Поддельное обновление Windows

Question 1

Обычному хакеру практически невозможно отправить вам что-либо через систему обновления Windows.

Но то, что вы услышали, отличается. Это шпионское ПО, которое выглядит как Windows Update и предлагает вам установить его. Если вы затем нажмете «Установить», появится запрос UAC с просьбой предоставить права администратора. Если вы согласитесь, он сможет установить шпионское ПО. Обратите внимание, что Windows Update НИКОГДА не потребует от вас пройти тест на повышение прав UAC. Это не обязательно, так как служба Windows Update работает как SYSTEM, которая имеет самые высокие привилегии. Единственный запрос, который вы получите во время установки Windows Update, — это одобрение лицензионного соглашения.

EDIT: внес изменения в пост, потому что правительство, возможно, и способно это осуществить, но я сомневаюсь, что вы, как обычный гражданин, сможете защититься от правительства.

Answer

Обычному хакеру практически невозможно отправить вам что-либо через систему обновления Windows.

Но то, что вы услышали, отличается. Это шпионское ПО, которое выглядит как Windows Update и предлагает вам установить его. Если вы затем нажмете «Установить», появится запрос UAC с просьбой предоставить права администратора. Если вы согласитесь, он сможет установить шпионское ПО. Обратите внимание, что Windows Update НИКОГДА не потребует от вас пройти тест на повышение прав UAC. Это не обязательно, так как служба Windows Update работает как SYSTEM, которая имеет самые высокие привилегии. Единственный запрос, который вы получите во время установки Windows Update, — это одобрение лицензионного соглашения.

EDIT: внес изменения в пост, потому что правительство, возможно, и способно это осуществить, но я сомневаюсь, что вы, как обычный гражданин, сможете защититься от правительства.

Question 2

Да, это правда.

TheВредоносное ПО Flameатаковали пользователя через уязвимость в процессе обновления Windows. Его создатели обнаружили уязвимость в системе обновления Windows, которая позволяла им обманывать жертв, заставляя их думать, что их патч, содержащий вредоносное ПО, является подлинным обновлением Windows.

Что могли сделать цели вредоносного ПО, чтобы защитить себя? Не так уж много. Flame годами оставался незамеченным.

Однако Microsoft теперь закрыла дыру в безопасности, которая позволяла Flame скрываться под видом обновления Windows. Это означает, что хакерам придется либо найти новую дыру в безопасности, либо подкупить Microsoft, чтобы получить возможность подписывать обновления, либо просто украсть ключ подписи у Microsoft.

Кроме того, злоумышленник должен находиться в таком месте в сети, чтобы иметь возможность провести атаку «человек посередине».

Это означает, что на практике это проблема, о которой вам следует беспокоиться, только если вы думаете о защите от государственных хакеров, таких как АНБ.

Answer

Да, это правда.

TheВредоносное ПО Flameатаковали пользователя через уязвимость в процессе обновления Windows. Его создатели обнаружили уязвимость в системе обновления Windows, которая позволяла им обманывать жертв, заставляя их думать, что их патч, содержащий вредоносное ПО, является подлинным обновлением Windows.

Что могли сделать цели вредоносного ПО, чтобы защитить себя? Не так уж много. Flame годами оставался незамеченным.

Однако Microsoft теперь закрыла дыру в безопасности, которая позволяла Flame скрываться под видом обновления Windows. Это означает, что хакерам придется либо найти новую дыру в безопасности, либо подкупить Microsoft, чтобы получить возможность подписывать обновления, либо просто украсть ключ подписи у Microsoft.

Кроме того, злоумышленник должен находиться в таком месте в сети, чтобы иметь возможность провести атаку «человек посередине».

Это означает, что на практике это проблема, о которой вам следует беспокоиться, только если вы думаете о защите от государственных хакеров, таких как АНБ.

Question 3

Используйте только панель управления Windows Update для обновления программного обеспечения Windows. Никогда не переходите по ссылкам на сайтах, которым вы не можете полностью доверять.

Answer

Используйте только панель управления Windows Update для обновления программного обеспечения Windows. Никогда не переходите по ссылкам на сайтах, которым вы не можете полностью доверять.

Question 4

Во многих ответах правильно указывалось, что вредоносная программа Flame использовала уязвимость в процессе обновления Windows, но некоторые важные детали были обобщены.

Эта публикация в блоге Microsoft TechNet «Исследования безопасности и оборона» называется:Объяснение атаки столкновений вредоносного ПО Flame

... по умолчанию сертификат злоумышленника не будет работать в Windows Vista или более поздних версиях Windows. Им пришлось выполнить атаку с коллизией, чтобы подделать сертификат, который был бы действителен для подписи кода в Windows Vista или более поздних версиях Windows. В системах, предшествующих Windows Vista, атака возможна без коллизии хэша MD5.

«Атака коллизией MD5» = Высокотехничное криптографическое волшебство, на понимание которого я, конечно же, не претендую.

Когда Flame был обнаружен и публичнораскрыто Касперским28 мая 2012 года исследователи обнаружили, что вредоносная программа функционировала в свободном режиме по крайней мере с марта 2010 года, а ее кодовая база находилась в разработке с 2007 года. Хотя у Flame было несколько других векторов заражения, суть в том, что эта уязвимость существовала в течение нескольких лет, прежде чем ее обнаружили и исправили.

Однако Flame была операцией уровня «национального государства», и, как уже отмечалось, обычный пользователь мало что может сделать, чтобы защитить себя от трехбуквенных агентств.

Злогрейд

Evilgrade — это модульная структура, которая позволяет пользователю использовать плохие реализации обновлений, внедряя поддельные обновления. Она поставляется с готовыми бинарными файлами (агентами), рабочей конфигурацией по умолчанию для быстрых пентестов и имеет собственные модули WebServer и DNSServer. Легко настраивается и имеет автоконфигурацию при установке новых бинарных агентов.

Проект размещен наГитхаб. Он бесплатный и с открытым исходным кодом.

Процитируем предполагаемое использование:

Эта структура вступает в действие, когда злоумышленник может выполнять перенаправления имен хостов (манипулирование DNS-трафиком жертвы)...

Перевод: потенциально любой человек в той же сети (LAN), что и вы, или кто-то, кто может манипулировать вашим DNS... по-прежнему использующий имя пользователя по умолчанию и передающий его на ваш маршрутизатор Linksys...?

В настоящее время он атакует 63 различных «модуля» или потенциальных обновления программного обеспечения с такими названиями, как itunes, vmware, virtualbox, skype, notepad++, ccleaner, Teamviewer и т. д. и т. п. Я должен добавить, что все эти уязвимости были исправлены соответствующими поставщиками, и ни одна из них не предназначена для «текущих» версий, но эй, кто вообще обновляет...

Демонстрация в этомвидео

Answer

Во многих ответах правильно указывалось, что вредоносная программа Flame использовала уязвимость в процессе обновления Windows, но некоторые важные детали были обобщены.

Эта публикация в блоге Microsoft TechNet «Исследования безопасности и оборона» называется:Объяснение атаки столкновений вредоносного ПО Flame

... по умолчанию сертификат злоумышленника не будет работать в Windows Vista или более поздних версиях Windows. Им пришлось выполнить атаку с коллизией, чтобы подделать сертификат, который был бы действителен для подписи кода в Windows Vista или более поздних версиях Windows. В системах, предшествующих Windows Vista, атака возможна без коллизии хэша MD5.

«Атака коллизией MD5» = Высокотехничное криптографическое волшебство, на понимание которого я, конечно же, не претендую.

Когда Flame был обнаружен и публичнораскрыто Касперским28 мая 2012 года исследователи обнаружили, что вредоносная программа функционировала в свободном режиме по крайней мере с марта 2010 года, а ее кодовая база находилась в разработке с 2007 года. Хотя у Flame было несколько других векторов заражения, суть в том, что эта уязвимость существовала в течение нескольких лет, прежде чем ее обнаружили и исправили.

Однако Flame была операцией уровня «национального государства», и, как уже отмечалось, обычный пользователь мало что может сделать, чтобы защитить себя от трехбуквенных агентств.

Злогрейд

Evilgrade — это модульная структура, которая позволяет пользователю использовать плохие реализации обновлений, внедряя поддельные обновления. Она поставляется с готовыми бинарными файлами (агентами), рабочей конфигурацией по умолчанию для быстрых пентестов и имеет собственные модули WebServer и DNSServer. Легко настраивается и имеет автоконфигурацию при установке новых бинарных агентов.

Проект размещен наГитхаб. Он бесплатный и с открытым исходным кодом.

Процитируем предполагаемое использование:

Эта структура вступает в действие, когда злоумышленник может выполнять перенаправления имен хостов (манипулирование DNS-трафиком жертвы)...

Перевод: потенциально любой человек в той же сети (LAN), что и вы, или кто-то, кто может манипулировать вашим DNS... по-прежнему использующий имя пользователя по умолчанию и передающий его на ваш маршрутизатор Linksys...?

В настоящее время он атакует 63 различных «модуля» или потенциальных обновления программного обеспечения с такими названиями, как itunes, vmware, virtualbox, skype, notepad++, ccleaner, Teamviewer и т. д. и т. п. Я должен добавить, что все эти уязвимости были исправлены соответствующими поставщиками, и ни одна из них не предназначена для «текущих» версий, но эй, кто вообще обновляет...

Демонстрация в этомвидео

Поддельное обновление Windows

решение1

решение2

решение3

решение4

Злогрейд

Связанный контент