Windows Update gebruikt voor verspreiden malware
Windows Update wordt niet alleen gebruikt voor het installeren van patches en andere Microsoft updates, ook virusschrijvers gebruiken de technologie om hun malware creaties bij te werken. Eind maart werd er een Trojaans paard ontdekt dat het Windows onderdeel BITS (Background Intelligent Transfer Service) gebruikte om aanvullende malware bestanden te downloaden. BITS is de belangrijkste service waarmee Windows Update het besturingssysteem up to date houdt.
Het is een asynchrone download service die in de achtergrond draait, en patches, updates en andere bestanden downloadt zonder al teveel bandbreedte in beslag te nemen. Het ondersteunt HTTP en kan via de COM API geprogrammeerd worden, waarmee het de ideale tool is om Windows van alles te laten downloaden.
Voor virusschrijvers is BITS interessant omdat het een onderdeel van het besturingssysteem is, en daardoor niet gestopt wordt door de lokale firewall. Aanvallers hoeven geen verdachte acties uit te voeren, zoals het uitschakelen van de firewall of het injecteren van kwaadaardige code in Internet Explorer of Svchost processen. Op dit moment is er geen oplossing voor dit soort aanvallen. Het is namelijk niet eenvoudig om te controleren wat BITS mag downloaden en wat niet, zo waarschuwt Symantec.
me svhost sinds een paar dagen. Ik ben benieuwd hoelang het duurt
voordat m$ een patch hiervoor maakt, als ze die al maken...
Slim gevonden
Ja de crackers slapen niet MR.Gates
En jouw oplossing was ...?
installeren van patches en andere Microsoft updates, ook
virusschrijvers gebruiken de technologie om hun malware
creaties bij te werken.
Tja, dat krijg je als je geen goed permissie systeem hebt!
Hoe anders kan een virus zo'n belangrijke service gebruiken.
Hmmm zou dat soms de reden zijn waarom ik zoveel problemen
heb met
me svhost sinds een paar dagen. Ik ben benieuwd hoelang het
duurt
voordat m$ een patch hiervoor maakt, als ze die al
maken...
hernoem in SAFE MODE de mappen
%systemroot%/Softwaredistribution en
%systemroot%/system32/Softwaredistribution herstraten, en
weg zijn je problemen met svhost.
Heeft te maken met een corrupte locale windows update store.
enjoy
http://msdn2.microsoft.com/en-us/library/aa363160.aspx
Het enige "vreemde" aan dit verhaal is dat het nog niet eerder in malware is (ge|mis)bruikt.
een kennis.
Direct na installatie Windows, de Windows updates gedownload.
Keurig netjes werden de updates gedownload.
Na het opstarten PC, meteen weer naar de Windows update
site geweest.
Wat stond er bij de update geschiedenis ? Alle updates
mislukt !
Huh? FF kijken of er misschien wat in de map C staat.
Ja dus, bom vol troep.
Virusscanner melde helemaal niets tijdens het downloaden van
de updates.
Format C, Windows opnieuw geinstalleerd, en meteen TCP View
erop gezet.
Opnieuw naar de site van Windows Update gegaan.
TCP Vieuw aangezet.
1 keer raden? Juist, de updates kwamen van niet van MS
ipnummers.
Pas toen ik een andere cd had opgehaald met Servicepack 2,
lukte het wel om de pc te installeren met orginele Windows
updates.
mijn RSS reader dacht ik dat het ging over de updates die
deze week uitkwamen, maar het blijkt om de TECHNOLOGIE te
gaan. Lijkt er op een voorpagina van de Prive of Story zo
met die misleidende kop!
Er valt zelfs weinig te cracken.. Het is een gewone API die
beschikbaar is..
http://msdn2.microsoft.com/en-us/library/aa363160.aspx
Het enige "vreemde" aan dit verhaal is dat het nog
niet eerder in malware is (ge|mis)bruikt.
Je bedoeld natuurlijk dat er nog niet eerder een malware
versie is gewvonden die hier actief misbruik van maakt, wat
niet wil zeggen dat deze er niet zijn nietwaar.
Maar kijk ook weer eens naar het design: "... omdat het een
onderdeel van het besturingssysteem is, en [daardoor] niet gestopt wordt
door de lokale firewall."
Wat een "harebrained" ontwerp weer...
Precies. En dan kan Symantect wel weer negatieve dingen roepen, maar
ook hun firewall houd het niet tegen. Ook zij verkopen dus een slecht
product, ondanks dat ze van dit zwakke schakel weten. Als je Windows niet
vertrouwd en daardoor dus beveiligingsproducten gaat kopen moet dat wel
werken. Nu vertrouwen we naast Windows ook de beveiligingsprodukten
van o.a. Symantec niet meer. Waar gaat het heen met deze wereld?
misbruikt, maar BITS wordt misbruikt. Dat BITS wordt gebruikt om de
Windows updates op te halen, maakt de update service niet de schuldige.
BITS kan je ook gewoon gebruiken om je normale downloads binnen te
halen, zonder dat je de bandbreedte teveel belast. Het kan via de
command prompt of via het gratis proggie WINBITS.
En dan nog te bedenken dat dit mensen zijn die er niet eens zoveel
verstand van hebben, en nog nooit Linux o.i.d. geinstalleerd hebben.
Maar kijk ook weer eens naar het design: "... omdat het een onderdeel van het besturingssysteem is, en [daardoor] niet gestopt wordt door de lokale firewall."
Wat een "harebrained" ontwerp weer...
Precies. En dan kan Symantect wel weer negatieve dingen roepen, maar ook hun firewall houd het niet tegen. Ook zij verkopen dus een slecht product, ondanks dat ze van dit zwakke schakel weten.
Firewalls in het algemeen niet werken en makkelijk te omzeilen zijn door je voor te doen als iets wat wel toegestaan is.
niet automatisch hoeft te gebeuren waardoor je de te
installeren updates kunt controleren en dan zal men eerst
admin moeten zijn om dit te doen, ervan uitgaande dat de
machine zo is geconfigureert...
Geen admin rechten = geen automatische installatie van
'updates'......
Het is een veronderstelling
de achtergrond worden gedownload en eventueel geinstalleerd
worden. Dit gaat buiten de, op dat moment, ingelogde
gebruiker om.
woensdag 9 mei 2007 grote problemen met pc's die gedurende kortere of
langere tijd niet meer te gebruiken waren! Dit was m.i. te wijtten aan
malware die geladen werd buiten WSUS om of in ieder geval toegestaan
werd. Met BITS dus volgens mij! Pas na het langdurig laden van nieuwe
updates van Microsoft draaiden de pc's weer enigzins normaal.
Waanzinnig veel tijdverlies!!
Zijn er meerdere mensen die deze problemen hadden en wat is de
consequentie nu eigenlijk?
maar we begrijpen niet helemaal hoe een derde partij malware op onze
machine kan installeren. Zover ik het zie, maakt Microsoft iedere maand
contact met mijn machine, en ziet welke update ik nog moet hebben.
Vervolgens geef ik dan aan welke updates ik wil installeren.
Wat we nu niet begrijpen is hoe een derde partij updates zou willen
installeren . Gaat dit alleen als ik een trojan [ server ] heb binnen gehaald ?
of kan een derde partij ook een "update installeren" zonder dat ik daarvoor
toestemming heb gegeven. ???
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
