Actualización falsa de Windows

19

Escuché que los piratas informáticos pueden hacerle descargar su software malicioso diciéndole que son una actualización del sistema operativo a través de Windows Update. ¿Es verdad? En caso afirmativo, ¿cómo puedo protegerme?

usuario3787755
fuente
99
Has oído que se firman actualizaciones incorrectas de Windows
Ramhound
55
Si eres realmente paranoico, puedes cambiar tu configuración para que las actualizaciones no se descarguen automáticamente (configuradas como "solo notificar" o "no hacer nada"), luego ve manualmente a "Windows Update" para cargar / instalar los cambios. Esto asegura que provienen de Microsoft.
Daniel R Hicks
1
En una nota relacionada, se sabe que el malware se esconde detrás de un software confiable para superar las indicaciones de UAC. Por ejemplo, ZeroAccess se adjuntaría a un instalador de Adobe Flash Player para que el indicador de UAC se vea legítimo y usted diga: "Oh, es solo una actualización Flash de nuevo ..." y haga clic.
indiv
Anecdótico pero Barnaby Jack no demostró esto hace algunos años, Mudge lo mencionó en su charla de Defcon el año pasado - youtube.com/watch?v=TSR-b9y (comenzando alrededor de los 35 minutos)
JMK

Respuestas:

31

Es casi imposible que un pirata informático común le envíe algo a través del sistema de actualización de Windows.

Sin embargo, lo que escuchaste es diferente. Es un software espía que parece que es Windows Update y le dice que lo instale. Si luego hace clic en instalar, aparece un mensaje emergente de UAC que solicita privilegios administrativos. Si acepta eso, puede instalar spyware. Tenga en cuenta que Windows Update NUNCA requerirá que pase una prueba de elevación de UAC. Esto no es necesario ya que el servicio de actualización de Windows se ejecuta como SYSTEM, que tiene los privilegios más altos. El único aviso que recibirá durante las instalaciones de Windows Update es aprobar un acuerdo de licencia.

EDITAR: realizó cambios en la publicación porque el gobierno puede lograr esto, pero dudo que, como ciudadano normal, de todos modos pueda protegerse contra el gobierno.

LPChip
fuente
50
¿Realmente "imposible"? ¿Podemos en cambio ir con algo más en la línea de "altamente altamente improbable / improbable"?
raíz
11
@root Supongo que si fingieran WSUS y modificaran la actualización de Windows de esa manera (lo cual, por supuesto, REQUIERE privilegios administrativos que de todos modos desean obtener), la actualización de Windows podría obtener una actualización de Windows que es maliciosa. Sin embargo, no he oído hablar de ninguna infección propagada a través de este método, y dudo que sigan así porque si obtienen privilegios administrativos pueden infectar la máquina con spyware de la manera que pretenden hacerlo.
LPChip
77
Solían hacer esto todo el tiempo en XP. Todo lo que realmente tiene que hacer es modificar el archivo de hosts para redirigir una solicitud a un sitio web malicioso.
ps2goat
3
¿No es lo que hizo Flame ?
sch
99
-1 porque esta respuesta es falsa. Aunque es muy poco probable y el propio @LPChip no puede imaginar que suceda nunca, sucedió en la vida real
slebetman
8

Sí, es verdad.

El malware Flame atacó al usuario a través de una falla en el proceso de actualización de Windows. Sus creadores encontraron un agujero de seguridad en el sistema de actualización de Windows que les permitió engañar a las víctimas para que pensaran que su parche contiene malware es una auténtica actualización de Windows.

¿Qué podrían hacer los objetivos del malware para defenderse? No mucho. Flame pasó años sin ser detectado.

Sin embargo, Microsoft ahora parchó el agujero de seguridad que permitió que Flame se ocultara como una actualización de Windows. Eso significa que los piratas informáticos tienen que encontrar un nuevo agujero de seguridad, sobornar a Microsoft para darles la posibilidad de firmar actualizaciones o simplemente robar la clave de firma de Microsoft.

Un atacante además tiene que estar en una posición en la red para ejecutar un ataque de hombre en el medio.

Eso significa que, en la práctica, este es solo un tema del que debe preocuparse si piensa en defenderse de los atacantes estatales como la NSA.

cristiano
fuente
Esta respuesta no ha sido probada. NO fue firmado por Microsoft, fue firmado por un certificado porque el certificado que se utilizó tenía la misma firma
Ramhound
1
@Ramhound: No afirmo en esta respuesta que fue firmado por Microsoft. Afirmo que obtuvo una firma que lo hizo parecer que fue firmado por Microsoft debido a un agujero de seguridad. Tuvieron un día 0 que Microsoft luego parchó.
Christian
2
Sin embargo
Ramhound
@Ramhound: Cambié esa oración, ¿estás contento con la nueva versión?
Christian
2

Solo use el panel de control de Windows Update para actualizar el software de Windows. Nunca haga clic en ningún sitio en el que no pueda confiar plenamente.

Tetsujin
fuente
Gracias por tu sugerencia. Escuché que los piratas informáticos pueden enmascarar su software malicioso como una actualización oficial de windwos y hacer que la actualización de Windows te diga que tienes que descargarlo. ¿Es verdad?
user3787755
3
A mí me suena a FUD: no solo tendrían que llevar ese software malicioso a los servidores de Microsoft, sino que tendrían que construir un artículo de KB que lo describa ... todo sin que MS lo note
Tetsujin
44
SI robaron las llaves, luego secuestraron sus servidores DNS ... entonces podría hacerse. Aún muy poco probable.
D Schlachter
2
@DSchlachter que está dentro de las capacidades del cuerpo de espías de la mayoría de las naciones industrializadas.
Snowbody
2

Muchas de las respuestas han señalado correctamente que Flame Malware utilizó una falla en el proceso de actualización de Windows, pero algunos de los detalles importantes se han generalizado.

Esta publicación en un 'blog de investigación y defensa sobre seguridad' de Microsoft Technet titulada: Explicación del ataque de colisión de malware de llamas

... de forma predeterminada, el certificado del atacante no funcionaría en Windows Vista o en versiones más recientes de Windows. Tuvieron que realizar un ataque de colisión para falsificar un certificado que sería válido para la firma de código en Windows Vista o versiones más recientes de Windows. En los sistemas anteriores a Windows Vista, es posible un ataque sin una colisión de hash MD5.

"MD5 Collision Attack" = Magia criptográfica altamente técnica, que ciertamente no pretendo entender.

Cuando Kaspersky descubrió y reveló públicamente Flame el 28 de mayo de 2012, los investigadores descubrieron que había estado operando en la naturaleza desde al menos marzo de 2010 con la base de código en desarrollo desde 2007. Aunque Flame tenía varios otros vectores de infección, el resultado final es que esta vulnerabilidad existió durante varios años antes de ser descubierta y reparada.

Pero Flame era una operación a nivel de "Estado nación" y, como ya se señaló, hay muy poco que un usuario común pueda hacer para protegerse de las agencias de tres cartas.

Evilgrade

Evilgrade es un marco modular que permite al usuario aprovechar implementaciones de actualización deficientes mediante la inyección de actualizaciones falsas. Viene con binarios prefabricados (agentes), una configuración predeterminada de trabajo para pentests rápidos, y tiene sus propios módulos WebServer y DNSServer. Fácil de configurar nuevas configuraciones, y tiene una configuración automática cuando se establecen nuevos agentes binarios.

El proyecto está alojado en Github . Es gratis y de código abierto.

Para citar el uso previsto:

Este marco entra en juego cuando el atacante puede hacer redirecciones de nombres de host (manipulación del tráfico dns de la víctima) ...

Traducción: ¿potencialmente cualquier persona en la misma red (LAN) que usted o alguien que pueda manipular su DNS ... aún usando el nombre de usuario predeterminado y pasando su enrutador Linksys ...?

Actualmente tiene 63 "módulos" diferentes o posibles actualizaciones de software que ataca, con nombres como itunes, vmware, virtualbox, skype, notepad ++, ccleaner, Teamviewer, etc. Debo agregar que todos estos vendedores fueron parcheados por sus respectivos proveedores y ninguno es para versiones "actuales", pero bueno, quién actualiza de todos modos ...

Demostración en este video

Beto
fuente