Fake Windows Update

19

Ich habe gehört, dass Hacker Sie dazu bringen können, ihre schädliche Software herunterzuladen, indem sie Ihnen mitteilen, dass es sich bei ihnen um ein Update des Betriebssystems über Windows Update handelt. Ist es wahr? Wenn ja, wie kann ich mich schützen?

user3787755
quelle
9
Sie haben gehört, dass falsche Windows-Updates signiert wurden
Ramhound
5
Wenn Sie wirklich paranoid sind, können Sie Ihre Einstellungen so ändern, dass Updates nicht automatisch heruntergeladen werden (entweder "Nur benachrichtigen" oder "Nichts tun"). Wechseln Sie dann manuell zu "Windows Update", um die Änderungen zu laden / installieren. Dies stellt sicher, dass sie von Microsoft stammen.
Daniel R Hicks
1
In einem ähnlichen Zusammenhang ist bekannt, dass sich Malware hinter vertrauenswürdiger Software verbirgt, um UAC-Aufforderungen zu umgehen. Zum Beispiel würde sich ZeroAccess an ein Adobe Flash Player-Installationsprogramm anhängen, so dass die UAC-Eingabeaufforderung legitim aussieht und Sie sagen würden: "Oh, es ist nur eine erneute Flash-Aktualisierung ..." und klicken Sie sich durch.
indiv
Anekdotisch, aber Barnaby Jack hat dies vor einigen Jahren nicht demonstriert. Dies wurde von Mudge in seinem Defcon-Vortrag im letzten Jahr erwähnt - youtube.com/watch?v=TSR-b9y (ab der 35-Minuten-Marke)
JMK,

Antworten:

31

Es ist fast unmöglich, dass ein gewöhnlicher Hacker Ihnen etwas über das Windows Update-System sendet.

Was Sie gehört haben, ist jedoch anders. Es handelt sich um Spyware, die wie Windows Update aussieht und Sie auffordert, sie zu installieren. Wenn Sie auf "Installieren" klicken, wird eine UAC-Eingabeaufforderung angezeigt, in der Sie nach Administratorrechten gefragt werden. Wenn Sie dies akzeptieren, kann Spyware installiert werden. Beachten Sie, dass Windows Update NIEMALS einen UAC-Höhentest erfordert. Dies ist nicht erforderlich, da der Windows Update-Dienst als SYSTEM ausgeführt wird, das über die höchsten Berechtigungen verfügt. Die einzige Eingabeaufforderung, die Sie während der Installation von Windows Update erhalten, ist die Genehmigung einer Lizenzvereinbarung.

BEARBEITEN: Änderungen an der Stelle vorgenommen, da die Regierung dies möglicherweise durchziehen kann, aber ich bezweifle, dass Sie als normaler Bürger trotzdem vor der Regierung schützen können.

LPChip
quelle
50
Wirklich "unmöglich"? Können wir stattdessen mit etwas mehr nach dem Motto "höchst unwahrscheinlich / unwahrscheinlich" vorgehen?
root
11
@root Ich nehme an, wenn sie WSUS fälschen und Windows-Updates auf diese Weise ändern würden (was natürlich Administratorrechte erfordert, die sie ohnehin erhalten möchten), könnte Windows Update ein Windows-Update erhalten, das böswillig ist. Ich habe jedoch noch nichts von einer Infektion durch diese Methode gehört, und ich bezweifle, dass sie diesen Weg einschlagen würden, da sie, wenn sie Administratorrechte erhalten, den Computer nur so mit Spyware infizieren können, wie sie es beabsichtigen.
LPChip
7
In XP machten sie das die ganze Zeit. Alles, was Sie wirklich tun müssen, ist die Hosts-Datei zu ändern, um eine Anfrage an eine böswillige Website umzuleiten.
ps2goat
3
Ist es nicht das, was Flame getan hat ?
Sch
9
-1 weil diese Antwort falsch ist. Auch wenn es sehr, sehr unwahrscheinlich ist und @LPChip sich nicht vorstellen kann, dass es jemals passiert ist, ist es doch im wirklichen Leben passiert
slebetman
8

Ja, es ist wahr.

Die Flame-Malware hat den Benutzer durch einen Fehler im Windows-Aktualisierungsprozess angegriffen. Die Entwickler fanden eine Sicherheitslücke im Windows-Aktualisierungssystem, die es ihnen ermöglichte, die Opfer zu täuschen, dass ihr Patch mit Malware ein authentisches Windows-Update ist.

Was könnten die Ziele der Malware tun, um sich zu verteidigen? Nicht viel. Die Flamme blieb jahrelang unentdeckt.

Microsoft hat jedoch die Sicherheitslücke behoben, durch die sich Flame als Windows-Update verstecken konnte. Das bedeutet, dass Hacker entweder eine neue Sicherheitslücke finden, Microsoft bestechen müssen, um Updates signieren zu können, oder einfach den Signaturschlüssel von Microsoft stehlen müssen.

Ein Angreifer muss außerdem in der Lage sein, einen Man-in-the-Middle-Angriff auszuführen.

Das heißt, in der Praxis ist dies nur ein Problem, über das Sie sich Sorgen machen müssen, wenn Sie über die Verteidigung gegen nationalstaatliche Angreifer wie die NSA nachdenken.

Christian
quelle
Diese Antwort wurde nicht bewiesen. Es wurde NICHT von Microsoft signiert. Es wurde von einem Zertifikat signiert, da das verwendete Zertifikat dieselbe Signatur hatte
Ramhound,
1
@ Ramhound: Ich behaupte in dieser Antwort nicht, dass es von Microsoft signiert wurde. Ich behaupte, dass es eine Signatur bekommen hat, die es so aussehen ließ, als ob es aufgrund von Sicherheitslücken von Microsoft signiert wurde. Sie hatten einen 0-Tag, den Microsoft später korrigierte.
Christian
2
Ich wurde aber nie von Windows Update verteilt
Ramhound
@Ramhound: Ich habe diesen Satz geändert. Bist du mit der neuen Version zufrieden?
Christian
2

Verwenden Sie die Windows Update-Systemsteuerung nur zum Aktualisieren der Windows-Software. Klicken Sie sich niemals auf Websites durch, denen Sie nicht voll vertrauen können.

Tetsujin
quelle
Danke für Ihren Vorschlag. Ich habe gehört, dass es Hackern möglich ist, ihre bösartige Software als offizielles Update von windwos zu maskieren und Windows-Updates zu veranlassen, dass Sie sie herunterladen müssen. Ist es wahr?
user3787755
3
Klingt für mich nach FUD - sie müssten nicht nur diese schädliche Software auf die Server von Microsoft übertragen, sondern auch einen KB-Artikel erstellen, der sie beschreibt ... alles ohne dass MS es merkt
Tetsujin
4
WENN sie die Schlüssel gestohlen haben und dann Ihre DNS-Server entführt haben ... dann könnte es geschehen. Immer noch sehr unwahrscheinlich.
D Schlachter
2
@DSchlachter, das gehört zu den Fähigkeiten der Spionagekorps der meisten Industrienationen.
Schneekörper
2

Viele der Antworten haben richtig darauf hingewiesen, dass die Flame-Malware einen Fehler im Windows-Aktualisierungsprozess verwendet hat, aber einige wichtige Details wurden verallgemeinert.

Dieser Beitrag auf einem Microsoft-Technet-Blog für Sicherheitsforschung und -verteidigung mit dem Titel: Erklärung des Flame Malware-Kollisionsangriffs

... Standardmäßig funktioniert das Zertifikat des Angreifers unter Windows Vista oder neueren Windows-Versionen nicht. Sie mussten einen Kollisionsangriff ausführen, um ein Zertifikat zu fälschen, das für die Codesignatur unter Windows Vista oder neueren Versionen von Windows gültig ist. Auf Systemen, die vor Windows Vista ausgeführt wurden, ist ein Angriff ohne MD5-Hash-Kollision möglich.

"MD5 Collision Attack" = Hochtechnische kryptografische Zauberei - die ich mit Sicherheit nicht zu verstehen vorgebe.

Als Flame am 28. Mai 2012 von Kaspersky entdeckt und öffentlich bekannt gemacht wurde , stellten die Forscher fest, dass es seit mindestens März 2010 in freier Wildbahn mit der in Entwicklung befindlichen Codebasis von 2007 betrieben wird dass diese eine Sicherheitslücke mehrere Jahre bestand, bevor sie entdeckt und behoben wurde.

Aber Flame war eine Operation auf "Nationalstaat" -Ebene, und wie bereits erwähnt, kann ein gewöhnlicher Benutzer kaum etwas tun, um sich vor drei Briefagenturen zu schützen.

Evilgrade

Evilgrade ist ein modulares Framework, mit dem der Benutzer die Vorteile schlechter Upgrade-Implementierungen nutzen kann, indem er gefälschte Updates einfügt. Es wird mit vorgefertigten Binärdateien (Agenten) geliefert, einer funktionierenden Standardkonfiguration für schnelle Pentests, und verfügt über eigene WebServer- und DNSServer-Module. Einfache Einrichtung neuer Einstellungen und automatische Konfiguration, wenn neue Binäragenten eingerichtet werden.

Das Projekt wird auf Github gehostet . Es ist kostenlos und Open Source.

So zitieren Sie die beabsichtigte Verwendung:

Dieses Framework kommt ins Spiel, wenn der Angreifer in der Lage ist, Hostnamen umzuleiten (Manipulation des DNS-Verkehrs des Opfers) ...

Übersetzung: Möglicherweise jemand im selben (LAN) Netzwerk wie Sie oder jemand, der Ihr DNS manipulieren kann. Verwenden Sie weiterhin den Standardbenutzernamen und geben Sie Ihren linksys Router weiter.

Derzeit gibt es 63 verschiedene "Module" oder potenzielle Software-Updates, die es angreift, mit Namen wie iTunes, VMware, VirtualBox, Skype, Notepad ++, CCleaner, Teamviewer usw. Ich sollte hinzufügen, dass alle diese Vulns von ihren jeweiligen Anbietern gepatcht wurden und keine sind für "aktuelle" versionen, aber hey - wer macht sowieso updates ...

Demonstration in diesem Video

Bob
quelle