Atualização de janelas falsas

Navegue suas respostas
19

Ouvi dizer que os hackers podem fazer com que você baixe o software malicioso informando que eles são uma atualização do sistema operacional por meio do Windows Update. É verdade? Se sim, como posso me proteger?

    
por user3787755 15.08.2014 / 12:18

4 respostas

31

É quase impossível para um hacker comum enviar algo através do sistema Windows Update.

O que você ouviu é diferente. É um spyware parecido com o Windows Update e pede para você instalá-lo. Se você clicar em instalar um prompt do UAC, aparecerá pedindo privilégios administrativos. Se você aceitar isso, ele poderá instalar spyware. Observe que o Windows Update NUNCA exigirá que você passe por um teste de elevação do UAC. Isso não é necessário, pois o serviço Windows Update é executado como SYSTEM, que possui os privilégios mais altos. O único prompt que você obterá durante as instalações do Windows Update é aprovar um contrato de licença.

EDIT: fez alterações no post porque o governo pode ser capaz de fazer isso, mas eu duvido que como cidadão normal, você pode se proteger contra o governo de qualquer maneira.

    
por 15.08.2014 / 13:06
8

Sim, é verdade.

O malware do Flame atacou o usuário por meio de uma falha no o processo de atualização do Windows. Seus criadores encontraram uma falha de segurança no sistema de atualização do Windows que permitiu que eles enganassem as vítimas, fazendo-as pensar que o patch que contém malware é uma atualização autêntica do Windows.

O que os alvos do malware podem fazer para se defender? Não muito. Flame passou anos sem ser detectado.

No entanto, a Microsoft agora corrigiu a falha de segurança que permitia que o Flame se escondesse como uma atualização do Windows. Isso significa que os hackers devem encontrar uma nova falha de segurança, subornar a Microsoft para que eles possam assinar atualizações ou simplesmente roubar a chave de assinatura da Microsoft.

Além disso, um invasor precisa estar em uma posição na rede para executar um ataque man-in-the-middle.

Isso significa que, na prática, isso é apenas uma questão com a qual você precisa se preocupar se pensar em defender-se contra invasores de Estados-nações, como a NSA.

    
por 16.08.2014 / 13:22
2

Sempre use o painel de controle do Windows Update para atualizar o software do Windows. Nunca clique em qualquer site em que você não possa confiar totalmente.

    
por 15.08.2014 / 12:24
2

Muitas das respostas apontaram corretamente que uma falha no processo de atualização do Windows foi usada pelo Flame Malware, mas alguns detalhes importantes foram generalizados.

Esta postagem em um blog sobre tecnologia de pesquisa e defesa de segurança da Microsoft intitulado: Ataque de colisão contra Malware da Flame explicado

... by default the attacker’s certificate would not work on Windows Vista or more recent versions of Windows. They had to perform a collision attack to forge a certificate that would be valid for code signing on Windows Vista or more recent versions of Windows. On systems that pre-date Windows Vista, an attack is possible without an MD5 hash collision.

"MD5 Collision Attack" = Magia criptográfica altamente técnica - que eu certamente não pretendo entender.

Quando o Flame foi descoberto e publicamente divulgado pela Kaspersky divulgado pela Kaspersky

Mas o Flame era uma operação do tipo "Estado da nação" e, como já foi apontado, há muito pouco que um usuário comum pode fazer para se proteger de três agências de cartas.

Evilgrade

Evilgrade is a modular framework that allows the user to take advantage of poor upgrade implementations by injecting fake updates. It comes with pre-made binaries (agents), a working default configuration for fast pentests, and has it's own WebServer and DNSServer modules. Easy to set up new settings, and has an autoconfiguration when new binary agents are set.

O projeto está hospedado em Github . É gratuito e de código aberto.

Para citar o uso pretendido:

This framework comes into play when the attacker is able to make hostname redirections (manipulation of victim's dns traffic)...

Tradução: potencialmente alguém na mesma rede (LAN) que você ou alguém que possa manipular seu DNS ... ainda usando o nome de usuário padrão e passando seu roteador Linksys ...?

Atualmente tem 63 "módulos" diferentes ou possíveis atualizações de software que ele ataca, com nomes como itunes, vmware, virtualbox, skype, notepad ++, ccleaner, Teamviewer, etc. etc. Devo acrescentar que todas essas vulnerabilidades foram corrigidas por seus respectivos fornecedores e nenhum é para versões "atuais", mas hey - quem faz atualizações de qualquer maneira ...

Demonstração neste vídeo

    
por 17.08.2014 / 06:37

Tags

Práticas recomendadas para alias o comando rm e torná-lo mais seguro Crie um vídeo com 5 imagens com efeito fadeIn / out no ffmpeg