Поддельные обновления windows

Я слышал, что хакеры могут заставить вас загрузить их вредоносное программное обеспечение, говоря вам, что они являются обновление операционной системы через Центр обновления Windows.
Это правда? Если да, то как я могу защитить себя?

3
задан singletee
12.12.2022 0:56 Количество просмотров материала 2906
Распечатать страницу

4 ответа

Это почти невозможно для обычного хакера, чтобы отправить вам что-то через систему обновления Windows.

то, что вы слышали, отличается. Это шпионское ПО, которое выглядит так, как будто это Центр обновления Windows, и говорит вам установить его. Если нажать кнопку Установить запрос UAC всплывает просить права администратора. Если вы согласны с этим, он может установить шпионские программы. Обратите внимание, что Центр обновления Windows никогда не потребует от вас пройти тест на повышение прав контроля учетных записей. Это не требуется в качестве центра обновления Windows сервис работает как система, которая имеет самые высокие привилегии. Единственный запрос вы получите во время обновления установки Windows, это утверждение лицензионное соглашение.

редактировать: внесены изменения в пост, потому что правительство может быть в состоянии осуществить это, но я сомневаюсь, как нормальный гражданин, вы можете защитить от правительства в любом случае.

31
отвечен LPChip 2022-12-13 08:44

Да, это правда.

на пламя вредоносных программ атаковали пользователя через изъян в процессе обновления Windows. Его создатели нашли дыру в безопасности в системе обновления Windows, что позволило им обмануть жертв, думая, что их патч с содержит вредоносные программы является подлинным обновление windows.

что могут сделать цели вредоносного ПО, чтобы защитить себя? Не многое. Пламя летело незамеченным.

однако Microsoft теперь исправил дыра в безопасности, которая позволила пламени скрыть себя как обновление Windows. Это означает, что хакеры должны либо найти новую дыру в безопасности, подкупить Microsoft, чтобы дать им возможность подписывать обновления или просто украсть ключ подписи от microsoft.

злоумышленник дополнительно должен быть в состоянии в сети, чтобы запустить атаку "человек посередине".

Это означает, что на практике это только вопрос, который вы должны беспокоиться о том, если вы думаете о защите от национального государства нападавшие вроде АНБ.

8
отвечен Christian 2022-12-13 11:01

только когда-либо использовать панель управления Windows Update для обновления программного обеспечения Windows. Никогда не нажимайте на любой сайт, вы не можете полностью доверять.

2
отвечен Tetsujin 2022-12-13 13:18

многие из ответов правильно указали, что недостаток в процессе обновления windows был использован вредоносным ПО Flame, но некоторые из важных деталей были обобщены.

этот пост на Microsoft technet "исследования в области безопасности и обороны блог" под названием: пламя вредоносных атак столкновения объяснил

... по умолчанию сертификат злоумышленника не будет работать на Windows Vista или более поздних версиях Windows. Они должны были выполнить коллизионная атака для подделки сертификата, который будет действителен для подписи кода в Windows Vista или более поздних версиях Windows. В системах, предшествующих Windows Vista, атака возможна без конфликта хэшей MD5.

"MD5 Collision Attack" = высокотехнологичное криптографическое волшебство, которое я, конечно же, не претендую понять.

когда пламя было открыто и публично раскрыта Касперского 28 мая 2012 года исследователи обнаружили то, что он работает в дикой природе, по крайней мере, с марта 2010 года с базой кода в стадии разработки с 2007 года. Хотя у пламени было несколько других векторов инфекции, суть в том, что эта уязвимость существовала в течение нескольких лет, прежде чем была обнаружена и исправлена.

но Flame была операцией уровня "национального государства", и, как уже отмечалось , обычный пользователь мало что может сделать, чтобы защитить себя от трех букв агентства.

Evilgrade

Evilgrade представляет собой модульную структуру, которая позволяет пользователю воспользоваться плохими реализациями обновления путем введения поддельных обновлений. Он поставляется с предварительно сделанными двоичными файлами (агентами), рабочей конфигурацией по умолчанию для быстрых пентестов и имеет собственные модули веб-сервера и DNSServer. Легко для того чтобы Setup новые установки, и имеет autoconfiguration когда новые бинарные агенты установлены.

проект размещен на Github. Это бесплатно и с открытым исходным кодом.

цитата целевое использование:

эта структура вступает в игру, когда злоумышленник может сделать перенаправления имени хоста (манипуляции трафика DNS жертвы)...

Translation: потенциально любой человек в той же (локальной) сети, как вы или кто-то, кто может манипулировать DNS... по-прежнему используя имя Пользователя по умолчанию и передать на маршрутизаторе linksys...?

В настоящее время имеет 63 различные "модули" или потенциальные актуализации программного обеспечения оно атакует, с именами как itunes, vmware, virtualbox, skype, Блокнот++, ccleaner, Teamviewer, etc etc. Я должен добавить, что все эти уязвимости были исправлены их соответствующими поставщиками, и ни один из них не предназначен для "текущих" версий, но эй, кто все равно обновляет...

демонстрация в этот видео

2
отвечен bob 2022-12-13 15:35

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Вверх