virus über xp auto-update?

[SuicideSquad]

hab da mal so was gehört, ist das überhaupt möglich?

 

[Picard]

hm höchst theoretisch ja
denke aber praktisch wohl net

 

[bog]

mindestens 100 pro update-pack.

 

[Gast]

halte ich für absolut denkbar.

da das alles über ne unsichere verbindung läuft musst du theoretisch nur den absender fälschen und ein update vortäuschen, was es nicht gibt.

 

[EnimaN]

naja, ich denke mal es läuft so, dass sich der lokale rechner die informationen von irgendeinem festen server holt, so dass du dann diesem computer eine andere DNS-auflösung zukommen lassen müsstest, was wohl nicht so einfach ist

 

[Gast]

das is nich so kompliziert wie's klingt.
das gabs auch schon (in anderer form): jemand hat einfach mal die hp von ner bank zu sich umgeleitet und fröhlich daten gesammelt.
das problem dürfte sein, dass die abfrage, ob updates vorliegen, ja erstmal ausgelöst werden muss, und das kann man wohl kaum remote erzwingen. obwohl... bei ms is ja alles möglich.

 

[Picard]

naja das wird er wohl über xss gemacht ham ^^
so dumm is ms net, hab hier sogar nen webcast von denen hier worin zwei ms experten vor xss und script insertions warnen ^^

 

[Gast]

gab noch ne methode: einfach mal nen kk-antrag stellen

 

[bog]

das mit dem windowsupdate ist eigentlich recht einfach. du aenderst die windows\system32\drivers\blablabla\hosts datei, haust auf den windowsupdate-host eine andere adressierung und schreibst dir dann einen server, der wie der updateserver, den die automatischen updates von windowsxp benutzen, antwortet. schwupz there you are.

 

[XFreeX]

Ok, es gab da mal den Fall, dass Verisign ein paar MS-Zertifikate verloren gegangen sind. Diese sind aber revoked und der böse Bube kann kein Schindluder mehr mit den Dingern treiben.
Woran das ganze scheitern sollte: Digitale Signatur und Hash.
Ok, MD4 kann man per Hand brechen, MD5 muss man sich ein wenig anstrengen und SHA1 ist auch unter Feuer. Was verwendet eigentlich MS für Hashfunktionen bei ihren Signaturverfahren?

Gruß,
Stefan

 

[Gast]

da hast du sicher mehr ahnung, als wir alle zusammen.
und du hast natürlich mal wieder recht, das hab ich nicht bedacht.

@bog: dann bräuchtest du ja schon remote, oder wie willst du die hosts ändern?

 

[bog]

das macht der benutzer von selbst, nachdem ich ihn bitte es zu tun. schliesslich bin ich bog.

 

[Picard]

lässt sich sicher mit ner social engineering attack durchführen

"Hallo, Microsoft Kundendienst. Wir müssen Sie leider bitten ihre Hosts Datei wie folgt zu ändern..."

 

[[For]Hood2]

Was verwendet eigentlich MS für Hashfunktionen bei ihren Signaturverfahren?

Soweit ich weiss ich einen 256Bit schlüssel. Es ist nicht MD5.

Die hosts zu verändern ist doch keine große Sache. Malware wie VX2, Coolwebsearch und tausend andere, machen das nach Ihrer installation automatisch, vorallem VX2 ist da richtig gut. Die hosts schreib zuschützen hilft da auch nichts.

Ausserdem kann man Bits ohne probleme einen eigenen Downlaod unterschieben und damit ALLES runterladen lassen. In einer der letzten C'ts stand was darüber drin. Wie man das macht etc.

 

[Moep_Dr.Redhec2]

Original geschrieben von XFreeX
Ok, es gab da mal den Fall, dass Verisign ein paar MS-Zertifikate verloren gegangen sind. Diese sind aber revoked und der böse Bube kann kein Schindluder mehr mit den Dingern treiben.
Woran das ganze scheitern sollte: Digitale Signatur und Hash.
Ok, MD4 kann man per Hand brechen, MD5 muss man sich ein wenig anstrengen und SHA1 ist auch unter Feuer. Was verwendet eigentlich MS für Hashfunktionen bei ihren Signaturverfahren?

Gruß,
Stefan

Ich glaube irgendwo gelesen zu haben das MS z.Z. ob Remote Zertifikat oder sonst etwaige Dinge die man verschlüsselt noch über eine AES 256-Bit-Verschlüsselung laufen, mit einigen MS Spezifika welche nicht näher benannt werden, ich glaube schon das MS im Windows selbst dafür gesorgt hat das eine Umleitung über die interne DNS Tabelle von der MSPage weg nicht funktioniert einfach mal testen, 8).

Ansonsten läuft das ganze nicht ganz so einfach weder mit abgreifen des Datenstroms, es werden Hashwerte gegengehalten, auserdem werden die MSZertifikate online validiert, vom Server --> da ran zukommen unmöglich.

Auserdem das Szenario, um das automatische Update umzuleiten bzw den PC dazu zu bringen sich ein gefälschtes Update zu ziehen musst du schon auf dem Rechner sein d.h. kann man sich die Prozedur sparen, das sich die Würmer unbefangen Updates von sonstigen Servern ziehen ist eh klar oder ganze Botnetze untereinander fröhliche client to client telefonie betreiben.