19Jul
C'est un moment effrayant d'être un utilisateur Windows. Lenovo regroupait les adware Superfish détournant HTTPS, Comodo est livré avec un trou de sécurité encore pire appelé PrivDog, et des dizaines d'autres applications comme LavaSoft font la même chose. C'est vraiment mauvais, mais si vous voulez que vos sessions Web cryptées soient piratées, dirigez-vous vers CNET Downloads ou n'importe quel site freeware, car ils regroupent tous des logiciels publicitaires HTTPS-rupture maintenant.
Le fiasco de Superfish a commencé lorsque les chercheurs ont remarqué que Superfish, installé sur des ordinateurs Lenovo, installait un faux certificat racine dans Windows qui détourne essentiellement toute navigation HTTPS pour que les certificats semblent toujours valides même s'ils ne le sont pas, et ils l'ont faitun moyen peu sûr que n'importe quel script kiddie hacker pourrait accomplir la même chose.
Et puis ils installent un proxy dans votre navigateur et forcent tout votre navigation à travers elle afin qu'ils puissent insérer des annonces. C'est vrai, même lorsque vous vous connectez à votre banque, ou votre site d'assurance maladie, ou à tout autre endroit qui devrait être sécurisé.Et vous ne le sauriez jamais, car ils ont brisé le cryptage Windows pour vous montrer des publicités.
Mais le fait triste et triste est qu'ils ne sont pas les seuls à le faire - adware comme Wajam, Geniusbox, Content Explorer, et d'autres font exactement la même chose , l'installation de leurs propres certificats et forçant toute votre navigation( y compris les sessions de navigation cryptées HTTPS) pour passer par leur serveur proxy. Et vous pouvez être infecté par ces absurdités simplement en installant deux des 10 meilleures applications sur téléchargements CNET.
L'essentiel est que vous ne pouvez plus faire confiance à cette icône de cadenas vert dans la barre d'adresse de votre navigateur. Et c'est une chose effrayante et effrayante.
Comment fonctionne le logiciel publicitaire HTTPS-Hijacking, et pourquoi c'est si mauvais
Comme nous l'avons déjà montré, si vous faites l'énorme erreur gigantesque de faire confiance aux Téléchargements CNET, vous pourriez déjà être infecté par ce type d'adware. Deux des dix premiers téléchargements sur CNET( KMPlayer et YTD) regroupent deux types différents d'adware HTDPS-détournement , et dans notre recherche nous avons constaté que la plupart des autres sites freeware font la même chose.
Remarque: les installateurs sont si compliqués et compliqués que nous ne savons pas qui est techniquement faisant le "bundling", mais CNET fait la promotion de ces applications sur leur page d'accueil, donc c'est vraiment une question de sémantique. Si vous recommandez que les gens téléchargent quelque chose qui est mauvais, vous êtes également fautif. Nous avons également constaté que beaucoup de ces sociétés publicitaires sont secrètement les mêmes personnes utilisant des noms de sociétés différents.
Basé sur les numéros de téléchargement de la liste des 10 premiers téléchargements CNET, un million de personnes sont infectées chaque mois par des logiciels publicitaires qui piratent leurs sessions Web cryptées à leur banque, ou par courriel, ou tout ce qui devrait être sécurisé.
Si vous avez fait l'erreur d'installer KMPlayer, et que vous parvenez à ignorer tous les autres crapware, vous verrez apparaître cette fenêtre. Et si vous cliquez accidentellement sur Accepter( ou appuyez sur la mauvaise touche) votre système sera numéroté.
Si vous avez fini par télécharger quelque chose à partir d'une source encore plus sommaire, comme les annonces de téléchargement dans votre moteur de recherche préféré, vous verrez toute une liste de choses qui ne sont pas bonnes. Et maintenant, nous savons que beaucoup d'entre eux vont complètement casser la validation du certificat HTTPS, vous laissant complètement vulnérable.
Une fois que vous vous êtes infecté par l'une de ces choses, la première chose qui arrive est qu'il définit votre proxy système pour exécuter un proxy local qu'il installe sur votre ordinateur. Portez une attention particulière à l'élément "sécurisé" ci-dessous. Dans ce cas, il s'agissait de Wajam Internet "Enhancer", mais ce pourrait être Superfish ou Geniusbox ou l'un des autres que nous avons trouvé, ils fonctionnent tous de la même manière.
Quand vous allez sur un site qui devrait être sécurisé, vous verrez l'icône de verrou vert et tout aura l'air parfaitement normal. Vous pouvez même cliquer sur le cadenas pour voir les détails, et tout ira bien. Vous utilisez une connexion sécurisée, et même Google Chrome signalera que vous êtes connecté à Google avec une connexion sécurisée. Mais vous n'êtes pas!
System Alerts LLC n'est pas un vrai certificat racine et vous êtes en train de passer par un proxy Man-in-the-Middle qui insère des publicités dans les pages( et qui sait quoi d'autre).Vous devriez juste les envoyer tous vos mots de passe, ce serait plus facile.
Une fois que le logiciel publicitaire est installé et que vous transmettez par proxy tout votre trafic, vous commencerez à voir des publicités vraiment désagréables partout. Ces annonces s'affichent sur des sites sécurisés, comme Google, remplaçant les annonces Google réelles, ou apparaissent en tant que pop-up partout, prenant le contrôle de tous les sites.
La plupart de ce logiciel publicitaire montre des liens «ad» à des logiciels malveillants pur et simple. Ainsi, alors que l'adware lui-même peut être une nuisance juridique, ils permettent de vraiment, vraiment de mauvaises choses.
Ils accomplissent ceci en installant leurs faux certificats de racine dans le magasin de certificat de Windows et puis en mandatant les connexions bloquées tout en les signant avec leur faux certificat.
Si vous regardez dans le panneau Certificats Windows, vous pouvez voir toutes sortes de certificats complètement valides. .. mais si votre PC a un type d'adware installé, vous allez voir des choses fausses comme System Alerts, LLC, ou Superfish, Wajam,ou des dizaines d'autres contrefaçons.
Même si vous avez été infecté puis supprimé le logiciel malveillant, les certificats peuvent toujours être présents, ce qui vous rend vulnérable aux autres pirates informatiques qui auraient pu extraire les clés privées. La plupart des programmes d'installation de logiciels publicitaires ne suppriment pas les certificats lorsque vous les désinstallez.
Ils sont tous des attaques de l'homme dans le milieu et voici comment ils fonctionnent
Si votre PC a de faux certificats racine installés dans le magasin de certificats, vous êtes maintenantvulnérable aux attaques Man-in-the-Middle. Cela signifie que si vous vous connectez à un hotspot public, ou que quelqu'un accède à votre réseau, ou parvient à pirater quelque chose en amont de vous, il peut remplacer les sites légitimes par de faux sites. Cela peut sembler farfelu, mais les pirates ont été en mesure d'utiliser des détournements de DNS sur certains des plus grands sites sur le web pour détourner les utilisateurs vers un faux site.
Une fois piraté, il peut lire tout ce que vous soumettez à un site privé: mots de passe, informations privées, informations de santé, courriels, numéros de sécurité sociale, informations bancaires, etc. Et vous ne le saurez jamais car votre navigateur vous le diravous que votre connexion est sécurisée.
Cela fonctionne parce que le cryptage de clé publique requiert à la fois une clé publique et une clé privée. Les clés publiques sont installées dans le magasin de certificats et la clé privée ne doit être connue que par le site Web que vous visitez. Mais lorsque des attaquants peuvent pirater votre certificat racine et contenir à la fois les clés publiques et privées, ils peuvent faire ce qu'ils veulent.
Dans le cas de Superfish, ils utilisaient la même clé privée sur chaque ordinateur sur lequel Superfish était installé, et en quelques heures, les chercheurs en sécurité pouvaient extraire les clés privées et créer des sites Web pour tester si vous étiez vulnérable, et prouver que vouspourrait être détourné.Pour Wajam et Geniusbox, les clés sont différentes, mais Content Explorer et d'autres adwares utilisent également les mêmes clés partout, ce qui signifie que ce problème n'est pas unique à Superfish.
: pire encore: la plupart de cette bêtise désactive complètement la validation HTTPS
Hier encore, les chercheurs en sécurité ont découvert un problème encore plus important: tous ces proxys HTTPS désactivent toute validation tout en donnant l'impression que tout va bien.
Cela signifie que vous pouvez aller sur un site Web HTTPS qui a un certificat complètement invalide, et ce logiciel publicitaire vous dira que le site est très bien. Nous avons testé le logiciel publicitaire dont nous avons parlé précédemment et ils désactivent tous la validation HTTPS entièrement, donc peu importe si les clés privées sont uniques ou non. Horriblement mauvais!
Toute personne ayant un adware installé est vulnérable à toutes sortes d'attaques, et dans de nombreux cas, reste vulnérable même lorsque l'adware est supprimé.
Vous pouvez vérifier si vous êtes vulnérable à Superfish, Komodia ou à un contrôle de certificat invalide en utilisant le site de test créé par des chercheurs en sécurité, mais comme nous l'avons déjà démontré, il y a beaucoup plus d'adware qui font la même chose.la recherche, les choses vont continuer à empirer.
Protégez-vous: Vérifiez le panneau Certificats et supprimez les mauvaises entrées
Si vous êtes inquiet, vous devriez vérifier votre magasin de certificats pour vous assurer que vous n'avez aucun certificat détaillé qui pourrait être activé par le serveur proxy de quelqu'un. Cela peut être un peu compliqué, car il y a beaucoup de choses là-dedans, et la plus grande partie est censée être là.Nous n'avons pas non plus une bonne liste de ce qui devrait et ne devrait pas être là.
Utilisez WIN + R pour ouvrir la boîte de dialogue Exécuter, puis tapez "mmc" pour afficher une fenêtre Microsoft Management Console. Ensuite, utilisez Fichier - & gt;Ajouter / Supprimer des composants logiciels enfichables et sélectionnez Certificats dans la liste sur la gauche, puis ajoutez-le sur le côté droit. Assurez-vous de sélectionner le compte d'ordinateur dans la boîte de dialogue suivante, puis cliquez sur le reste.
Vous voudrez aller aux autorités de certification de racine de confiance et rechercher des entrées vraiment sommaires comme l'un de ceux-ci( ou quelque chose de semblable à ceux-ci)
- Sendori
- Purelead
- Rocket Tab
- Super Fish
- Lookthisup
- Pando
- Wajam
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root( Fiddler est un outil de développement légitime, mais les logiciels malveillants ont détourné leur CERT
- System Alerts, LLC
- CE_UmbrellaCert
Cliquez avec le bouton droit de la souris et supprimez toutes les entrées que vous trouvez. Si vous avez vu quelque chose d'incorrect lorsque vous avez testé Google dans votre navigateur, assurez-vous de supprimer celui-ci aussi. Faites attention, car si vous supprimez les mauvaises choses ici, vous allez casser Windows.
Nous espérons que Microsoft publiera quelque chose pour vérifier vos certificats racine et s'assurer que seuls les bons sont là.Théoriquement, vous pouvez utiliser cette liste de Microsoft des certificats requis par Windows, puis mettre à jour les certificats racine les plus récents, mais cela n'est pas encore testé à ce stade, et nous ne le recommandons vraiment que lorsque quelqu'un le testera.
Ensuite, vous devrez ouvrir votre navigateur Web et trouver les certificats qui y sont probablement mis en cache. Pour Google Chrome, accédez à Paramètres, Paramètres avancés, puis Gérer les certificats. Sous Personal, vous pouvez facilement cliquer sur le bouton Supprimer de tous les certificats incorrects. ..
Mais lorsque vous allez dans les autorités de certification racine de confiance, vous devez cliquer sur Avancé, puis décocher tout ce que vous voyez pour ne plus accorder d'autorisations à ce certificat. ..
Mais c'est de la folie.
Allez au bas de la fenêtre Paramètres avancés et cliquez sur Réinitialiser les paramètres pour réinitialiser complètement Chrome aux valeurs par défaut. Faites de même pour tout autre navigateur que vous utilisez, ou désinstallez complètement, effacez tous les paramètres, puis réinstallez-le.
Si votre ordinateur a été affecté, vous feriez probablement mieux de faire une installation complètement propre de Windows. Assurez-vous simplement de sauvegarder vos documents et images et tout cela.
Alors, comment vous protégez-vous?
Il est presque impossible de vous protéger complètement, mais voici quelques conseils de bon sens pour vous aider:
- Consultez le site de test de validation de Superfish / Komodia / Certification.
- Activez Click-To-Play pour les plugins dans votre navigateur, ce qui vous aidera à vous protéger de tous ces trous de sécurité Flash et autres plug-ins.
- Faites très attention à ce que vous téléchargez et essayez d'utiliser Ninite quand vous devez absolument.
- Faites attention à ce que vous cliquez à chaque fois que vous cliquez.
- Pensez à utiliser EMET( Enhanced Mitigation Experience Toolkit) ou Malwarebytes Anti-Exploit de Microsoft pour protéger votre navigateur et d'autres applications critiques contre les failles de sécurité et les attaques zero-day.
- Assurez-vous que tous vos logiciels, plugins et anti-virus restent à jour, y compris les mises à jour Windows.
Mais c'est beaucoup de travail pour simplement vouloir naviguer sur le web sans être piraté.C'est comme traiter avec la TSA.
L'écosystème Windows est une cavalcade de crapware. Et maintenant, la sécurité fondamentale d'Internet est brisée pour les utilisateurs de Windows. Microsoft a besoin de résoudre ce problème.