Atualização falsa do Windows

Question 1

É quase impossível para um hacker comum enviar algo a você por meio do sistema Windows Update.

O que você ouviu é diferente. É um spyware que parece ser o Windows Update e pede para você instalá-lo. Se você clicar em instalar, um prompt do UAC aparecerá solicitando privilégios administrativos. Se você aceitar isso, ele poderá instalar spyware. Observe que o Windows Update NUNCA exigirá que você passe em um teste de elevação do UAC. Isso não é necessário porque o serviço Windows Update é executado como SYSTEM, que possui os privilégios mais altos. A única solicitação que você receberá durante as instalações do Windows Update é a aprovação de um contrato de licença.

EDITAR: fiz alterações na postagem porque o governo pode conseguir fazer isso, mas duvido que, como cidadão normal, você possa se proteger contra o governo de qualquer maneira.

Answer

É quase impossível para um hacker comum enviar algo a você por meio do sistema Windows Update.

O que você ouviu é diferente. É um spyware que parece ser o Windows Update e pede para você instalá-lo. Se você clicar em instalar, um prompt do UAC aparecerá solicitando privilégios administrativos. Se você aceitar isso, ele poderá instalar spyware. Observe que o Windows Update NUNCA exigirá que você passe em um teste de elevação do UAC. Isso não é necessário porque o serviço Windows Update é executado como SYSTEM, que possui os privilégios mais altos. A única solicitação que você receberá durante as instalações do Windows Update é a aprovação de um contrato de licença.

EDITAR: fiz alterações na postagem porque o governo pode conseguir fazer isso, mas duvido que, como cidadão normal, você possa se proteger contra o governo de qualquer maneira.

Question 2

Sim, é verdade.

OMalware de chamaatacou o usuário através de uma falha no processo de atualização do Windows. Seus criadores encontraram uma falha de segurança no sistema de atualização do Windows que lhes permitiu enganar as vítimas fazendo-as pensar que seu patch contém malware é uma atualização autêntica do Windows.

O que os alvos do malware poderiam fazer para se defender? Não muito. Flame passou anos sem ser detectado.

No entanto, a Microsoft corrigiu a falha de segurança que permitia ao Flame se esconder como uma atualização do Windows. Isso significa que os hackers precisam encontrar uma nova falha de segurança, subornar a Microsoft para que eles possam assinar atualizações ou simplesmente roubar a chave de assinatura da Microsoft.

Além disso, um invasor deve estar em posição na rede para executar um ataque man-in-the-middle.

Isso significa que, na prática, esta é apenas uma questão com a qual você deve se preocupar se pensar em se defender contra atacantes de estados-nação como a NSA.

Answer

Sim, é verdade.

OMalware de chamaatacou o usuário através de uma falha no processo de atualização do Windows. Seus criadores encontraram uma falha de segurança no sistema de atualização do Windows que lhes permitiu enganar as vítimas fazendo-as pensar que seu patch contém malware é uma atualização autêntica do Windows.

O que os alvos do malware poderiam fazer para se defender? Não muito. Flame passou anos sem ser detectado.

No entanto, a Microsoft corrigiu a falha de segurança que permitia ao Flame se esconder como uma atualização do Windows. Isso significa que os hackers precisam encontrar uma nova falha de segurança, subornar a Microsoft para que eles possam assinar atualizações ou simplesmente roubar a chave de assinatura da Microsoft.

Além disso, um invasor deve estar em posição na rede para executar um ataque man-in-the-middle.

Isso significa que, na prática, esta é apenas uma questão com a qual você deve se preocupar se pensar em se defender contra atacantes de estados-nação como a NSA.

Question 3

Use sempre o painel de controle do Windows Update para atualizar o software Windows. Nunca clique em nenhum site em que você não possa confiar totalmente.

Answer

Use sempre o painel de controle do Windows Update para atualizar o software Windows. Nunca clique em nenhum site em que você não possa confiar totalmente.

Question 4

Muitas das respostas apontaram corretamente que uma falha no processo de atualização do Windows foi usada pelo Flame Malware, mas alguns detalhes importantes foram generalizados.

Esta postagem em um technet da Microsoft 'Blog de pesquisa e defesa de segurança' intitulado:Ataque de colisão Flame Malware explicado

... por padrão, o certificado do invasor não funcionaria no Windows Vista ou em versões mais recentes do Windows. Eles tiveram que realizar um ataque de colisão para forjar um certificado que fosse válido para assinatura de código no Windows Vista ou em versões mais recentes do Windows. Em sistemas anteriores ao Windows Vista, um ataque é possível sem uma colisão de hash MD5.

"MD5 Collision Attack" = Magia criptográfica altamente técnica - que certamente não pretendo entender.

Quando Flame foi descoberto e publicamentedivulgado pela Kasperskyem 28 de maio de 2012, os pesquisadores descobriram que ele estava operando em liberdade desde pelo menos março de 2010, com a base de código em desenvolvimento desde 2007. Embora o Flame tivesse vários outros vetores de infecção, o resultado final é que essa vulnerabilidade existiu por vários anos. antes de ser descoberto e corrigido.

Mas o Flame era uma operação de nível "Estado-nação" e, como já foi apontado - há muito pouco que um usuário comum possa fazer para se proteger de três agências de cartas.

Grau Maligno

Evilgrade é uma estrutura modular que permite ao usuário tirar vantagem de implementações de atualização ruins, injetando atualizações falsas. Ele vem com binários (agentes) pré-fabricados, uma configuração padrão funcional para pentests rápidos e possui seus próprios módulos WebServer e DNSServer. Fácil de definir novas configurações e possui configuração automática quando novos agentes binários são definidos.

O projeto está hospedado emGitHub. É gratuito e de código aberto.

Para citar o uso pretendido:

Essa estrutura entra em ação quando o invasor consegue fazer redirecionamentos de nome de host (manipulação do tráfego DNS da vítima)...

Tradução: potencialmente qualquer pessoa na mesma rede (LAN) que você ou alguém que possa manipular seu DNS... ainda usando o nome de usuário padrão e transmitir seu roteador linksys...?

Atualmente possui 63 "módulos" diferentes ou possíveis atualizações de software que ataca, com nomes como itunes, vmware, virtualbox, skype, notepad++, ccleaner, Teamviewer, etc. Devo acrescentar que todas essas vulnerabilidades foram corrigidas por seus respectivos fornecedores e nenhum é para versões "atuais", mas ei - quem faz atualizações de qualquer maneira ...

Demonstração nestevídeo

Answer

Muitas das respostas apontaram corretamente que uma falha no processo de atualização do Windows foi usada pelo Flame Malware, mas alguns detalhes importantes foram generalizados.

Esta postagem em um technet da Microsoft 'Blog de pesquisa e defesa de segurança' intitulado:Ataque de colisão Flame Malware explicado

... por padrão, o certificado do invasor não funcionaria no Windows Vista ou em versões mais recentes do Windows. Eles tiveram que realizar um ataque de colisão para forjar um certificado que fosse válido para assinatura de código no Windows Vista ou em versões mais recentes do Windows. Em sistemas anteriores ao Windows Vista, um ataque é possível sem uma colisão de hash MD5.

"MD5 Collision Attack" = Magia criptográfica altamente técnica - que certamente não pretendo entender.

Quando Flame foi descoberto e publicamentedivulgado pela Kasperskyem 28 de maio de 2012, os pesquisadores descobriram que ele estava operando em liberdade desde pelo menos março de 2010, com a base de código em desenvolvimento desde 2007. Embora o Flame tivesse vários outros vetores de infecção, o resultado final é que essa vulnerabilidade existiu por vários anos. antes de ser descoberto e corrigido.

Mas o Flame era uma operação de nível "Estado-nação" e, como já foi apontado - há muito pouco que um usuário comum possa fazer para se proteger de três agências de cartas.

Grau Maligno

Evilgrade é uma estrutura modular que permite ao usuário tirar vantagem de implementações de atualização ruins, injetando atualizações falsas. Ele vem com binários (agentes) pré-fabricados, uma configuração padrão funcional para pentests rápidos e possui seus próprios módulos WebServer e DNSServer. Fácil de definir novas configurações e possui configuração automática quando novos agentes binários são definidos.

O projeto está hospedado emGitHub. É gratuito e de código aberto.

Para citar o uso pretendido:

Essa estrutura entra em ação quando o invasor consegue fazer redirecionamentos de nome de host (manipulação do tráfego DNS da vítima)...

Tradução: potencialmente qualquer pessoa na mesma rede (LAN) que você ou alguém que possa manipular seu DNS... ainda usando o nome de usuário padrão e transmitir seu roteador linksys...?

Atualmente possui 63 "módulos" diferentes ou possíveis atualizações de software que ataca, com nomes como itunes, vmware, virtualbox, skype, notepad++, ccleaner, Teamviewer, etc. Devo acrescentar que todas essas vulnerabilidades foram corrigidas por seus respectivos fornecedores e nenhum é para versões "atuais", mas ei - quem faz atualizações de qualquer maneira ...

Demonstração nestevídeo

Atualização falsa do Windows

Responder1

Responder2

Responder3

Responder4

Grau Maligno

informação relacionada