नकली विंडोज़ अपडेट

19

मैंने सुना है कि हैकर्स आपके दुर्भावनापूर्ण सॉफ़्टवेयर को यह कहकर डाउनलोड कर सकते हैं कि वे विंडोज अपडेट के माध्यम से ऑपरेटिंग सिस्टम के अपडेट हैं। क्या यह सच है? यदि हाँ, तो मैं अपनी सुरक्षा कैसे कर सकता हूँ?

windows-7 windows windows-update

— user3787755
स्रोत

9

आपने सुना है गलत विंडोज़ अपडेट पर हस्ताक्षर किए गए हैं

— रामहुंड

5

यदि आप वास्तव में पागल हैं तो आप अपनी सेटिंग्स बदल सकते हैं ताकि अपडेट स्वचालित रूप से डाउनलोड न हो (केवल या तो "सूचित करें" या "कुछ भी न करें"), फिर मैन्युअल रूप से परिवर्तनों को लोड / इंस्टॉल करने के लिए "विंडोज अपडेट" पर जाएं। यह आश्वासन देता है कि वे Microsoft से आते हैं।

— डैनियल आर हिक्स

1

संबंधित नोट पर, मैलवेयर को UAC संकेतों को प्राप्त करने के लिए विश्वसनीय सॉफ़्टवेयर के पीछे छिपाने के लिए जाना जाता है। उदाहरण के लिए, ZeroAccess खुद को एक Adobe Flash Player इंस्टॉलर में संलग्न करेगा ताकि UAC प्रॉम्प्ट वैध लगे और आपको यह पसंद आए, "ओह, यह सिर्फ Flash फिर से अपडेट हो रहा है ..." और क्लिक करें।

— इंडिविज

कुछ साल पहले बर्नैब जैक ने इसे प्रदर्शित नहीं किया था, इसका जिक्र मडगे ने पिछले साल अपनी डेफकॉन वार्ता में किया था - youtube.com/watch?v=TSR-b9y (35 मिनट के निशान के आसपास)

— JMK

31

एक साधारण हैकर के लिए विंडोज अपडेट सिस्टम के माध्यम से आपको कुछ भेजना लगभग असंभव है।

आपने जो सुना है वह अलग है। यह स्पाइवेयर है जो ऐसा लगता है कि यह विंडोज अपडेट है और आपको इसे स्थापित करने के लिए कहता है। यदि आप तब प्रशासनिक विशेषाधिकार मांगने के लिए UAC प्रॉम्प्ट पॉप अप स्थापित करते हैं। यदि आप इसे स्वीकार करते हैं, तो यह स्पाइवेयर स्थापित कर सकता है। ध्यान दें कि Windows अद्यतन की आवश्यकता नहीं होगी कि आपको UAC ऊंचाई परीक्षण पास करना होगा। यह आवश्यक नहीं है क्योंकि विंडोज अपडेट सेवा सिस्टम के रूप में चलती है, जिसमें उच्चतम विशेषाधिकार हैं। विंडोज अपडेट इंस्टॉलेशन के दौरान आपको केवल एक ही प्रॉम्प्ट, एक लाइसेंस समझौते को मंजूरी दे रहा है।

EDIT: पद में बदलाव किए गए क्योंकि सरकार इसे बंद करने में सक्षम हो सकती है, लेकिन मुझे एक सामान्य नागरिक के रूप में संदेह है, आप सरकार के खिलाफ वैसे भी रक्षा कर सकते हैं।

— LPChip
स्रोत

50

वास्तव में, "असंभव"? क्या हम इसके बजाय "अत्यधिक-अत्यधिक असंभावित / अनुचित" की तर्ज पर कुछ और कर सकते हैं?

— रूट

11

@ अगर मुझे लगता है कि वे नकली WSUS और इस तरह से विंडोज़ अपडेट में बदलाव करेंगे (बेशक ऐसा न हो तो प्रशासनिक विशेषाधिकार की आवश्यकता होती है जो वे वैसे भी प्राप्त करना चाहते हैं) विंडोज़ अपडेट से विंडोज़ अपडेट मिल सकता है जो दुर्भावनापूर्ण है। मैंने इस विधि के माध्यम से फैलने वाले किसी भी संक्रमण के बारे में नहीं सुना है, और मुझे संदेह है कि वे इस तरह से जाएंगे क्योंकि अगर उन्हें प्रशासनिक विशेषाधिकार प्राप्त होते हैं तो वे स्पाइवेयर के साथ मशीन को संक्रमित कर सकते हैं जिस तरह से वे करने का इरादा रखते हैं।

— LPChip

7

वे हर समय XP में ऐसा करते थे। आपको वास्तव में एक दुर्भावनापूर्ण वेबसाइट के अनुरोध को पुनर्निर्देशित करने के लिए मेजबान फ़ाइल को संशोधित करना होगा।

— ps2goat

3

क्या यह नहीं है कि लौ क्या किया ?

— sch

9

-1 क्योंकि यह उत्तर असत्य है। भले ही यह बहुत-बहुत संभावना नहीं है और @LPChip खुद कल्पना नहीं कर सकती है कि यह वास्तविक जीवन में कभी हुआ है

— slebetman

8

हाँ यह सच हे।

ज्वाला मैलवेयर विंडोज अद्यतन करने की प्रक्रिया में दोष के माध्यम से उपयोगकर्ता पर हमला किया। यह रचनाकारों ने विंडोज अपडेटिंग सिस्टम में एक सुरक्षा छेद पाया है जिसने पीड़ितों को यह सोचकर मूर्ख बनाने की अनुमति दी कि मैलवेयर वाले उनके पैच एक प्रामाणिक विंडोज़ अपडेट हैं।

खुद के बचाव के लिए मैलवेयर के लक्ष्य क्या कर सकते हैं? बहुत ज्यादा नहीं। आग की लपटों में कई साल गुजर गए।

हालाँकि Microsoft ने अब उस सुरक्षा छेद को पैच कर दिया, जिसने लौ को विंडोज अपडेट के रूप में छिपाने की अनुमति दी। इसका मतलब है कि हैकर्स के पास या तो एक नया सुरक्षा छेद खोजने के लिए है, Microsoft को अपडेट्स पर हस्ताक्षर करने की क्षमता देने या Microsoft से साइनिंग कुंजी चोरी करने के लिए रिश्वत देनी होगी।

एक हमलावर अतिरिक्त रूप से एक नेटवर्क में एक स्थिति में होना है कि वह एक मानव-मध्य हमले को चला सके।

इसका मतलब है कि यह केवल एक ऐसा मुद्दा है, जिसके बारे में आपको सोचना होगा कि अगर आप राष्ट्र राज्य हमलावरों जैसे एनएसए के खिलाफ बचाव के बारे में सोचते हैं।

— ईसाई
स्रोत

यह उत्तर सिद्ध नहीं हुआ है। यह Microsoft द्वारा हस्ताक्षरित नहीं किया गया था इसे एक प्रमाण पत्र द्वारा हस्ताक्षरित किया गया था क्योंकि जिस प्रमाण पत्र का उपयोग किया गया था, उस पर एक ही हस्ताक्षर था

— रामहाउंड

1

@ रामहाउंड: मैं इस जवाब में दावा नहीं करता कि यह माइक्रोसॉफ्ट द्वारा हस्ताक्षरित था। मैं दावा करता हूं कि इसे एक हस्ताक्षर मिला जिसने इसे ऐसा बनाया कि यह सुरक्षा छेद के कारण Microsoft द्वारा हस्ताक्षरित था। उनके पास 0 दिन का समय था जिसे बाद में Microsoft ने पैच कर दिया।

— ईसाई

2

मुझे विंडोज अपडेट द्वारा कभी वितरित नहीं किया गया था

— रामहुंड

@ रामहुड: मैंने उस वाक्य को बदल दिया, क्या आप नए संस्करण से खुश हैं?

— क्रिश्चियन

2

विंडोज सॉफ्टवेयर को अपडेट करने के लिए केवल कभी-कभी विंडोज अपडेट कंट्रोल पैनल का उपयोग करें। कभी भी किसी भी साइट पर क्लिक-थ्रू आप पूरी तरह से भरोसा नहीं कर सकते।

— Tetsujin
स्रोत

तुम्हारे सुझाव के लिए धन्यवाद। मैंने सुना है कि हैकर्स को अपने दुर्भावनापूर्ण सॉफ़्टवेयर को विंडवॉश के आधिकारिक अपडेट के रूप में मास्क करना संभव है और विंडोज़ अपडेट आपको बताता है कि आपको इसे डाउनलोड करना होगा। क्या यह सच है?

— user3787755

3

मेरे लिए FUD की तरह लगता है - उन्हें न केवल Microsoft के सर्वर पर उस दुर्भावनापूर्ण सॉफ़्टवेयर को प्राप्त करना होगा, उन्हें यह वर्णन करते हुए एक KB आलेख का निर्माण करना होगा ... सभी एमएस के बिना

— Tetsujin

4

यदि वे कुंजी चुराते हैं, तो अपने DNS सर्वरों को अपहृत कर लेते हैं ... तो यह किया जा सकता है। अभी भी बहुत संभावना नहीं है।

— डी स्क्लैचर

2

@DSchlachter जो अधिकांश औद्योगिक देशों की जासूसी कोर की क्षमताओं के भीतर अच्छी तरह से है।

— स्नोबोइड

2

कई जवाबों ने सही ढंग से बताया है कि फ्लेम्स मालवेयर द्वारा विंडोज अपडेट प्रक्रिया में एक दोष का इस्तेमाल किया गया था, लेकिन कुछ महत्वपूर्ण विवरणों को सामान्यीकृत किया गया है।

माइक्रोसॉफ्ट के तकनीकी विशेषज्ञ 'सिक्योरिटी रिसर्च एंड डिफेंस ब्लॉग' की इस पोस्ट का शीर्षक: फ्लेम मालवेयर टक्कर अटैक समझाया गया

... डिफ़ॉल्ट रूप से हमलावर का प्रमाणपत्र विंडोज विस्टा या विंडोज के अधिक हाल के संस्करणों पर काम नहीं करेगा। उन्हें एक प्रमाण पत्र बनाने के लिए टकराव का दौरा करना पड़ता था जो कि विंडोज विस्टा या विंडोज के अधिक हाल के संस्करणों पर हस्ताक्षर करने वाले कोड के लिए मान्य होगा। Windows Vista की पूर्व-तिथि के सिस्टम पर, MD5 हैश टक्कर के बिना एक हमला संभव है।

"एमडी 5 कोलिशन अटैक" = अत्यधिक तकनीकी क्रिप्टोग्राफिक विजार्ड्री - जिसे मैं निश्चित रूप से समझने का दिखावा नहीं करता।

जब फ्लेम की खोज की गई और सार्वजनिक रूप से 28 मई 2012 को कैस्परस्की द्वारा खुलासा किया गया , तो शोधकर्ताओं ने पाया कि यह 2007 से विकास के तहत कोड बेस के साथ कम से कम मार्च 2010 से जंगल में काम कर रहा था। हालांकि लौ में संक्रमण के कई अन्य वैक्टर थे, नीचे की रेखा है। कि यह एक भेद्यता की खोज की और पैच होने से पहले कई वर्षों तक अस्तित्व में रही।

लेकिन फ्लेम एक "राष्ट्र राज्य" स्तर का ऑपरेशन था, और जैसा कि पहले ही बताया गया है - एक बहुत ही कम उपयोगकर्ता है जो तीन पत्र एजेंसियों से खुद को बचाने के लिए कर सकता है।

Evilgrade

एवलग्रेड एक मॉड्यूलर फ्रेमवर्क है जो उपयोगकर्ता को नकली अपडेट्स को इंजेक्ट करके खराब अपग्रेड कार्यान्वयन का लाभ लेने की अनुमति देता है। यह पूर्व-निर्मित बायनेरिज़ (एजेंटों) के साथ आता है, जो तेजी से पेंटेस्ट के लिए एक कार्यशील डिफ़ॉल्ट कॉन्फ़िगरेशन है, और इसके पास स्वयं के वेबसर्वर और DNSServer मॉड्यूल हैं। नई बाइनरी एजेंटों को सेट करने के लिए नई सेटिंग्स सेट करना आसान है, और ऑटोकॉन्फ़िगरेशन है।

इस परियोजना की मेजबानी जीथब पर की गई है । यह स्वतंत्र और खुला स्रोत है।

इच्छित उपयोग को उद्धृत करने के लिए:

यह ढाँचा तब चलता है जब हमलावर होस्टनाम पुनर्निर्देशन (पीड़ित के ट्रैफ़िक में छेड़छाड़) में सक्षम होता है ...

अनुवाद: संभावित रूप से आपके (LAN) नेटवर्क पर कोई भी ऐसा व्यक्ति या जो आपके DNS में हेरफेर कर सकता है ... अभी भी डिफ़ॉल्ट उपयोगकर्ता नाम का उपयोग कर रहा है और आपके लिंकस राउटर पर पास हो सकता है ...?

वर्तमान में 63 अलग-अलग "मॉड्यूल" या संभावित सॉफ़्टवेयर अपडेट हैं जो इसे हमला करता है, जैसे कि itunes, vmware, virtualbox, skype, notepad ++, ccleaner, Teamviewer, इत्यादि जैसे नामों के साथ। मुझे यह जोड़ना चाहिए कि इन सभी वल्नों को उनके संबंधित विक्रेताओं द्वारा पैच किया गया था और कोई भी "वर्तमान" संस्करणों के लिए नहीं है, लेकिन हे - जो वैसे भी अपडेट करता है ...

इस वीडियो में प्रदर्शन

— बॉब
स्रोत