WSUS, aziende a rischio con update compromessi

I ricercatori intervenuti alla conferenza Black Hat trovano il modo di abusare del sistema di installazione degli aggiornamenti di Windows in ambito enterprise per compromettere l'intera rete aziendale

Roma – L’infrastruttura WSUS (Windows Server Update Services) permette agli amministratori di sistema di coordinare l’installazione degli aggiornamenti di Windows sui sistemi (server e desktop) all’interno di una singola organizzazione, ma stando a quanto sostengono i ricercatori Paul Stone e Alex Chapman quella stessa infrastruttura può essere compromessa per eseguire comandi malevoli e compromettere i PC connessi alla rete.

Intervenuti all’edizione 2015 della conferenza hacker Black Hat, Stone e Chapman dicono di aver scoperto il modo di bypassare il normale procedimento di firma digitale degli aggiornamenti da parte di Microsoft – usando e “riutilizzando” i file binari già firmati per preparare update malevoli ed eseguire comandi arbitrari.

Se un attore malevolo ha a disposizione l’accesso locale ai sistemi di un’organizzazione, dicono i ricercatori, può modificare i metadati dei file firmati digitalmente da Microsoft; gli aggiornamenti fasulli e i comandi arbitrari possono poi essere eseguiti tramite l’ handler “CommandLineInstallation” o l’utility PsExec .

Nel caso in cui l’organizzazione-bersaglio usi il software di sicurezza di Sophos, a cui PsExec va piuttosto indigesto, i cyber-criminali possono provare a seguire la strada alternativa di BgInfo con un file di configurazione ospitato su una risorsa condivisa di Windows non autenticata.

A peggiorare ulteriormente la sicurezza di WSUS , dicono ancora i ricercatori, c’è poi la disponibilità di un gran numero di aggiornamenti (prevalentemente driver di periferica) firmati e sviluppati da soggetti di terze parti: in questo caso le possibilità di compromissione aumentano sensibilmente.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

Chiudi i commenti