Я слышал, что хакеры могут заставить вас загрузить их вредоносное программное обеспечение, сообщив, что они являются обновлением операционной системы через Центр обновления Windows. Это правда? Если да, как я могу защитить себя?
4 ответа
Для обычного хакера практически невозможно отправить вам что-либо через систему Windows Update.
То, что вы слышали, отличается. Это шпионское ПО, которое выглядит как Центр обновления Windows и предлагает вам установить его. Если вы затем нажмете «Установить», появится приглашение UAC с запросом прав администратора. Если вы принимаете это, он может установить шпионское ПО. Обратите внимание, что Центр обновления Windows НИКОГДА не потребует от вас пройти тест на повышение прав UAC. Это не требуется, поскольку служба Windows Update работает как SYSTEM, которая имеет самые высокие привилегии. Единственное приглашение, которое вы получите при установке Центра обновления Windows, - это утверждение лицензионного соглашения.
РЕДАКТИРОВАТЬ: внес изменения в должность, потому что правительство может быть в состоянии справиться с этим, но я сомневаюсь, как нормальный гражданин, вы все равно можете защитить от правительства.
Да, это правда.
Вредоносная программа Flame атаковала пользователя через недостаток в процессе обновления Windows. Его создатели обнаружили дыру в безопасности в системе обновления Windows, которая позволила им обмануть жертв, заставив их думать, что их патч, содержащий вредоносное ПО, является подлинным обновлением Windows.
Что могут сделать цели вредоносных программ, чтобы защитить себя? Немного. Пламя шло годами, оставаясь незамеченным.
Однако теперь Microsoft исправила дыру в безопасности, которая позволяла Flame скрываться как обновление Windows. Это означает, что хакерам нужно либо найти новую дыру в безопасности, подкупить Microsoft, чтобы дать им возможность подписывать обновления, либо просто украсть ключ подписи у Microsoft.
Кроме того, злоумышленник должен находиться в сети, чтобы выполнить атаку «человек посередине».
Это означает, что на практике это только вопрос, о котором вам нужно беспокоиться, если вы думаете о защите от нападающих национальных государств, таких как АНБ.
Многие из ответов правильно указали, что Flame Malware использовала уязвимость в процессе обновления Windows, но некоторые важные детали были обобщены.
Эта статья в блоге Microsoft «Исследования и защита в области безопасности» под названием « Атака со стороны вредоносных программ Flame»
... по умолчанию сертификат злоумышленника не будет работать в Windows Vista или более поздних версиях Windows. Им пришлось выполнить атаку коллизий, чтобы подделать сертификат, который был бы действителен для подписи кода в Windows Vista или более поздних версиях Windows. В системах, предшествующих Windows Vista, атака возможна без коллизии хеша MD5.
"MD5 Collision Attack" = высокотехнологичное криптографическое волшебство - которое я, конечно, не претендую на понимание.
Когда 28 мая 2012 года « Касперский» обнаружил и опубликовал «Пламя», исследователи обнаружили, что он работает в дикой природе, по крайней мере, с марта 2010 года, а кодовая база находится в стадии разработки с 2007 года. Хотя у Flame было несколько других векторов заражения, суть в том, что эта уязвимость существовала в течение нескольких лет, прежде чем была обнаружена и исправлена.
Но Flame была операцией на уровне «государства-нации», и, как уже указывалось, обычный пользователь мало что может сделать, чтобы защитить себя от трехбуквенных агентств.
Evilgrade
Evilgrade - это модульная структура, которая позволяет пользователю использовать слабые реализации обновлений путем внедрения поддельных обновлений. Он поставляется с готовыми двоичными файлами (агентами), рабочей конфигурацией по умолчанию для быстрых пентестов и имеет собственные модули WebServer и DNSServer. Простота установки новых настроек и автоматическая настройка при установке новых бинарных агентов.
Проект размещен на Github. Это бесплатно и с открытым исходным кодом.
Чтобы процитировать предполагаемое использование:
Эта структура вступает в игру, когда злоумышленник может перенаправить имя хоста (манипулирование DNS-трафиком жертвы)...
Перевод: потенциально любой в той же (LAN) сети, что и вы, или кто-то, кто может манипулировать вашим DNS ... все еще используя имя пользователя по умолчанию и передавая ваш маршрутизатор linksys ...?
В настоящее время он имеет 63 различных "модуля" или потенциальных обновлений программного обеспечения, которые он атакует, с именами, такими как itunes, vmware, virtualbox, skype, notepad++, ccleaner, Teamviewer и т.д. И т.д. Я должен добавить, что все эти уязвимости были исправлены их соответствующими поставщиками и ни один не для "текущих" версий, но эй - кто делает обновления в любом случае ...
Демонстрация в этом видео
Используйте только панель управления Центра обновления Windows для обновления программного обеспечения Windows. Никогда не переходите по ссылкам на сайты, которым вы не можете полностью доверять.