WSUS, aziende a rischio con update compromessi

I ricercatori intervenuti alla conferenza Black Hat trovano il modo di abusare del sistema di installazione degli aggiornamenti di Windows in ambito enterprise per compromettere l'intera rete aziendale
I ricercatori intervenuti alla conferenza Black Hat trovano il modo di abusare del sistema di installazione degli aggiornamenti di Windows in ambito enterprise per compromettere l'intera rete aziendale

L’infrastruttura WSUS (Windows Server Update Services) permette agli amministratori di sistema di coordinare l’installazione degli aggiornamenti di Windows sui sistemi (server e desktop) all’interno di una singola organizzazione, ma stando a quanto sostengono i ricercatori Paul Stone e Alex Chapman quella stessa infrastruttura può essere compromessa per eseguire comandi malevoli e compromettere i PC connessi alla rete.

Intervenuti all’edizione 2015 della conferenza hacker Black Hat, Stone e Chapman dicono di aver scoperto il modo di bypassare il normale procedimento di firma digitale degli aggiornamenti da parte di Microsoft – usando e “riutilizzando” i file binari già firmati per preparare update malevoli ed eseguire comandi arbitrari.

Se un attore malevolo ha a disposizione l’accesso locale ai sistemi di un’organizzazione, dicono i ricercatori, può modificare i metadati dei file firmati digitalmente da Microsoft; gli aggiornamenti fasulli e i comandi arbitrari possono poi essere eseguiti tramite l’ handler “CommandLineInstallation” o l’utility PsExec .

Nel caso in cui l’organizzazione-bersaglio usi il software di sicurezza di Sophos, a cui PsExec va piuttosto indigesto, i cyber-criminali possono provare a seguire la strada alternativa di BgInfo con un file di configurazione ospitato su una risorsa condivisa di Windows non autenticata.

A peggiorare ulteriormente la sicurezza di WSUS , dicono ancora i ricercatori, c’è poi la disponibilità di un gran numero di aggiornamenti (prevalentemente driver di periferica) firmati e sviluppati da soggetti di terze parti: in questo caso le possibilità di compromissione aumentano sensibilmente.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

11 08 2015
Link copiato negli appunti