Escuché que los piratas informáticos pueden hacerle descargar su software malicioso diciéndole que son una actualización del sistema operativo a través de Windows Update. ¿Es verdad? En caso afirmativo, ¿cómo puedo protegerme?
Escuché que los piratas informáticos pueden hacerle descargar su software malicioso diciéndole que son una actualización del sistema operativo a través de Windows Update. ¿Es verdad? En caso afirmativo, ¿cómo puedo protegerme?
Respuestas:
Es casi imposible que un pirata informático común le envíe algo a través del sistema de actualización de Windows.
Sin embargo, lo que escuchaste es diferente. Es un software espía que parece que es Windows Update y le dice que lo instale. Si luego hace clic en instalar, aparece un mensaje emergente de UAC que solicita privilegios administrativos. Si acepta eso, puede instalar spyware. Tenga en cuenta que Windows Update NUNCA requerirá que pase una prueba de elevación de UAC. Esto no es necesario ya que el servicio de actualización de Windows se ejecuta como SYSTEM, que tiene los privilegios más altos. El único aviso que recibirá durante las instalaciones de Windows Update es aprobar un acuerdo de licencia.
EDITAR: realizó cambios en la publicación porque el gobierno puede lograr esto, pero dudo que, como ciudadano normal, de todos modos pueda protegerse contra el gobierno.
Sí, es verdad.
El malware Flame atacó al usuario a través de una falla en el proceso de actualización de Windows. Sus creadores encontraron un agujero de seguridad en el sistema de actualización de Windows que les permitió engañar a las víctimas para que pensaran que su parche contiene malware es una auténtica actualización de Windows.
¿Qué podrían hacer los objetivos del malware para defenderse? No mucho. Flame pasó años sin ser detectado.
Sin embargo, Microsoft ahora parchó el agujero de seguridad que permitió que Flame se ocultara como una actualización de Windows. Eso significa que los piratas informáticos tienen que encontrar un nuevo agujero de seguridad, sobornar a Microsoft para darles la posibilidad de firmar actualizaciones o simplemente robar la clave de firma de Microsoft.
Un atacante además tiene que estar en una posición en la red para ejecutar un ataque de hombre en el medio.
Eso significa que, en la práctica, este es solo un tema del que debe preocuparse si piensa en defenderse de los atacantes estatales como la NSA.
Solo use el panel de control de Windows Update para actualizar el software de Windows. Nunca haga clic en ningún sitio en el que no pueda confiar plenamente.
Muchas de las respuestas han señalado correctamente que Flame Malware utilizó una falla en el proceso de actualización de Windows, pero algunos de los detalles importantes se han generalizado.
Esta publicación en un 'blog de investigación y defensa sobre seguridad' de Microsoft Technet titulada: Explicación del ataque de colisión de malware de llamas
... de forma predeterminada, el certificado del atacante no funcionaría en Windows Vista o en versiones más recientes de Windows. Tuvieron que realizar un ataque de colisión para falsificar un certificado que sería válido para la firma de código en Windows Vista o versiones más recientes de Windows. En los sistemas anteriores a Windows Vista, es posible un ataque sin una colisión de hash MD5.
"MD5 Collision Attack" = Magia criptográfica altamente técnica, que ciertamente no pretendo entender.
Cuando Kaspersky descubrió y reveló públicamente Flame el 28 de mayo de 2012, los investigadores descubrieron que había estado operando en la naturaleza desde al menos marzo de 2010 con la base de código en desarrollo desde 2007. Aunque Flame tenía varios otros vectores de infección, el resultado final es que esta vulnerabilidad existió durante varios años antes de ser descubierta y reparada.
Pero Flame era una operación a nivel de "Estado nación" y, como ya se señaló, hay muy poco que un usuario común pueda hacer para protegerse de las agencias de tres cartas.
Evilgrade es un marco modular que permite al usuario aprovechar implementaciones de actualización deficientes mediante la inyección de actualizaciones falsas. Viene con binarios prefabricados (agentes), una configuración predeterminada de trabajo para pentests rápidos, y tiene sus propios módulos WebServer y DNSServer. Fácil de configurar nuevas configuraciones, y tiene una configuración automática cuando se establecen nuevos agentes binarios.
El proyecto está alojado en Github . Es gratis y de código abierto.
Para citar el uso previsto:
Este marco entra en juego cuando el atacante puede hacer redirecciones de nombres de host (manipulación del tráfico dns de la víctima) ...
Traducción: ¿potencialmente cualquier persona en la misma red (LAN) que usted o alguien que pueda manipular su DNS ... aún usando el nombre de usuario predeterminado y pasando su enrutador Linksys ...?
Actualmente tiene 63 "módulos" diferentes o posibles actualizaciones de software que ataca, con nombres como itunes, vmware, virtualbox, skype, notepad ++, ccleaner, Teamviewer, etc. Debo agregar que todos estos vendedores fueron parcheados por sus respectivos proveedores y ninguno es para versiones "actuales", pero bueno, quién actualiza de todos modos ...
Demostración en este video