Malware könnte sich über Windows-Update-Dienst in Firmen verbreiten

SicherheitSicherheitsmanagement
wsus-hero (Bild: CNET)

Sicherheitsspezialisten haben auf der Black-Hat-Konferenz demonstriert, wie sich Admin-Rechte durch eine unsichere Implementierung des WSUS-Services ausweiten lassen. Dies kann dann Man-in-the-Middle-Attacken zur Folge haben. Die Security-Forscher raten dazu, die SSL-Verschlüsselung auf dem firmeninternen Update-Server standardmäßig einzuschalten.

Die Forscher Paul Stone und Alex Chapman, angestellt beim britischen Sicherheitsunternehmen Context, haben auf der Black-Hat-Konferenz in Las Vegas gezeigt, wie Angreifer durch eine Anfälligkeit im Windows-Update-Mechanismus Schadsoftware in Firmennetzwerke einschleusen können.

wsus-hero (Bild: CNET)
Über den auf einem unternehmensinternen Update-Server installierten WSUS-Dienst lässt sich ein komplettes Firmennetz mit Malware-verseuchten Updates kompromittieren (Bild: CNET).

Laut Stone und Chapman ist das Einschleusen von Malware über die Windows-Update-Funktion durch einen Angriff auf den WSUS-Dienst (Windows Server Update Services) möglich. Die Rechner in einem Firmennetz werden über die Softwarekomponente des Windows-Server-Betriebssystems mit Windows-Updates versorgt. Wie Context ausführt, könne eine unsichere Implementierung des Dienstes auf dem unternehmensinternen Update-Server “in einer lokalen Ausweitung administrativer Privilegien sowie in daraus folgenden Netzwerkattacken resultieren”. Es handelt scih also wenier um eine echte Lücke, als vielmehr um ein Konfigurationsproblem.

“Während des Update-Vorgangs werden signierte und verifizierte Pakete heruntergeladen und auf dem System installiert. Durch das Umprogrammieren von durch Microsoft signierten Binärdateien waren wir in der Lage, zu zeigen, dass ein Angreifer schädliche Updates auf ein System spielen kann, um anschließend beliebige Befehle darauf auszuführen”, wie es in dem ZDNet.com vorliegenden Papier zur Demonstration der Schwachstelle am Donnerstag hieß. Die Forscher waren in der Lage, die gefälschten Updates, die die mit dem WSUS-Server verbundenen Rechner automatisch herunterluden und einspielten, sogar mit niedrigen administrativen Privilegien und mit nur wenigen Zugriffsrechten aufzusetzen.

Den Sicherheitsforschern zufolge sind WSUS-Server, die nicht für gängige Verschlüsselungsmethoden wie SSL eingerichtet sind, besonders verwundbar für Man-in-the-Middle-Angriffe, mit denen Angreifer die erforderliche Patches und Fixes abfangen, um letztendlich mit Malware infizierte Aktualisierungen auf die Firmenrechner zu spielen. “Es handelt sich schlicht um ein gängiges Konfigurationsproblem”, kommentiert Paul Stone.

update-malicious (Screenshot: Context)
Auch gefälschte Updates für Windows werden automatisch über den WSUS-Dienst heruntergeladen und installiert (Screenshot: Context).

Unternehmensinterne Update-Server ohne erzwungene Verschlüsselung erlaubten es beispielsweise “einem böswilligen Administrator, komplette Firmennetzwerke auf einen Schlag zu kompromittieren”, ergänzt Stone. Die Befürchtung der Forscher sei es etwa, dass einige der für ein eingestecktes USB-Gerät notwendigen und durch ein Windows-Update aktualisierten Betriebssystemtreiber Anfälligkeiten aufweisen, die sich für schadhafte Zwecke ausnutzen lassen.

Allerdings gibt es für die simple Angriffsmethode eine ebenso simple Lösung, wie die Forscher hervorheben. Demnach müssten Administratoren von Firmennetzwerken lediglich gemäß der Microsoft-Richtlinien die SSL-Verschlüsselung für den Update-Server standardmäßig einschalten. Allein durch diesen Schritt könne der beschriebene Angriff bereits verhindert werden. Zudem böten zusätzliche Maßnahmen wie die Nutzung eines separaten Signierungszertifikats für das Verifizieren von Updates einen noch höheren Grad an Sicherheit.

[mit Material von ZDNet.de]

Tipp: Praxisartikel zu Windows 10 bei der ITespresso-Schwestersite ZDNet.de:

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen