Mise à jour de fausses fenêtres

19

J'ai entendu dire que les pirates peuvent vous faire télécharger leurs logiciels malveillants en vous disant qu'ils sont une mise à jour du système d'exploitation via Windows Update. Est-ce vrai? Si oui, comment puis-je me protéger?

user3787755
la source
9
Vous avez entendu de fausses mises à jour de fenêtres signées
Ramhound
5
Si vous êtes vraiment paranoïaque, vous pouvez modifier vos paramètres afin que les mises à jour ne soient pas téléchargées automatiquement (définies sur "notifier uniquement" ou "ne rien faire"), puis accédez manuellement à "Windows Update" pour charger / installer les modifications. Cela garantit qu'ils proviennent de Microsoft.
Daniel R Hicks
1
Sur une note connexe, les logiciels malveillants sont connus pour se cacher derrière des logiciels de confiance pour passer les invites UAC. Par exemple, ZeroAccess se lierait à un programme d'installation d'Adobe Flash Player afin que l'invite UAC soit légitime et que vous vous disiez "Oh, c'est juste une mise à jour Flash à nouveau ..." et cliquez dessus.
indiv
Anecdotique mais Barnaby Jack n'a pas démontré cela il y a quelques années, cela a été mentionné par Mudge dans son discours sur Defcon l'année dernière - youtube.com/watch?v=TSR-b9y (à partir de la marque des 35 minutes)
JMK

Réponses:

31

Il est presque impossible pour un pirate ordinaire de vous envoyer quelque chose via le système Windows Update.

Ce que vous avez entendu est cependant différent. C'est un logiciel espion qui ressemble à Windows Update et vous dit de l'installer. Si vous cliquez ensuite sur installer, une invite UAC s'affiche et vous demande des privilèges administratifs. Si vous l'acceptez, il peut installer des logiciels espions. Notez que Windows Update ne vous obligera JAMAIS à passer un test d'élévation UAC. Cela n'est pas nécessaire car le service Windows Update s'exécute en tant que SYSTEM, qui dispose des privilèges les plus élevés. La seule invite que vous obtiendrez lors des installations de Windows Update est l'approbation d'un accord de licence.

EDIT: apporté des modifications au poste parce que le gouvernement peut être en mesure de retirer cela, mais je doute qu'en tant que citoyen normal, vous pouvez de toute façon vous protéger contre le gouvernement.

LPChip
la source
50
Vraiment, "impossible"? Pouvons-nous plutôt opter pour quelque chose de plus dans le sens de "très hautement improbable / improbable"?
root
11
@root Je suppose que s'ils falsifiaient WSUS et modifiaient la mise à jour de Windows de cette manière (ce qui, bien sûr, nécessite des privilèges administratifs qu'ils souhaitent obtenir de toute façon), la mise à jour de Windows pourrait obtenir une mise à jour de Windows malveillante. Cependant, je n'ai entendu parler d'aucune infection par cette méthode, et je doute qu'ils iraient dans ce sens car s'ils obtiennent des privilèges administratifs, ils peuvent simplement infecter la machine avec des logiciels espions comme ils ont l'intention de le faire.
LPChip du
7
Ils faisaient cela tout le temps sous XP. Tout ce que vous avez à faire est de modifier le fichier hosts pour rediriger une demande vers un site Web malveillant.
ps2goat
3
N'est-ce pas ce que Flame a fait ?
sch
9
-1 car cette réponse est fausse. Même si c'est très très improbable et que @LPChip lui-même ne peut pas imaginer que cela se produise, cela s'est produit dans la vie réelle
slebetman
8

Oui c'est vrai.

Le malware Flame a attaqué l'utilisateur via une faille dans le processus de mise à jour de Windows. Ses créateurs ont trouvé une faille de sécurité dans le système de mise à jour de Windows qui leur a permis de tromper les victimes en leur faisant croire que leur patch contenant des logiciels malveillants est une authentique mise à jour de Windows.

Que pourraient faire les cibles du malware pour se défendre? Pas tant. La flamme a passé des années sans être détectée.

Cependant, Microsoft a maintenant corrigé le trou de sécurité qui permettait à Flame de se cacher en tant que mise à jour Windows. Cela signifie que les pirates doivent soit trouver une nouvelle faille de sécurité, soudoyer Microsoft pour leur donner la possibilité de signer des mises à jour, soit simplement voler la clé de signature de Microsoft.

Un attaquant doit en outre être en position dans le réseau pour exécuter une attaque d'homme au milieu.

Cela signifie que dans la pratique, ce n'est qu'un problème dont vous devez vous soucier si vous pensez à vous défendre contre les attaquants des États-nations comme la NSA.

Christian
la source
Cette réponse n'a pas été prouvée. Il n'a PAS été signé par Microsoft, il a été signé par un certificat car le certificat utilisé avait la même signature
Ramhound
1
@Ramhound: Je ne prétends pas dans cette réponse qu'elle a été signée par Microsoft. Je prétends qu'il a obtenu une signature qui donne l'impression qu'il a été signé par Microsoft en raison d'une faille de sécurité. Ils ont eu un jour 0 que Microsoft a corrigé plus tard.
Christian
2
Je n'ai jamais été distribué par Windows Update
Ramhound
@Ramhound: J'ai changé cette phrase, êtes-vous satisfait de la nouvelle version?
Christian
2

N'utilisez que le panneau de configuration de Windows Update pour mettre à jour le logiciel Windows. Ne cliquez jamais sur un site auquel vous ne pouvez pas entièrement faire confiance.

Tetsujin
la source
Merci pour votre suggestion. J'ai entendu dire qu'il était possible aux pirates de masquer leurs logiciels malveillants en tant que mise à jour officielle de windwos et que la mise à jour de Windows vous dise que vous devez le télécharger. Est-ce vrai?
user3787755
3
Pour moi, cela ressemble à du FUD - non seulement ils devraient avoir ce logiciel malveillant sur les serveurs de Microsoft, mais ils devraient aussi réussir à construire un article de la base de connaissances le décrivant ... le tout sans que MS s'en
rende
4
S'ils ont volé les clés, puis détourné vos serveurs DNS ... alors cela pourrait être fait. Encore très peu probable.
D Schlachter
2
@DSchlachter qui est bien à la portée des corps d'espionnage de la plupart des pays industrialisés.
Snowbody
2

De nombreuses réponses ont correctement indiqué qu'une faille dans le processus de mise à jour de Windows a été utilisée par le logiciel malveillant Flame, mais certains des détails importants ont été généralisés.

Cet article sur un technet de Microsoft «Blog de recherche et de défense sur la sécurité» intitulé: Attaque par collision Flame Malware expliquée

... par défaut, le certificat de l'attaquant ne fonctionnerait pas sur Windows Vista ou les versions plus récentes de Windows. Ils ont dû effectuer une attaque par collision pour forger un certificat qui serait valide pour la signature de code sur Windows Vista ou des versions plus récentes de Windows. Sur les systèmes antérieurs à Windows Vista, une attaque est possible sans collision de hachage MD5.

"MD5 Collision Attack" = magie cryptographique hautement technique - que je ne prétends certainement pas comprendre.

Lorsque Flame a été découverte et divulguée publiquement par Kaspersky le 28 mai 2012, les chercheurs ont découvert qu'elle opérait dans la nature depuis au moins mars 2010 avec la base de code en cours de développement depuis 2007. Bien que Flame ait eu plusieurs autres vecteurs d'infection, le résultat est que cette vulnérabilité existait depuis plusieurs années avant d'être découverte et corrigée.

Mais Flame était une opération de niveau "État-nation", et comme nous l'avons déjà souligné - il n'y a pas grand-chose qu'un utilisateur ordinaire puisse faire pour se protéger des agences de trois lettres.

Evilgrade

Evilgrade est un cadre modulaire qui permet à l'utilisateur de tirer parti des implémentations de mise à niveau médiocres en injectant de fausses mises à jour. Il est livré avec des fichiers binaires (agents) prédéfinis, une configuration par défaut fonctionnelle pour les pentests rapides, et possède ses propres modules WebServer et DNSServer. Facile à configurer de nouveaux paramètres et dispose d'une configuration automatique lorsque de nouveaux agents binaires sont définis.

Le projet est hébergé sur Github . C'est gratuit et open source.

Pour citer l'utilisation prévue:

Ce framework entre en jeu lorsque l'attaquant est capable de faire des redirections de nom d'hôte (manipulation du trafic DNS de la victime) ...

Traduction: potentiellement toute personne sur le même réseau (LAN) que vous ou quelqu'un qui peut manipuler votre DNS ... toujours en utilisant le nom d'utilisateur par défaut et transmettre votre routeur linksys ...?

Il dispose actuellement de 63 "modules" différents ou de mises à jour logicielles potentielles qu'il attaque, avec des noms comme itunes, vmware, virtualbox, skype, notepad ++, ccleaner, Teamviewer, etc., etc. aucune n'est pour les versions "actuelles", mais bon - qui fait quand même des mises à jour ...

Démonstration dans cette vidéo

bob
la source