Cập nhật cửa sổ giả

19

Tôi nghe nói rằng tin tặc có thể khiến bạn tải xuống phần mềm độc hại của chúng bằng cách nói với bạn rằng chúng là bản cập nhật của hệ điều hành thông qua Windows Update. Có thật không? Nếu có, làm thế nào tôi có thể tự bảo vệ mình?

windows-7  windows  windows-update 
người dùng3787755
nguồn
9
Bạn đã nghe các bản cập nhật windows sai được ký
Ramhound
5
Nếu bạn thực sự hoang tưởng, bạn có thể thay đổi cài đặt của mình để các bản cập nhật không được tự động tải xuống (được đặt thành "chỉ thông báo" hoặc "không làm gì"), sau đó truy cập "Windows Update" theo cách thủ công để tải / cài đặt các thay đổi. Điều này đảm bảo rằng họ đến từ Microsoft.
Daniel R Hicks
1
Trên một lưu ý liên quan, phần mềm độc hại đã được biết là ẩn đằng sau phần mềm đáng tin cậy để vượt qua các lời nhắc UAC. Ví dụ: ZeroAccess sẽ tự gắn vào trình cài đặt Adobe Flash Player để lời nhắc UAC trông hợp pháp và bạn sẽ như thế này, "Ồ, đó chỉ là Flash cập nhật lại ..." và nhấp qua.
indiv
Giai thoại nhưng không phải là Barnaby Jack đã chứng minh điều này vài năm trước, nó đã được Mudge nhắc đến trong cuộc nói chuyện về Defcon của anh năm ngoái - youtube.com/watch?v=TSR-b9y (bắt đầu khoảng 35 phút)
JMK

Câu trả lời:

31

Một hacker thông thường gần như không thể gửi cho bạn thứ gì đó thông qua hệ thống Windows Update.

Những gì bạn nghe là khác nhau mặc dù. Đó là phần mềm gián điệp trông giống như Windows Update và bảo bạn cài đặt nó. Nếu sau đó bạn nhấp cài đặt một dấu nhắc UAC bật lên yêu cầu quyền quản trị. Nếu bạn chấp nhận điều đó, nó có thể cài đặt phần mềm gián điệp. Xin lưu ý rằng Windows Update sẽ KHÔNG BAO GIỜ yêu cầu bạn vượt qua bài kiểm tra độ cao UAC. Điều này là không bắt buộc vì dịch vụ Windows Update chạy dưới dạng HỆ THỐNG, có các đặc quyền cao nhất. Lời nhắc duy nhất bạn sẽ nhận được trong quá trình cài đặt Windows Update, là phê duyệt thỏa thuận cấp phép.

EDIT: đã thực hiện các thay đổi cho bài viết vì chính phủ có thể có thể gỡ bỏ điều này, nhưng tôi nghi ngờ là một công dân bình thường, dù sao bạn cũng có thể bảo vệ chống lại chính phủ.

LPChip
nguồn
50
Thực sự, "không thể"? Thay vào đó, chúng ta có thể đi với một cái gì đó nhiều hơn dọc theo dòng "rất khó xảy ra / không thể thực hiện được" không?
root
11
@root Tôi cho rằng nếu họ giả mạo WSUS và thay đổi cập nhật windows theo cách đó (tất nhiên DOES yêu cầu các đặc quyền quản trị mà họ muốn nhận bằng mọi cách) cập nhật windows có thể nhận được bản cập nhật windows độc hại. Mặc dù vậy, tôi chưa nghe thấy bất kỳ sự lây nhiễm nào qua phương pháp này và tôi nghi ngờ họ sẽ đi theo cách này bởi vì nếu họ nhận được các đặc quyền quản trị, họ có thể lây nhiễm phần mềm gián điệp theo cách họ dự định làm.
LPChip
7
Họ đã từng làm điều này mọi lúc trong XP. Tất cả những gì bạn thực sự phải làm là sửa đổi tệp máy chủ để chuyển hướng yêu cầu đến một trang web độc hại.
ps2goat
3
Đó không phải là những gì Flame đã làm sao?
sch
9
-1 vì câu trả lời này là không đúng sự thật. Mặc dù điều đó rất khó xảy ra và bản thân @LPChip không thể tưởng tượng được điều đó đã xảy ra trong đời thực
slebetman
8

Vâng đúng vậy.

Phần mềm độc hại Flame đã tấn công người dùng thông qua lỗ hổng trong quá trình cập nhật Windows. Những người sáng tạo đã tìm thấy một lỗ hổng bảo mật trong hệ thống cập nhật Windows cho phép họ đánh lừa nạn nhân nghĩ rằng bản vá của họ có chứa phần mềm độc hại là một bản cập nhật Windows đích thực.

Các mục tiêu của phần mềm độc hại có thể làm gì để tự vệ? Không nhiều. Ngọn lửa đã đi nhiều năm không bị phát hiện.

Tuy nhiên, Microsoft hiện đã vá lỗ hổng bảo mật cho phép Flame ẩn mình dưới dạng bản cập nhật Windows. Điều đó có nghĩa là tin tặc phải tìm một lỗ hổng bảo mật mới, mua chuộc Microsoft để cung cấp cho họ khả năng ký các bản cập nhật hoặc đơn giản là đánh cắp khóa ký từ microsoft.

Một kẻ tấn công cũng phải ở trong một vị trí trong mạng để thực hiện một cuộc tấn công trung gian.

Điều đó có nghĩa là trong thực tế đây chỉ là một vấn đề mà bạn phải lo lắng nếu bạn nghĩ về việc phòng thủ chống lại những kẻ tấn công quốc gia như NSA.

Cơ đốc giáo
nguồn
Câu trả lời này chưa được chứng minh. Nó KHÔNG được ký bởi Microsoft, nó được ký bởi một chứng chỉ vì chứng chỉ được sử dụng có cùng chữ ký
Ramhound
1
@Ramhound: Tôi không khẳng định trong câu trả lời này rằng nó đã được ký bởi Microsoft. Tôi khẳng định rằng nó có chữ ký khiến nó trông giống như được ký bởi Microsoft do lỗ hổng bảo mật. Họ đã có 0 ngày mà Microsoft sau đó vá.
Christian
2
Mặc dù vậy, tôi chưa bao giờ được phân phối bởi Windows Update
Ramhound
@Ramhound: Tôi đã thay đổi câu đó, bạn có hài lòng với phiên bản mới không?
Christian
2

Chỉ bao giờ sử dụng bảng điều khiển Windows Update để cập nhật phần mềm Windows. Không bao giờ nhấp qua trên bất kỳ trang web nào bạn không thể tin tưởng hoàn toàn.

Tetsujin
nguồn
Cảm ơn đề nghị của bạn. Tôi nghe nói rằng có thể tin tặc che dấu phần mềm độc hại của họ như là một bản cập nhật chính thức của Windwos và thực hiện cập nhật windows cho bạn biết rằng bạn phải tải xuống. Có thật không?
dùng3787755
3
Nghe có vẻ như FUD đối với tôi - họ không chỉ phải đưa phần mềm độc hại đó lên máy chủ của Microsoft, mà họ còn phải quản lý để xây dựng một bài viết KB mô tả nó ... tất cả mà không cần MS chú ý
Tetsujin
4
NẾU họ đã đánh cắp các khóa, sau đó chiếm quyền điều khiển máy chủ DNS của bạn ... thì có thể thực hiện được. Vẫn rất khó xảy ra.
D Schlachter
2
@DSchlachter cũng nằm trong khả năng của hầu hết các quân đoàn gián điệp của các quốc gia công nghiệp hóa.
Người tuyết
2

Nhiều câu trả lời đã chỉ ra một cách chính xác rằng một lỗ hổng trong quá trình cập nhật windows đã được sử dụng bởi Flame Malware, nhưng một số chi tiết quan trọng đã được khái quát.

Bài đăng này trên Microsoft Technet 'Blog nghiên cứu bảo mật và bảo vệ' có tiêu đề: Tấn công va chạm Flame Malware

... theo mặc định, chứng chỉ của kẻ tấn công sẽ không hoạt động trên Windows Vista hoặc các phiên bản Windows mới hơn. Họ đã phải thực hiện một cuộc tấn công va chạm để giả mạo chứng chỉ có giá trị để ký mã trên Windows Vista hoặc các phiên bản Windows mới hơn. Trên các hệ thống có trước Windows Vista, một cuộc tấn công có thể xảy ra mà không có xung đột băm MD5.

"MD5 Collision Attack" = Thuật sĩ mã hóa kỹ thuật cao - mà tôi chắc chắn không giả vờ hiểu.

Khi Flame được phát hiện và tiết lộ công khai bởi Kaspersky vào ngày 28 tháng 5 năm 2012, các nhà nghiên cứu nhận thấy rằng nó đã hoạt động trong tự nhiên kể từ ít nhất là tháng 3 năm 2010 với cơ sở mã đang được phát triển từ năm 2007. Mặc dù Flame có một số vectơ lây nhiễm khác, dòng dưới cùng là rằng lỗ hổng này đã tồn tại trong một vài năm trước khi được phát hiện và vá.

Nhưng Flame là một hoạt động ở cấp độ "Quốc gia" và như đã chỉ ra - có rất ít người dùng bình thường có thể làm để bảo vệ bản thân khỏi ba cơ quan thư.

Ác

EvilTHER là một khung mô-đun cho phép người dùng tận dụng các triển khai nâng cấp kém bằng cách tiêm các bản cập nhật giả mạo. Nó đi kèm với các nhị phân (tác nhân) được tạo sẵn, một cấu hình mặc định hoạt động cho các pentest nhanh và có các mô-đun WebServer và DNSServer của riêng nó. Dễ dàng thiết lập cài đặt mới và có cấu hình tự động khi các tác nhân nhị phân mới được đặt.

Dự án được lưu trữ trên Github . Nó là nguồn mở và miễn phí.

Để trích dẫn mục đích sử dụng:

Khung này phát huy tác dụng khi kẻ tấn công có thể thực hiện chuyển hướng tên máy chủ (thao túng lưu lượng truy cập dns của nạn nhân) ...

Dịch: có khả năng bất kỳ ai trên cùng một mạng (LAN) như bạn hoặc ai đó có thể thao túng DNS của bạn ... vẫn sử dụng tên người dùng mặc định và chuyển qua bộ định tuyến linksys của bạn ...?

Hiện tại có 63 "mô-đun" khác nhau hoặc các bản cập nhật phần mềm tiềm năng mà nó tấn công, với các tên như itunes, vmware, virtualbox, skype, notepad ++, ccleaner, Teamviewer, v.v. không có phiên bản "hiện tại" nào, nhưng hey - ai vẫn cập nhật ...

Trình diễn trong video này

bob
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.