偽のWindowsアップデート

19

ハッカーは、Windows Updateを介したオペレーティングシステムの更新であることを伝えることで、悪意のあるソフトウェアをダウンロードさせることができると聞きました。本当ですか？はいの場合、どうすれば自分を保護できますか？

windows-7 windows windows-update

— user3787755
ソース

9

あなたは間違ったWindowsの更新プログラムが署名されて聞いた

— Ramhound

5

本当に妄想している場合は、更新を自動的にダウンロードしないように設定を変更し（「通知のみ」または「何もしない」に設定）、手動で「Windows Update」に移動して変更をロード/インストールできます。これは、彼らがマイクロソフトから来ていることを保証します。

— ダニエルRヒックス14

1

関連する注意事項として、マルウェアは信頼できるソフトウェアの背後に隠れてUACプロンプトを通過することが知られています。たとえば、ZeroAccessはそれ自体をAdobe Flash Playerインストーラーにアタッチし、UACプロンプトが正当なものに見えるようになり、「ああ、またFlashが更新されています...」とクリックスルーします。

— 個人14

逸話しかしバーナビー・ジャックは何年か前にこのことを実証し、それが昨年、彼のデフコンの話にマッジで言及されたなかった- youtube.com/watch?v=TSR-b9y（35分のマークの周りに開始）

— JMK

31

通常のハッカーがWindows Updateシステムを介して何かを送信することはほとんど不可能です。

聞いたことは違います。Windows Updateのように見え、インストールするように指示するスパイウェアです。その後、[インストール]をクリックすると、UACプロンプトが表示され、管理者権限が求められます。それを受け入れると、スパイウェアをインストールできます。Windows Updateでは、UAC昇格テストに合格する必要は決してないことに注意してください。Windows Updateサービスは最高の特権を持つSYSTEMとして実行されるため、これは必要ありません。Windows Updateのインストール中に表示される唯一のプロンプトは、ライセンス契約の承認です。

編集：政府がこれを実行できる可能性があるため、投稿に変更を加えましたが、普通の市民としては、とにかく政府から保護することができます。

— LPChip
ソース

50

本当に「不可能」？代わりに、「非常にありそうもない/ありそうもない」というラインに沿って何かを進めることができますか？

— ルート14

11

@rootこのような方法でWSUSを偽装し、Windowsの更新を変更する場合（もちろん、とにかく取得したい管理者権限が必要です）、Windowsの更新により悪意のあるWindowsの更新が取得される可能性があります。ただし、この方法で感染が広がることは聞いたことがありません。管理者権限を取得すれば、意図したとおりにスパイウェアをマシンに感染させることができるため、この方法で進むとは思いません。

— LPChip 14

7

彼らはXPでこれをいつもしていた。本当にやらなければならないことは、hostsファイルを変更して、リクエストを悪意のあるWebサイトにリダイレクトすることだけです。

— ps2goat 14

3

Flameがやったことではないでしょうか。

— sch 14

9

-1この答えは真実ではないため。それは非常に、非常に低いだと@LPChipにもかかわらず自身が、それは今までそれが実際の生活の中で起こっている出来事を想像することはできません

— slebetman

8

はい、それは本当だ。

炎のマルウェアは、Windowsの更新処理に欠陥を介してユーザを攻撃しました。作成者は、Windows更新システムにセキュリティホールを発見しました。このセキュリティホールにより、被害者をだまして、マルウェアを含むパッチは本物のWindowsアップデートであると思わせます。

マルウェアの標的は自分自身を守るために何ができますか？あまりない。炎は何年も検出されていませんでした。

ただし、Microsoftは現在、FlameがWindowsの更新として自分自身を隠すことができるセキュリティホールにパッチを適用しました。つまり、ハッカーは新しいセキュリティホールを見つけるか、マイクロソフトに賄beを贈って更新プログラムに署名するか、単にマイクロソフトから署名キーを盗むだけです。

さらに、攻撃者は中間者攻撃を実行するためにネットワーク内の位置にいる必要があります。

つまり、実際には、これは、NSAのような国民国家の攻撃者に対する防御について考える場合に心配しなければならない問題に過ぎないということです。

— キリスト教の
ソース

この答えは証明されていません。使用された証明書は同じシグネチャ持っていたので、それはそれは、証明書によって署名されたMicrosoftによって署名されませんでした

— Ramhound

1

@Ramhound：この回答では、Microsoftによって署名されたと主張していません。セキュリティホールが原因でMicrosoftによって署名されたように見える署名を取得したと主張しています。マイクロソフトが後でパッチを適用した0日がありました。

— クリスチャン14

2

私はかかわらず、Windows Updateで配布されることはなかった

— Ramhound

@Ramhound：その文を変更しましたが、新しいバージョンに満足していますか？

— クリスチャン14

2

Windows Updateコントロールパネルのみを使用して、Windowsソフトウェアを更新してください。完全に信頼できないサイトではクリックスルーしないでください。

— 鉄人
ソース

ご提案ありがとうございます。ハッカーが悪意のあるソフトウェアをwindwosの公式アップデートとしてマスクし、windows updateでダウンロードする必要があることを通知することができると聞きました。本当ですか？

— user3787755 14

3

私にはFUDのように聞こえる-彼らは唯一のMicrosoftのサーバーにその悪質なソフトウェアを取得する必要がないだろう、彼らはそれを記述したKB記事を構築するために管理する必要があると思います...すべてのMS気付かず

— 鉄人

4

彼らが鍵を盗んだら、DNSサーバーをハイジャックした場合... まだありそうもない。

— D Schlachter

2

@DSchlachterは、ほとんどの先進国のスパイ隊の能力の範囲内です。

— スノーボディ14

2

回答の多くは、Windows更新プロセスの欠陥がFlame Malwareによって使用されたことを正しく指摘していますが、重要な詳細の一部は一般化されています。

Microsoft Technet「Security Research and Defense Blog」へのこの投稿は、「Flame Malware collision attack」と題しています

...デフォルトでは、攻撃者の証明書はWindows Vistaまたはそれ以降のバージョンのWindowsでは機能しません。Windows Vistaまたはより新しいバージョンのWindowsでのコード署名に有効な証明書を偽造するには、衝突攻撃を実行する必要がありました。Windows Vistaより前のシステムでは、MD5ハッシュ衝突なしで攻撃が可能です。

"MD5 Collision Attack" =高度に技術的な暗号化の魔法-私は確かに理解するふりをしない。

Flameが2012年5月28日にKasperskyによって発見され、公開されたとき、研究者は2007年から開発中のコードベースで少なくとも2010年3月から野生で動作していることを発見しました。この1つの脆弱性は、発見されてパッチが適用される前に数年間存在していました。

しかし、Flameは「Nation State」レベルのオペレーションであり、すでに指摘したように、普通のユーザーが3つのレターエージェンシーから身を守るためにできることはほとんどありません。

悪魔の

Evilgradeは、ユーザーが偽の更新を挿入することにより、貧弱なアップグレード実装を利用できるモジュール式フレームワークです。事前に作成されたバイナリ（エージェント）が付属し、高速ペンテスト用の機能するデフォルトの構成であり、独自のWebServerおよびDNSServerモジュールがあります。新しい設定を簡単に設定でき、新しいバイナリエージェントが設定されると自動設定されます。

プロジェクトはGithubでホストされています。無料でオープンソースです。

使用目的を引用するには：

このフレームワークは、攻撃者がホスト名のリダイレクト（被害者のDNSトラフィックの操作）を行える場合に機能します...

翻訳：潜在的に、あなたまたはあなたのDNSを操作できる誰かと同じ（LAN）ネットワーク上の誰でも...まだデフォルトのユーザー名を使用し、linksysルーターを渡します...？

現在、63個の異なる「モジュール」または潜在的なソフトウェアアップデートがあり、iTunes、vmware、virtualbox、skype、notepad ++、ccleaner、Teamviewerなどの名前が付いています。これらの脆弱性はすべて、それぞれのベンダーによって「現在の」バージョン用のものはありませんが、とにかく誰が更新を行いますか...

このビデオのデモ

— ボブ
ソース