La riga di comando di Windows non controlla i certificati revocati: quanto è grave?

Question

La riga di comando di Windows non controlla i certificati revocati: quanto è grave?

#1 da (3 voti)

1

Recentemente ho aggiornato il mio driver dongle wifi D-link. Tuttavia, ho dovuto farlo attraverso la riga di comando perché Microsoft ha revocato i certificati D-link dopo una perdita. L'eseguibile semplicemente non si avvia, con un prompt UAC rosso che blocca l'eseguibile. Tuttavia, l'eseguibile funzionava perfettamente quando l'ho avviato da un prompt dei comandi con privilegi elevati.

Questo mi ha fatto pensare: un agente ostile potrebbe utilizzare un certificato di sicurezza revocato proveniente da una fonte attendibile per nascondere il malware come aggiornamento del driver e caricarlo segretamente sul sito Web della sorgente. L'utente dovrebbe scaricare il driver, provare ad eseguirlo, fallire, google perché non riesce e trovare il metodo alternativo e una spiegazione su come Microsoft ha revocato il certificato. A sua volta, ha concluso che, dal momento che ha scaricato l'autista da una fonte attendibile, è un falso positivo e userebbe il metodo alternativo, installando volentieri il malware. Cavolo, ho installato il driver senza considerare che questo potrebbe essere un problema, solo dopo giustificarlo internamente dopo aver discusso con la chat di Super User e con una scansione di Virustotal.

Potrebbe sembrare un po 'cospirativo, ma non lo vedo come impossibile. O mi sbaglio in questo?

windows driver malware social-engineering

posta Nzall 16.03.2016 - 23:24

fonte

1 risposta

Leggi altre domande sui tag windows driver malware social-engineering

Come testare manualmente l'attacco DROWN? Optimizr, è sicuro o spam? [chiuso]

score 3 · Accepted Answer

Dubito strongmente che il terminale stia cercando certificati revocati. Che immagino non sia un lavoro del terminale stesso ma UAC. Ma posso dire che questo è un comportamento previsto. Hai elevato le autorizzazioni del terminale come amministratore. E gestirà tutto come amministratore in base alla progettazione. Ciò include l'elevazione dei processi figli.

Per quanto grave non sia diverso, indurre qualcuno a eseguire un eseguibile. Per esempio qualcuno potrebbe aver bisogno di aiuto in un modulo di supporto. E un utente malintenzionato potrebbe pubblicare un file con le istruzioni per eseguirlo tramite un terminale amministrativo. L'unica cosa che ferma l'attacco è se la potenziale vittima è abbastanza intelligente da non farlo. O non vuoi avere a che fare con il terminale. È probabile che, se hanno intenzione di innamorarsene, l'attaccante è meglio parlarne in modo da aggirare questo attraverso l'interfaccia utente comunque.

Cambiare questo comportamento predefinito non sta per accadere. Altrimenti ciò interromperà i processi batch / shell silenziosi che si basano su processi figlio / esterni. Quindi, se una cosa del genere dovesse essere rattoppata, avresti bisogno di dare loro un modo per aggirare l'UAC. E un hacker avrebbe esattamente lo stesso accesso a quel metodo di bypass semplicemente aggiungendo un altro passo di complicazione per una causa controvoglia. Non solo, ma cosa succederebbe se il file non fosse affatto dannoso e fosse assolutamente necessario un modo per eseguirlo.

In definitiva, dovevi elevare i privilegi di amministratore per far funzionare questo. Lo hai fatto volentieri senza automazione e una rapida spiegazione di ciò che questa elevazione avrebbe fatto. In questo modo hai fatto la tua scelta di rinunciare a qualsiasi protezione oltre questo punto.