Atualização falsa do windows

19

Ouvi dizer que os hackers podem fazer o download do software malicioso, informando que eles são uma atualização do sistema operacional por meio do Windows Update. É verdade? Se sim, como posso me proteger?

windows-7 windows windows-update user3787755
fonte
9
Você ouviu as atualizações do Windows erradas são assinados
Ramhound
5
Se você é realmente paranóico, pode alterar suas configurações para que as atualizações não sejam baixadas automaticamente (defina como "apenas notificar" ou "não fazer nada") e, em seguida, vá manualmente para "Windows Update" para carregar / instalar as alterações. Isso garante que eles sejam da Microsoft.
Daniel R Hicks
1
Em uma nota relacionada, sabe-se que o malware se esconde atrás de software confiável para passar pelas solicitações do UAC. Por exemplo, o ZeroAccess se conectaria a um instalador do Adobe Flash Player para que o prompt do UAC parecesse legítimo e você pensasse : "Ah, é apenas a atualização do Flash novamente ..." e clique.
indiv 15/08/14
Anedótico, mas Barnaby Jack não demonstrou isso há alguns anos, foi mencionado por Mudge em sua palestra na Defcon no ano passado - youtube.com/watch?v=TSR-b9y (começando na marca dos 35 minutos)
JMK

Respostas:

31

É quase impossível para um hacker comum enviar algo pelo sistema Windows Update.

O que você ouviu é diferente. É um spyware que parece o Windows Update e pede para você instalá-lo. Se você clicar em instalar, um prompt do UAC será exibido solicitando privilégios administrativos. Se você aceitar, pode instalar spyware. Observe que o Windows Update NUNCA exigirá que você passe no teste de elevação do UAC. Isso não é necessário, pois o serviço Windows Update é executado como SYSTEM, que possui os privilégios mais altos. O único prompt que você receberá durante as instalações do Windows Update é aprovar um contrato de licença.

EDIT: fez alterações no post porque o governo pode conseguir isso, mas duvido que como cidadão normal, você possa se proteger contra o governo de qualquer maneira.

LPChip
fonte
50
Realmente, "impossível"? Em vez disso, podemos ir com algo mais parecido com "altamente altamente improvável / improvável"?
root
11
@root Suponho que se eles falsificassem o WSUS e alterassem a atualização do Windows dessa maneira (o que obviamente requer privilégios administrativos que eles desejam obter de qualquer maneira), o Windows Update poderia obter uma atualização do Windows que é maliciosa. No entanto, não ouvi nenhuma infecção espalhada por esse método e duvido que eles sigam esse caminho, porque, se tiverem privilégios administrativos, poderão infectar a máquina com spyware da maneira que pretendem.
LPChip 15/08/14
7
Eles costumavam fazer isso o tempo todo no XP. Tudo o que você realmente precisa fazer é modificar o arquivo hosts para redirecionar uma solicitação para um site malicioso.
Ps2goat 15/08/14
3
Não foi o que Flame fez ?
sch
9
-1 porque esta resposta é falsa. Mesmo que seja muito, muito improvável e @LPChip mesmo não pode imaginar nunca acontecer já aconteceu na vida real
slebetman
8

Sim, é verdade.

O malware Flame atacou o usuário por falha no processo de atualização do Windows. Seus criadores encontraram uma brecha na segurança do sistema de atualização do Windows que permitia que eles enganassem as vítimas e pensassem que seu patch contém malware é uma atualização autêntica do Windows.

O que os alvos do malware poderiam fazer para se defender? Não muito. Chama passou anos sem ser detectada.

No entanto, a Microsoft agora corrigiu a falha de segurança que permitia ao Flame se esconder como uma atualização do Windows. Isso significa que os hackers precisam encontrar uma nova brecha na segurança, subornar a Microsoft para que eles possam assinar atualizações ou simplesmente roubar a chave de assinatura da microsoft.

Além disso, um invasor deve estar em uma posição na rede para executar um ataque man-in-the-middle.

Na prática, isso significa que é apenas uma questão com a qual você deve se preocupar se pensar em se defender de atacantes de estados-nação como a NSA.

cristão
fonte
Esta resposta não foi comprovada. Não foi assinado pela Microsoft que foi assinado por um certificado porque o certificado que foi utilizado tinha a mesma assinatura
Ramhound
1
@ Ramhound: Não afirmo nesta resposta que foi assinado pela Microsoft. Eu afirmo que ele recebeu uma assinatura que fez parecer que foi assinada pela Microsoft devido a uma falha de segurança. Eles tiveram um dia 0 que a Microsoft corrigiu mais tarde.
Christian
2
Eu nunca foi distribuído pelo Windows Update embora
Ramhound
@ Ramhound: Eu mudei essa frase, você está feliz com a nova versão?
Christian
2

Sempre use o painel de controle do Windows Update para atualizar o software do Windows. Nunca clique em sites em que não possa confiar totalmente.

Tetsujin
fonte
Obrigado por sua sugestão. Ouvi dizer que é possível aos hackers mascarar seu software malicioso como uma atualização oficial do windwos e fazer com que o Windows Update diga que você precisa baixá-lo. É verdade?
user3787755
3
Parece FUD para mim - eles não apenas teriam que colocar esse software malicioso nos servidores da Microsoft, mas também teriam que conseguir construir um artigo da KB descrevendo-o ... tudo sem que a MS notasse
Tetsujin
4
Se eles roubaram as chaves, seqüestraram seus servidores DNS ... então isso poderia ser feito. Ainda é muito improvável.
D Schlachter
2
@DSchlachter que está dentro das capacidades do corpo de espionagem da maioria das nações industrializadas.
Snowbody
2

Muitas das respostas apontaram corretamente que uma falha no processo de atualização do Windows foi usada pelo Flame Malware, mas alguns dos detalhes importantes foram generalizados.

Esta postagem em um technet da Microsoft 'Blog de pesquisa e defesa de segurança' intitulada: Ataque de colisão de malware de chama explicado

... por padrão, o certificado do invasor não funcionaria no Windows Vista ou em versões mais recentes do Windows. Eles tiveram que realizar um ataque de colisão para forjar um certificado que seria válido para assinatura de código no Windows Vista ou em versões mais recentes do Windows. Em sistemas anteriores ao Windows Vista, é possível um ataque sem uma colisão de hash MD5.

"MD5 Collision Attack" = Magia criptográfica altamente técnica - que certamente não pretendo entender.

Quando o Flame foi descoberto e divulgado publicamente pela Kaspersky em 28 de maio de 2012, os pesquisadores descobriram que ele estava operando em estado selvagem desde pelo menos março de 2010 com a base de código em desenvolvimento desde 2007. Embora o Flame tivesse vários outros vetores de infecção, o resultado final é: que essa vulnerabilidade existe por vários anos antes de ser descoberta e corrigida.

Mas o Flame era uma operação no nível "Nation State" e, como já foi mencionado - há muito pouco que um usuário comum pode fazer para se proteger de agências de três cartas.

Evilgrade

O Evilgrade é uma estrutura modular que permite ao usuário tirar proveito de implementações ruins de atualização injetando atualizações falsas. Ele vem com binários pré-fabricados (agentes), uma configuração padrão funcional para pentests rápidos, e possui seus próprios módulos WebServer e DNSServer. Fácil de configurar novas configurações e possui uma configuração automática quando novos agentes binários são definidos.

O projeto está hospedado no Github . É gratuito e de código aberto.

Para citar o uso pretendido:

Essa estrutura entra em jogo quando o invasor é capaz de fazer redirecionamentos de nome de host (manipulação do tráfego de DNS da vítima) ...

Tradução: potencialmente alguém na mesma rede (LAN) que você ou alguém que possa manipular seu DNS ... ainda usando o nome de usuário padrão e transmitir seu roteador linksys ...?

Atualmente possui 63 "módulos" diferentes ou possíveis atualizações de software que ataca, com nomes como itunes, vmware, virtualbox, skype, bloco de notas ++, ccleaner, Teamviewer, etc. etc. Devo acrescentar que todas essas vulns foram corrigidas por seus respectivos fornecedores e nenhum é para versões "atuais", mas ei - que faz atualizações de qualquer maneira ...

Demonstração neste vídeo

prumo
fonte