伪造的 Windows 更新

伪造的 Windows 更新

我听说黑客可以通过 Windows Update 向您声称这是操作系统的更新,从而让您下载他们的恶意软件。这是真的吗?如果是,我该如何保护自己?

答案1

普通黑客几乎不可能通过 Windows 更新系统向您发送任何东西。

但您听到的却不一样。它是一种间谍软件,看起来像是 Windows 更新,并告诉您安装它。如果您单击安装,则会弹出一个 UAC 提示,要求您提供管理权限。如果您接受,它可以安装间谍软件。请注意,Windows 更新永远不会要求您通过 UAC 提升测试。这不是必需的,因为 Windows 更新服务以具有最高权限的 SYSTEM 身份运行。在 Windows 更新安装过程中,您唯一会收到的提示是批准许可协议。

编辑:对帖子进行了更改,因为政府可能能够做到这一点,但我怀疑作为普通公民,你无论如何都无法保护自己免受政府的侵害。

答案2

对,是真的。

Flame 恶意软件通过 Windows 更新过程中的漏洞攻击用户。它的创建者在 Windows 更新系统中发现了一个安全漏洞,使他们能够欺骗受害者,让他们认为包含恶意软件的补丁是真正的 Windows 更新。

恶意软件的目标可以采取什么措施来保护自己? 没什么可做的。 Flame 多年来一直未被发现。

然而,微软现在修补了允许 Flame 隐藏为 Windows 更新的安全漏洞。这意味着黑客要么找到新的安全漏洞,要么贿赂微软,让他们能够签署更新,要么干脆从微软窃取签名密钥。

攻击者还必须处于网络中的位置才能发动中间人攻击。

这意味着在实践中,如果你考虑防御像 NSA 这样的国家攻击者,这只是你需要担心的问题。

答案3

仅使用 Windows 更新控制面板来更新 Windows 软件。切勿点击任何您不能完全信任的网站。

答案4

许多答案都正确地指出了 Flame 恶意软件利用了 Windows 更新过程中的一个缺陷,但一些重要的细节却被概括了。

Microsoft Technet“安全研究与防御博客”上的这篇文章标题为:Flame 恶意软件碰撞攻击详解

... 默认情况下,攻击者的证书在 Windows Vista 或更新版本的 Windows 上不起作用。他们必须执行碰撞攻击才能伪造在 Windows Vista 或更新版本的 Windows 上可用于代码签名的证书。在 Windows Vista 之前的系统上,即使没有 MD5 哈希碰撞,攻击也是可能的。

“MD5 碰撞攻击” = 技术含量极高的加密魔法——我当然不会假装理解。

当 Flame 被发现并公开时卡巴斯基披露2012 年 5 月 28 日,研究人员发现该病毒至少从 2010 年 3 月起就已在野外运行,其代码库可从 2007 年开始开发。尽管 Flame 病毒还有其他几种感染媒介,但最关键的是,这个漏洞在被发现和修补之前已经存在了好几年。

但 Flame 是一次“民族国家”级别的行动,而且正如已经指出的那样,普通用户几乎无法保护自己免受三个字母机构的攻击。

邪恶等级

Evilgrade 是一个模块化框架,允许用户通过注入虚假更新来利用糟糕的升级实现。它带有预制二进制文件(代理)、用于快速渗透测试的有效默认配置,并拥有自己的 WebServer 和 DNSServer 模块。易于设置新设置,并且在设置新的二进制代理时具有自动配置。

该项目托管于Github.它是免费且开源的。

引用预期用途:

当攻击者能够进行主机名重定向(操纵受害者的 DNS 流量)时,该框架就会发挥作用……

翻译:可能与您在同一个 (LAN) 网络上的任何人或可以操纵您的 DNS 的人...仍然使用默认用户名并传递您的 linksys 路由器......?

目前它有 63 个不同的“模块”或潜在的软件更新,名称包括 itunes、vmware、virtualbox、skype、notepad++、ccleaner、Teamviewer 等等。我应该补充一点,所有这些漏洞都由各自的供应商修补,并且没有一个是针对“当前”版本的,但是嘿 - 谁会更新呢......

在此演示视频

相关内容