Nieuws

WSUS laat aanvaller besmette Windows-updates verspreiden

vrijdag 7 augustus 2015, 11:08 door Redactie, 6 reacties

Bedrijven en organisaties die hun Windows Server Update Services (WSUS) niet veilig hebben geconfigureerd geven aanvallers de mogelijkheid om het gehele bedrijfsnetwerk van besmette Windows-updates te voorzien. WSUS fungeert als een proxy voor Windows Update. Bedrijven kunnen via WSUS Windows-updates effectief binnen hun lokale netwerk uitrollen.

In plaats van dat alle bedrijfscomputers met de servers van Microsoft verbinding maken om updates te downloaden, wordt dit één keer gedaan door WSUS. De WSUS-server staat in het bedrijfsnetwerk opgesteld en alle aangesloten bedrijfscomputers zullen vervolgens hun Windows-updates via de WSUS-server downloaden. Standaard staat WSUS echter niet ingeschakeld om HTTPS te gebruiken. Een aanvaller die al toegang tot het bedrijfsnetwerk heeft kan hier gebruik van maken om vervolgens andere bedrijfscomputers over te nemen.

Dat hebben onderzoekers Paul Stone en Alex Chapman tijdens de Black Hat conferentie in Las Vegas gedemonstreerd (pdf). Om aanvallen via Windows-updates te voorkomen accepteert Windows alleen updates die door Microsoft zijn gesigneerd. De onderzoekers lieten echter zien dat een aanvaller door Microsoft gesigneerde bestanden kan hergebruiken om kwaadaardige updates te injecteren, waarmee vervolgens willekeurige commando's op de aangevallen computers zijn uit te voeren.

De aanval is volgens Stone en Chapman eenvoudig te voorkomen, namelijk het instellen van SSL. De meeste bedrijven zouden dit ook doen, zo laten ze tegenover SC Magazine weten. Bedrijven die het niet hebben ingesteld lopen echter het risico dat een systeembeheerder in één keer het gehele bedrijfsnetwerk kan compromitteren, aldus de onderzoekers. Naast het inschakelen van SSL door bedrijven die WSUS gebruiken, kan ook Microsoft de beveiliging opschroeven. De softwaregigant zou namelijk een apart certificaat voor het signeren van Windows-updates moeten gebruiken.

Nieuwe privacytool beschermt tegen online tracking

Chrome gaat misleidende inline-installaties blokkeren

Reacties (6)

07-08-2015, 11:18 door Anoniem

Het is dan ook natuurlijk de schuld van "bedrijven" dat redmond standaard allerlei steken laat vallen.

07-08-2015, 11:41 door karma4

De onkunde bij de bedrijven "Bedrijven en organisaties die hun Windows Server Update Services (WSUS) niet veilig hebben geconfigureerd" is de schul van Redmond. Geen fraaie redenering zoiets zit vaker in bepaalde hoeken https://nl.wikipedia.org/wiki/Subversief.

"Naast het inschakelen van SSL door bedrijven die WSUS gebruiken, kan ook Microsoft ....." Geen SSL en geen gecontroleerd update uitrol. Wie doet zoiets?

07-08-2015, 12:44 door Anoniem

Bedrijven die het niet hebben ingesteld lopen echter het risico dat een systeembeheerder in één keer het gehele bedrijfsnetwerk kan compromitteren, aldus de onderzoekers.

Dat kan hij toch al wel doen. Ik denk eerder dat in dit geval ook de netwerkbeheerder dat kan doen.

Peter

07-08-2015, 13:34 door yobi

Hoe zit het met updates verkregen van andere gebruikers in Windows 10?

Voor de zekerheid maar uitgezet:
Bijwerken en beveiliging -> Windows update -> Geavanceerde opties -> Kiezen op welke manier updates worden geleverd -> optie uitzetten.

07-08-2015, 14:10 door Anoniem

Door Anoniem: Het is dan ook natuurlijk de schuld van "bedrijven" dat redmond standaard allerlei steken laat vallen.

Microsoft dient inderdaad te zorgen dat ze WSUS standaard veilig laten uitrollen dus SSL/TLS standaard aan en mocht men dat niet willen kan het uitgezet worden, al zou ik niet weten waarom. Ze moeten het standaard veilig ontwerpen!

Maar ja laten we eerlijk wezen microsoft is altijd al hopeloos geweest qua security in hun producten.

07-08-2015, 22:47 door Anoniem

Door Anoniem:

Door Anoniem: Het is dan ook natuurlijk de schuld van "bedrijven" dat redmond standaard allerlei steken laat vallen.

Waarschijnlijk is dit omdat niet alle bedrijven die WSUS gebruiken, ook een PKI hebben. Selfsigned certificates is nou eenmaal niet direct common practice (laat staan best practice)

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Vacature

Information Security Officer (2fte)

Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.

Lees meer

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

WSUS laat aanvaller besmette Windows-updates verspreiden

Pick one:

Wachtwoord Vergeten

Password Reset

Registreren