La línea de comandos de Windows no comprueba los certificados revocados: ¿qué tan grave es?

Navega tus respuestas
1

Recientemente actualicé mi controlador de dongle wifi D-link. Sin embargo, tuve que hacer esto a través de la línea de comandos porque Microsoft revocó los certificados D-link después de una fuga. El ejecutable simplemente no se iniciará, con un indicador de UAC rojo bloqueando el ejecutable. Sin embargo, el ejecutable funcionó bien cuando lo inicié desde un símbolo del sistema elevado.

Esto me hizo pensar: un agente hostil podría usar un certificado revocado de una fuente confiable para ocultar el malware como una actualización del controlador y subirlo al sitio web de la fuente en secreto. El usuario descargaría el controlador, intentaría ejecutarlo, fallaría, buscaría en google por qué falla y encontraría el método alternativo y una explicación sobre cómo Microsoft revocó el certificado. A su vez, llegaría a la conclusión de que, dado que descargó el controlador de una fuente confiable, es un falso positivo y usaría el método alternativo, instalando el malware de forma voluntaria. Demonios, instalé el controlador sin tener en cuenta que esto podría ser un problema, solo después lo justifico internamente después de una discusión con la sala de chat del superusuario y una exploración de Virustotal.

Esto puede sonar un poco conspirativo, pero no veo esto como una imposibilidad. ¿O estoy equivocado en eso?

    
pregunta Nzall 16.03.2016 - 23:24
fuente

1 respuesta

3

Dudo mucho que el terminal esté buscando certificados revocados. Lo que me imagino no es un trabajo del terminal en sí sino de UAC. Pero puedo decir que este es el comportamiento esperado. Elevaste los permisos del terminal como administrador. Y se ejecutará todo como administrador por diseño. Esto incluye elevar los procesos secundarios.

En cuanto al mal, no es diferente que engañar a alguien para que ejecute un ejecutable. Por ejemplo, alguien podría necesitar ayuda en un formulario de soporte. Y un usuario malintencionado podría publicar un archivo con instrucciones para ejecutarlo a través de un terminal administrativo. Lo único que detiene el ataque es si la posible víctima es lo suficientemente inteligente como para no hacerlo. O no quiero tratar con la terminal. Es probable que, si van a caer en la trampa, es mejor que el atacante les pida que eviten esto a través de la interfaz de usuario.

Cambiar este comportamiento predeterminado simplemente no va a suceder. De lo contrario, esto interrumpiría los trabajos por lotes / shell silenciosos que dependen de procesos secundarios / externos. Entonces, si tal cosa fuera a parchearse, necesitaría darles una manera de evitar el UAC. Y un hacker tendría exactamente el mismo acceso a ese método de bypass, simplemente agregando otro paso de complicación para una causa discutible. No solo eso, sino también si el archivo no era malicioso y absolutamente necesitaba alguna forma de ejecutarlo.

En última instancia, tuvo que elevar los privilegios a admin para que esto funcione. Lo hiciste voluntariamente sin automatización y un mensaje explicando qué iba a hacer esta elevación. Al hacerlo, tomó la decisión de renunciar a cualquier protección más allá de este punto.

    
respondido por el Bacon Brad 17.03.2016 - 00:06
fuente

Lea otras preguntas en las etiquetas

¿Es segura la carga de imágenes a una base de datos si cambia el tamaño de la imagen primero en bytes sin procesar? ¿Hay una manera de crear entornos separados en su computadora sin forma de detección?