偽のウィンドウの更新

はい、それは本当だ。

Flameマルウェア Windowsの更新プロセスの欠陥を介してユーザーを攻撃しました。作成者は、Windows更新システムにセキュリティホールを見つけ、被害者をだまして、自分のパッチにマルウェアが含まれているのは本物のWindows更新であると思い込ませました。

マルウェアの標的は自分自身を守るために何ができますか？あまりない。 Flameは何年も検出されないままでした。

ただし、Microsoftは現在、FlameがWindowsアップデートとして自身を隠すことができるセキュリティホールにパッチを適用しています。つまり、ハッカーは新しいセキュリティホールを見つけるか、Microsoftに賄賂を渡して更新に署名する能力を与えるか、単にMicrosoftから署名キーを盗む必要があります。

さらに、攻撃者は中間者攻撃を実行するためにネットワーク内の位置にいる必要があります。

つまり、これは実際には、NSAのような国家攻撃者からの防御を考える場合に心配する必要がある問題にすぎないということです。

回答の多くは、Windows更新プロセスの欠陥がFlameマルウェアによって使用されたことを正しく指摘していますが、重要な詳細の一部は一般化されています。

マイクロソフトテクネットの「セキュリティ研究と防御ブログ」というタイトルのこの投稿： Flame Malware衝突攻撃の説明

...デフォルトでは、攻撃者の証明書はWindows Vista以降のバージョンのWindowsでは機能しません。 Windows Vista以降のバージョンのWindowsでのコード署名に有効な証明書を偽造するには、衝突攻撃を実行する必要がありました。 Windows Vistaより前のシステムでは、MD5ハッシュの衝突なしに攻撃が可能です。

"MD5 Collision Attack" =非常に技術的な暗号の魔法-私は確かに理解するふりはしません。

2012年5月28日にFlameが発見され、公開された Kasperskyによって公開された のとき、研究者たちは、少なくとも2010年3月以降、野生で動作しており、2007年から開発中のコードベースを使用していることを発見しました。感染の経路としては、この1つの脆弱性が発見され、パッチが適用されるまで数年間存在していたということです。

しかし、Flameは「国民国家」レベルの作戦であり、すでに指摘したように、通常のユーザーが3文字の機関から身を守るためにできることはほとんどありません。

悪悪

Evilgradeは、ユーザーが偽の更新を挿入することにより、貧弱なアップグレード実装を利用できるようにするモジュラーフレームワークです。事前に作成されたバイナリ（エージェント）、高速ペンテスト用の動作するデフォルト構成が付属しており、独自のWebServerおよびDNSServerモジュールを備えています。新しい設定のセットアップが簡単で、新しいバイナリエージェントが設定されると自動設定が行われます。

プロジェクトは Github でホストされています。無料でオープンソースです。

使用目的を引用するには：

このフレームワークは、攻撃者がホスト名のリダイレクト（被害者のDNSトラフィックの操作）を行うことができるときに機能します...

翻訳：あなたと同じ（LAN）ネットワーク上の誰か、またはあなたのDNSを操作できる誰か...まだデフォルトのユーザー名を使用しており、あなたのlinksysルーターを通過する可能性があります...？

現在、63の異なる「モジュール」または攻撃される可能性のあるソフトウェアアップデートがあり、iTunes、vmware、virtualbox、skype、notepad ++、ccleaner、Teamviewerなどの名前が付けられています。これらのすべての脆弱性はそれぞれのベンダーによってパッチが適用され、どれも「現在の」バージョン用ではありませんが、ちょっと-とにかく誰が更新を行うのか...

このデモ ビデオ

Windowsソフトウェアの更新には、Windows Updateコントロールパネルのみを使用してください。完全に信頼できないサイトではクリックスルーしないでください。