L’infrastruttura WSUS (Windows Server Update Services) permette agli amministratori di sistema di coordinare l’installazione degli aggiornamenti di Windows sui sistemi (server e desktop) all’interno di una singola organizzazione, ma stando a quanto sostengono i ricercatori Paul Stone e Alex Chapman quella stessa infrastruttura può essere compromessa per eseguire comandi malevoli e compromettere i PC connessi alla rete.
Intervenuti all’edizione 2015 della conferenza hacker Black Hat, Stone e Chapman dicono di aver scoperto il modo di bypassare il normale procedimento di firma digitale degli aggiornamenti da parte di Microsoft – usando e “riutilizzando” i file binari già firmati per preparare update malevoli ed eseguire comandi arbitrari.
Se un attore malevolo ha a disposizione l’accesso locale ai sistemi di un’organizzazione, dicono i ricercatori, può modificare i metadati dei file firmati digitalmente da Microsoft; gli aggiornamenti fasulli e i comandi arbitrari possono poi essere eseguiti tramite l’ handler “CommandLineInstallation” o l’utility PsExec .
Nel caso in cui l’organizzazione-bersaglio usi il software di sicurezza di Sophos, a cui PsExec va piuttosto indigesto, i cyber-criminali possono provare a seguire la strada alternativa di BgInfo con un file di configurazione ospitato su una risorsa condivisa di Windows non autenticata.
A peggiorare ulteriormente la sicurezza di WSUS , dicono ancora i ricercatori, c’è poi la disponibilità di un gran numero di aggiornamenti (prevalentemente driver di periferica) firmati e sviluppati da soggetti di terze parti: in questo caso le possibilità di compromissione aumentano sensibilmente.
Alfonso Maruccia
Ti potrebbe interessare
11 ago 2015