Pembaruan windows palsu

19

Saya mendengar bahwa peretas dapat membuat Anda mengunduh perangkat lunak berbahaya mereka dengan memberi tahu Anda bahwa mereka adalah pembaruan sistem operasi melalui Pembaruan Windows. Apakah itu benar Jika ya, bagaimana saya bisa melindungi diri sendiri?

pengguna3787755
sumber
9
Anda mendengar pembaruan windows yang salah ditandatangani
Ramhound
5
Jika Anda benar-benar paranoid, Anda dapat mengubah pengaturan sehingga pembaruan tidak diunduh secara otomatis (disetel ke "hanya beri tahu" atau "jangan lakukan apa pun"), lalu buka "Pembaruan Windows" secara manual untuk memuat / menginstal perubahan. Ini memastikan bahwa mereka berasal dari Microsoft.
Daniel R Hicks
1
Pada catatan terkait, malware diketahui bersembunyi di balik perangkat lunak tepercaya untuk melewati permintaan UAC. Sebagai contoh, ZeroAccess akan melampirkan dirinya ke pemasang Adobe Flash Player sehingga prompt UAC akan terlihat sah dan Anda akan seperti, "Oh itu hanya pembaruan Flash lagi ..." dan klik melalui.
indiv
Anekdot tetapi Barnaby Jack tidak menunjukkan ini beberapa tahun yang lalu, itu disebutkan oleh Mudge dalam pembicaraan Defcon-nya tahun lalu - youtube.com/watch?v=TSR-b9y (mulai sekitar tanda 35 menit)
JMK

Jawaban:

31

Hampir mustahil bagi peretas biasa mengirimkan sesuatu kepada Anda melalui sistem Pembaruan Windows.

Apa yang Anda dengar berbeda. Ini adalah spyware yang sepertinya adalah Pembaruan Windows dan memberitahu Anda untuk menginstalnya. Jika Anda kemudian klik instal UAC prompt muncul meminta hak administratif. Jika Anda menerimanya, itu dapat menginstal spyware. Perhatikan bahwa Pemutakhiran Windows TIDAK AKAN PERNAH meminta Anda lulus tes ketinggian UAC. Ini tidak diperlukan karena layanan Pembaruan Windows berjalan sebagai SISTEM, yang memiliki hak istimewa tertinggi. Satu-satunya konfirmasi yang akan Anda dapatkan selama instalasi Pembaruan Windows, adalah menyetujui perjanjian lisensi.

EDIT: membuat perubahan pada pos karena pemerintah mungkin dapat melakukan ini, tapi saya ragu sebagai warga negara biasa, Anda dapat melindungi terhadap pemerintah.

LPChip
sumber
50
Sungguh, "tidak mungkin"? Bisakah kita pergi dengan sesuatu yang lebih seperti "sangat-sangat tidak mungkin / mustahil"?
root
11
@ root Saya kira jika mereka memalsukan WSUS dan mengubah pembaruan windows sedemikian rupa (yang tentu saja TIDAK memerlukan hak administratif yang ingin mereka dapatkan) pembaruan windows bisa mendapatkan pembaruan windows yang berbahaya. Saya belum pernah mendengar adanya infeksi yang menyebar melalui metode ini, dan saya ragu mereka akan melakukannya dengan cara ini karena jika mereka mendapatkan hak administratif mereka hanya dapat menginfeksi mesin dengan spyware seperti yang mereka inginkan.
LPChip
7
Mereka biasa melakukan ini sepanjang waktu di XP. Yang harus Anda lakukan adalah memodifikasi file host untuk mengarahkan ulang permintaan ke situs web berbahaya.
ps2goat
3
Bukankah itu yang Flame lakukan ?
sch
9
-1 karena jawaban ini tidak benar. Meskipun itu sangat-sangat tidak mungkin dan @LPChip sendiri tidak dapat membayangkan hal itu pernah terjadi, itu telah terjadi dalam kehidupan nyata
slebetman
8

Ya itu benar.

The api malware menyerang pengguna melalui cacat dalam proses update Windows. Pembuatnya menemukan lubang keamanan dalam sistem pembaruan Windows yang memungkinkan mereka membodohi korban dengan berpikir bahwa patch mereka berisi malware adalah pembaruan windows yang otentik.

Apa yang bisa dilakukan target malware untuk mempertahankan diri? Tidak banyak. Nyala api bertahun-tahun tidak terdeteksi.

Namun Microsoft sekarang menambal lubang keamanan yang memungkinkan Flame menyembunyikan dirinya sebagai pembaruan Windows. Itu berarti peretas harus menemukan celah keamanan baru, menyuap Microsoft untuk memberi mereka kemampuan untuk menandatangani pembaruan atau hanya mencuri kunci masuk dari microsoft.

Seorang penyerang juga harus dalam posisi di jaringan untuk menjalankan serangan man-in-the-middle.

Itu berarti dalam praktiknya ini hanya masalah yang harus Anda khawatirkan jika Anda berpikir untuk bertahan melawan penyerang negara seperti NSA.

Kristen
sumber
Jawaban ini belum terbukti. Itu TIDAK ditandatangani oleh Microsoft, itu ditandatangani oleh sertifikat karena sertifikat yang digunakan memiliki tanda tangan yang sama
Ramhound
1
@Ramhound: Saya tidak mengklaim dalam jawaban ini bahwa itu ditandatangani oleh Microsoft. Saya mengklaim bahwa ada tanda tangan yang membuatnya terlihat seperti ditandatangani oleh Microsoft karena lubang keamanan. Mereka memiliki 0 hari yang kemudian ditambal oleh Microsoft.
Christian
2
Saya tidak pernah didistribusikan oleh Pembaruan Windows
Ramhound
@Ramhound: Saya mengubah kalimat itu, apakah Anda senang dengan versi yang baru?
Christian
2

Hanya pernah menggunakan panel kontrol Pembaruan Windows untuk memperbarui perangkat lunak Windows. Jangan pernah mengeklik situs mana pun yang tidak dapat Anda percayai sepenuhnya.

Tetsujin
sumber
Terima kasih atas saran Anda. Saya mendengar bahwa mungkin bagi peretas untuk menutup perangkat lunak jahat mereka sebagai pembaruan resmi windwos dan membuat pembaruan windows memberi tahu Anda bahwa Anda harus mengunduhnya. Apakah itu benar
user3787755
3
Kedengarannya seperti FUD bagi saya - mereka tidak hanya harus mendapatkan perangkat lunak berbahaya ke server Microsoft, mereka harus mengelola untuk membangun artikel KB yang menggambarkannya ... semua tanpa memperhatikan MS
Tetsujin
4
JIKA mereka mencuri kunci, kemudian membajak server DNS Anda ... maka itu bisa dilakukan. Masih sangat tidak mungkin.
D Schlachter
2
@ DSchlachter yang berada dalam kemampuan mata-mata korps negara-negara industri maju.
Snowbody
2

Banyak jawaban telah dengan benar menunjukkan bahwa cacat dalam proses pembaruan windows digunakan oleh Flame Malware, tetapi beberapa detail penting telah digeneralisasi.

Posting ini di blog Microsoft Security 'Research and Defence Blog' berjudul: Flame Malware menjelaskan serangan tabrakan

... secara default sertifikat penyerang tidak akan berfungsi pada Windows Vista atau versi Windows yang lebih baru. Mereka harus melakukan serangan tabrakan untuk memalsukan sertifikat yang akan berlaku untuk penandatanganan kode pada Windows Vista atau versi Windows yang lebih baru. Pada sistem yang mendahului Windows Vista, serangan dimungkinkan tanpa benturan hash MD5.

"MD5 Collision Attack" = Sihir kriptografi yang sangat teknis - yang tentu saja tidak saya pahami.

Ketika Flame ditemukan dan diungkapkan secara terbuka oleh Kaspersky pada 28 Mei 2012, para peneliti menemukan bahwa Flame telah beroperasi di alam liar setidaknya sejak Maret 2010 dengan basis kode yang sedang dikembangkan sejak 2007. Meskipun Flame memiliki beberapa vektor infeksi lain, intinya adalah bahwa kerentanan yang satu ini ada selama beberapa tahun sebelum ditemukan dan ditambal.

Tapi Flame adalah operasi tingkat "Negara Bangsa", dan seperti yang sudah ditunjukkan - sangat sedikit yang bisa dilakukan pengguna biasa untuk melindungi diri dari tiga agensi surat.

Tingkat kejahatan

Evilgrade adalah kerangka kerja modular yang memungkinkan pengguna untuk mengambil keuntungan dari implementasi upgrade yang buruk dengan menyuntikkan pembaruan palsu. Muncul dengan binari (agen) yang dibuat sebelumnya, konfigurasi default yang berfungsi untuk pentest cepat, dan memiliki modul WebServer dan DNSServer sendiri. Mudah untuk mengatur pengaturan baru, dan memiliki konfigurasi otomatis ketika agen biner baru diatur.

Proyek ini di-host di Github . Ini gratis dan open source.

Mengutip penggunaan yang dimaksud:

Kerangka kerja ini berperan ketika penyerang dapat melakukan pengalihan hostname (manipulasi lalu lintas dns korban) ...

Terjemahan: berpotensi siapa pun di jaringan (LAN) yang sama dengan Anda atau seseorang yang dapat memanipulasi DNS Anda ... masih menggunakan nama pengguna default dan meneruskan router linksys Anda ...?

Saat ini memiliki 63 "modul" atau pembaruan perangkat lunak potensial yang diserangnya, dengan nama seperti itunes, vmware, virtualbox, skype, notepad ++, ccleaner, Teamviewer, dll. Saya harus menambahkan bahwa semua vuln ini telah ditambal oleh masing-masing vendor dan tidak ada yang untuk versi "saat ini", tapi hei - yang melakukan pembaruan ...

Demonstrasi dalam video ini

bob
sumber