Alfonso Maruccia

WSUS, aziende a rischio con update compromessi

I ricercatori intervenuti alla conferenza Black Hat trovano il modo di abusare del sistema di installazione degli aggiornamenti di Windows in ambito enterprise per compromettere l'intera rete aziendale

Roma - L'infrastruttura WSUS (Windows Server Update Services) permette agli amministratori di sistema di coordinare l'installazione degli aggiornamenti di Windows sui sistemi (server e desktop) all'interno di una singola organizzazione, ma stando a quanto sostengono i ricercatori Paul Stone e Alex Chapman quella stessa infrastruttura può essere compromessa per eseguire comandi malevoli e compromettere i PC connessi alla rete.

Intervenuti all'edizione 2015 della conferenza hacker Black Hat, Stone e Chapman dicono di aver scoperto il modo di bypassare il normale procedimento di firma digitale degli aggiornamenti da parte di Microsoft - usando e "riutilizzando" i file binari già firmati per preparare update malevoli ed eseguire comandi arbitrari.

Se un attore malevolo ha a disposizione l'accesso locale ai sistemi di un'organizzazione, dicono i ricercatori, può modificare i metadati dei file firmati digitalmente da Microsoft; gli aggiornamenti fasulli e i comandi arbitrari possono poi essere eseguiti tramite l'handler "CommandLineInstallation" o l'utility PsExec.
Nel caso in cui l'organizzazione-bersaglio usi il software di sicurezza di Sophos, a cui PsExec va piuttosto indigesto, i cyber-criminali possono provare a seguire la strada alternativa di BgInfo con un file di configurazione ospitato su una risorsa condivisa di Windows non autenticata.

A peggiorare ulteriormente la sicurezza di WSUS, dicono ancora i ricercatori, c'è poi la disponibilità di un gran numero di aggiornamenti (prevalentemente driver di periferica) firmati e sviluppati da soggetti di terze parti: in questo caso le possibilità di compromissione aumentano sensibilmente.

Alfonso Maruccia
Notizie collegate
  • TecnologiaWindows 10, update e freemiumArriva il primo, misterioso aggiornamento cumulativo per Windows 10, mentre la corporation di Redmond continua a vendere funzionalità a pagamento prima incluse nel pacchetto. Mentre il Menu Start viene premiato dai designer
5 Commenti alla Notizia WSUS, aziende a rischio con update compromessi
Ordina