Hallo,

ich habe mich in diesem Forum angemeldet, weil ich eine Frage habe bei der ich denke, dass man mir hier am ehesten darauf antworten kann.

Windows XP und Windows Vista verfügen über eine Auto-Update-funktion. Jetzt wechseln die Server von Microsoft, die die Updates bereitstellen regelmässig. Die Updatefunktion fragt soweit ich weiss also nicht immer bei einem festen Server an sondern sucht irgendwie fast schon wildcardmässig. Korrigiert mich bitte, wenn ich falsch liege. Worauf ich hinaus will:
Ist es theoretisch möglich, dass WindowsUpdate sich als Update getarnte Malware runterläd und installiert, wenn jemand an die eigene IP-Adresse auf einen Port, wo WindowsUpdate vielleicht lauscht (tut es das ?) bestimmte Pakete hinsendet. Ich kenne mich nicht besonders gut aus, ich hoffe dass es nachvollziehbar rüberkommt, was ich meine.
Und: Falls es möglich ist wäre eine Einschätzung, welcher *hust* ich nenne es mal "Skill" des Angreifers nötig wäre, um so etwas zu realisieren noch ganz gut . Danke.

mfg

Hi,

nette Idee. Erst mal (so für den Fall der Fälle, Du verstehst schon, das ist ein Forum für Sicherheit) gibt es hier keine Anleitung.

Wäre auch nicht möglich. Erstmal lauscht das Windowsupdate nicht mit offenen Ports im Internet. Dann würde es hinter einem Router nicht funktionieren, jedenfalls nicht ohne auf dem Router eine Portweiterleitung einzurichten. Und wer bekommt die, wenn da mehrere Windows-Rechner sind?

Das Windowsupdates funktioniert im Prinzip so, wie Du mit dem Webbrowser eine Seite lädst. Die Initiative zum Verbindungsaufbau geht von deinem System aus.

Schließlich sind die Windowsupdates mit einer digitalen Signatur versehen. Die kann zwar auf jedem Rechner auf Gültigkeit geprüft werden, kann aber nur mit einem geheimgehaltenen Schlüssel erzeugt werden. Mach mal ein manuelles Update und Du wirst den Zwischenschritt "Update wird verifiziert" (oder ähnlich heißend) sehen. Irgendeine beliebige Software würde das System nicht als Update akzeptieren, selbst wenn es möglich wäre, sie einem unterzuschieben. Bei Mithilfe des Providers wäre es denkbar. In der Richtung kann man sich aber eher Sorgen machen, wenn man andere Installationsdateien aus dem Netz lädt, die oft nicht signiert sind Oder noch schlimmer: Die signiert wurden, obwohl sie Malware sind. Wobei es auch nicht Aufgabe einer Singaturstelle ist, zu prüfen, ob es Malware ist.

Ach ja: Ich hab noch ein Windows 2000, das macht auch schon automatische Updates.

Gruß, Karl

Danke, für die ausführliche Antwort. Das klingt ja beruhigend. Wie kommst du auf die Idee, dass ich eine "Anleitung" haben wollte ?
Das Szenario wenn mehrere Rechner am Router hängen, welcher dann das Update bekommen würde, hab ich mir auch schon gedacht - das hebelt das ganze ja praktisch schon aus.
Dass die Initiative von mir ausgeht, habe ich deshalb angezweifelt, weil ich Herunterladen&Installieren der Updates in den Optionen auf Nachts 2:00 habe... und sich Windows aber gestern um 19:00 gemeldet hat es gäbe neue Updates zu installieren. Das bedeutet ja dann mindestens, dass er doch öfter "Anfragen" macht, als der User das einstellt.
Das mit der Prüfung: kann ich mir das so vorstellen, dass Windows von einer festgelegten vertrauenswürdigen Quelle einen Key oder Hash bekommt und vom User unbemerkt die Installationsdateien für das Update checkt, bevor es installiert wird ?

mfg

Zitat:

Zitat von Cord

Das bedeutet ja dann mindestens, dass er doch öfter "Anfragen" macht, als der User das einstellt.

Ja, Windows hat auch schon Updates gemacht obwohl die Nutzer eindeutig eingestellt haben: NEIN, KEIN automatisches Update.

Zitat:

Ja, Windows hat auch schon Updates gemacht obwohl die Nutzer eindeutig eingestellt haben: NEIN, KEIN automatisches Update.

hmm... das kann mal aber so viel ich weis umgehen ... geht das nicht mit XPAntiSpy ??


Gruß: Pro-Burner

Dies könnte man auch anders und intelligenter umgehen. Wobei die Frage (prinzipiell) wäre warum, und warum soll ich so einem Schwachsinn wie XP-Antispy vertrauen, wenn ich MS nicht vertraue.
MS dürfte daraus gelernt haben, da MS seinen Ruf nicht gänzlich ruinieren will.
Auch wenn das ungenehmigte Update sicherheitsrelevant war, ungenehmigt ist ungenehmigt. Vermutlich war das Update (welches eben diese Updatefunktion betraf, eben dazu da, um mögliche Sicherheitsprobleme beim Update zu beheben.)