras.

malgrado

Evilgrade es un marco modular que permite al usuario aprovechar implementaciones de actualización deficientes mediante la inyección de actualizaciones falsas. Viene con binarios (agentes) prediseñados, una configuración predeterminada funcional para pentests rápidos y tiene sus propios módulos WebServer y DNSServer. Fácil de configurar nuevas configuraciones y tiene una configuración automática cuando se configuran nuevos agentes binarios.

El proyecto está alojado enGitHub. Es gratuito y de código abierto.

Para citar el uso previsto:

Este marco entra en juego cuando el atacante puede realizar redirecciones de nombres de host (manipulación del tráfico DNS de la víctima)...

Traducción: ¿potencialmente cualquier persona en la misma red (LAN) que usted o alguien que pueda manipular su DNS... todavía usando el nombre de usuario predeterminado y pasando su enrutador Linksys...?

Actualmente tiene 63 "módulos" diferentes o posibles actualizaciones de software que ataca, con nombres como itunes, vmware, virtualbox, skype, notepad++, ccleaner, Teamviewer, etc. Debo agregar que todas estas vulnerabilidades fueron parcheadas por sus respectivos proveedores y Ninguno es para versiones "actuales", pero bueno, ¿quién hace las actualizaciones de todos modos?

Demostración en estevideo

Actualización de Windows falsa

Respuesta1

Respuesta2

Respuesta3

Respuesta4

malgrado

información relacionada