伪造的 Windows 更新

Question 1

普通黑客几乎不可能通过 Windows 更新系统向您发送任何东西。

但您听到的却不一样。它是一种间谍软件，看起来像是 Windows 更新，并告诉您安装它。如果您单击安装，则会弹出一个 UAC 提示，要求您提供管理权限。如果您接受，它可以安装间谍软件。请注意，Windows 更新永远不会要求您通过 UAC 提升测试。这不是必需的，因为 Windows 更新服务以具有最高权限的 SYSTEM 身份运行。在 Windows 更新安装过程中，您唯一会收到的提示是批准许可协议。

编辑：对帖子进行了更改，因为政府可能能够做到这一点，但我怀疑作为普通公民，你无论如何都无法保护自己免受政府的侵害。

Answer

普通黑客几乎不可能通过 Windows 更新系统向您发送任何东西。

但您听到的却不一样。它是一种间谍软件，看起来像是 Windows 更新，并告诉您安装它。如果您单击安装，则会弹出一个 UAC 提示，要求您提供管理权限。如果您接受，它可以安装间谍软件。请注意，Windows 更新永远不会要求您通过 UAC 提升测试。这不是必需的，因为 Windows 更新服务以具有最高权限的 SYSTEM 身份运行。在 Windows 更新安装过程中，您唯一会收到的提示是批准许可协议。

编辑：对帖子进行了更改，因为政府可能能够做到这一点，但我怀疑作为普通公民，你无论如何都无法保护自己免受政府的侵害。

Question 2

对，是真的。

这Flame 恶意软件通过 Windows 更新过程中的漏洞攻击用户。它的创建者在 Windows 更新系统中发现了一个安全漏洞，使他们能够欺骗受害者，让他们认为包含恶意软件的补丁是真正的 Windows 更新。

恶意软件的目标可以采取什么措施来保护自己？没什么可做的。 Flame 多年来一直未被发现。

然而，微软现在修补了允许 Flame 隐藏为 Windows 更新的安全漏洞。这意味着黑客要么找到新的安全漏洞，要么贿赂微软，让他们能够签署更新，要么干脆从微软窃取签名密钥。

攻击者还必须处于网络中的位置才能发动中间人攻击。

这意味着在实践中，如果你考虑防御像 NSA 这样的国家攻击者，这只是你需要担心的问题。

Answer

对，是真的。

这Flame 恶意软件通过 Windows 更新过程中的漏洞攻击用户。它的创建者在 Windows 更新系统中发现了一个安全漏洞，使他们能够欺骗受害者，让他们认为包含恶意软件的补丁是真正的 Windows 更新。

恶意软件的目标可以采取什么措施来保护自己？没什么可做的。 Flame 多年来一直未被发现。

然而，微软现在修补了允许 Flame 隐藏为 Windows 更新的安全漏洞。这意味着黑客要么找到新的安全漏洞，要么贿赂微软，让他们能够签署更新，要么干脆从微软窃取签名密钥。

攻击者还必须处于网络中的位置才能发动中间人攻击。

这意味着在实践中，如果你考虑防御像 NSA 这样的国家攻击者，这只是你需要担心的问题。

Question 3

仅使用 Windows 更新控制面板来更新 Windows 软件。切勿点击任何您不能完全信任的网站。

Answer

仅使用 Windows 更新控制面板来更新 Windows 软件。切勿点击任何您不能完全信任的网站。

Question 4

许多答案都正确地指出了 Flame 恶意软件利用了 Windows 更新过程中的一个缺陷，但一些重要的细节却被概括了。

Microsoft Technet“安全研究与防御博客”上的这篇文章标题为：Flame 恶意软件碰撞攻击详解

... 默认情况下，攻击者的证书在 Windows Vista 或更新版本的 Windows 上不起作用。他们必须执行碰撞攻击才能伪造在 Windows Vista 或更新版本的 Windows 上可用于代码签名的证书。在 Windows Vista 之前的系统上，即使没有 MD5 哈希碰撞，攻击也是可能的。

“MD5 碰撞攻击” = 技术含量极高的加密魔法——我当然不会假装理解。

当 Flame 被发现并公开时卡巴斯基披露2012 年 5 月 28 日，研究人员发现该病毒至少从 2010 年 3 月起就已在野外运行，其代码库可从 2007 年开始开发。尽管 Flame 病毒还有其他几种感染媒介，但最关键的是，这个漏洞在被发现和修补之前已经存在了好几年。

但 Flame 是一次“民族国家”级别的行动，而且正如已经指出的那样，普通用户几乎无法保护自己免受三个字母机构的攻击。

邪恶等级

Evilgrade 是一个模块化框架，允许用户通过注入虚假更新来利用糟糕的升级实现。它带有预制二进制文件（代理）、用于快速渗透测试的有效默认配置，并拥有自己的 WebServer 和 DNSServer 模块。易于设置新设置，并且在设置新的二进制代理时具有自动配置。

该项目托管于Github.它是免费且开源的。

引用预期用途：

当攻击者能够进行主机名重定向（操纵受害者的 DNS 流量）时，该框架就会发挥作用……

翻译：可能与您在同一个 (LAN) 网络上的任何人或可以操纵您的 DNS 的人...仍然使用默认用户名并传递您的 linksys 路由器......？

目前它有 63 个不同的“模块”或潜在的软件更新，名称包括 itunes、vmware、virtualbox、skype、notepad++、ccleaner、Teamviewer 等等。我应该补充一点，所有这些漏洞都由各自的供应商修补，并且没有一个是针对“当前”版本的，但是嘿 - 谁会更新呢......

在此演示视频

Answer

许多答案都正确地指出了 Flame 恶意软件利用了 Windows 更新过程中的一个缺陷，但一些重要的细节却被概括了。

Microsoft Technet“安全研究与防御博客”上的这篇文章标题为：Flame 恶意软件碰撞攻击详解

... 默认情况下，攻击者的证书在 Windows Vista 或更新版本的 Windows 上不起作用。他们必须执行碰撞攻击才能伪造在 Windows Vista 或更新版本的 Windows 上可用于代码签名的证书。在 Windows Vista 之前的系统上，即使没有 MD5 哈希碰撞，攻击也是可能的。

“MD5 碰撞攻击” = 技术含量极高的加密魔法——我当然不会假装理解。

当 Flame 被发现并公开时卡巴斯基披露2012 年 5 月 28 日，研究人员发现该病毒至少从 2010 年 3 月起就已在野外运行，其代码库可从 2007 年开始开发。尽管 Flame 病毒还有其他几种感染媒介，但最关键的是，这个漏洞在被发现和修补之前已经存在了好几年。

但 Flame 是一次“民族国家”级别的行动，而且正如已经指出的那样，普通用户几乎无法保护自己免受三个字母机构的攻击。

邪恶等级

Evilgrade 是一个模块化框架，允许用户通过注入虚假更新来利用糟糕的升级实现。它带有预制二进制文件（代理）、用于快速渗透测试的有效默认配置，并拥有自己的 WebServer 和 DNSServer 模块。易于设置新设置，并且在设置新的二进制代理时具有自动配置。

该项目托管于Github.它是免费且开源的。

引用预期用途：

当攻击者能够进行主机名重定向（操纵受害者的 DNS 流量）时，该框架就会发挥作用……

翻译：可能与您在同一个 (LAN) 网络上的任何人或可以操纵您的 DNS 的人...仍然使用默认用户名并传递您的 linksys 路由器......？

目前它有 63 个不同的“模块”或潜在的软件更新，名称包括 itunes、vmware、virtualbox、skype、notepad++、ccleaner、Teamviewer 等等。我应该补充一点，所有这些漏洞都由各自的供应商修补，并且没有一个是针对“当前”版本的，但是嘿 - 谁会更新呢......

在此演示视频

伪造的 Windows 更新

答案1

答案2

答案3

答案4

邪恶等级

相关内容