Black Hat: Schadsoftware per Windows-Update mit WSUS

Posted on Posted in SecConf

Zwei Sicherheitsforscher demonstrierten auf der Black-Hat-Konferenz, wie sich die Windows Server Update Services (WSUS) zum Verteilen von gefälschten Windows-Updates in einem Unternehmensnetz benutzen lassen. Es gibt jedoch ein schlichtes Gegenmittel.

Zwei Forscher zeigten auf der Sicherheitskonferenz Black Hat in Las Vegas einen Weg, Schadsoftware per Windows-Update-Funktion im Zusammenspiel mit Microsofts WSUS-Server in einem Unternehmen zu verteilen. Paul Stone und Alex Chapman von der Firma Context Information Security erläutern in ihrem Vortrag die Anfälligkeit der standardmäßig unverschlüsselten WSUS-Update-Prozedur für einen Man-in-the-Middle-Angriff (MitM). Damit ließen sich theoretisch auf einen Schlag alle Windows-Clients in einem Firmennetz mit beliebiger Malware versehen.

Black Hat: Angriffe per Windows-Update mit WSUS
Fängt ein Angreifer die unverschlüsselte WSUS-Kommunikation ab, kann er einem Windows-Client eine von Microsoft signierte Datei samt Optionen als reguläres Update präsentieren. Mit einem offiziellen MS-Tool wie PsExec führt er beliebigen Code aus – auf sämtlichen Windows-Rechnern im Unternehmen.

Bild: Context Information SecurityIn vielen Unternehmen kommt das Microsoft-Tool Windows Server Update Services (WSUS) fürs Verteilen von Windows-Updates im lokalen Netz zum Einsatz. Bei dessen Installation rät der Setup-Wizard im abschließenden Schritt zwar, die Verschlüsselung des Datenverkehrs per SSL zu aktivieren, schreibt diese Einstellung jedoch nicht vor. Den unverschlüsselten Verkehr kann ein Angreifer abfangen und den XML-Code für den SOAP-Webservice so verändern, dass ein Windows-Client ein von Microsoft signiertes Softwarepaket als legitimes Update akzeptiert und mit beliebigen Parametern und mit der Berechtigungsstufe SYSTEM auf dem lokalen Rechner ausführt.

Microsoft-signierte Software verwendet

Die beiden Sicherheitsexperten nutzten den Umstand aus, dass es kein spezielles Zertifikat zum Signieren von Windows-Updates gibt und ein Client jede von Microsoft signierte Datei akzeptiert. Sie verwendeten zunächst das SysInternals-Werkzeug PsExec zum Ausführen von Dateien, dessen EXE-Datei von Microsoft signiert ist. Zugleich gaben sie beim Aufruf Parameter mit, die den eigentlichen Schadcode von einer Netzfreigabe luden.

Weil manche Antivirus-Pogramme das Werkzeug als potentiell gefährlich einstufen und das Ausführen verhindern, kam alternativ das harmlos erscheinende, ebenfalls signierte Tool BgInfo (das Daten wie Hostname und IP-Adresse als Desktophintergrund einblendet) zum Einsatz, das per VB-Skript Schadcode nachladen kann. Für das Umleiten des Datenverkehrs könnte ein Angreifer eine schlichte Methode wie das Setzen von Proxyeinstellungen auf dem Client nutzen, sofern Benutzern diese Berechtigung nicht entzogen wurde.

SSL-Verschlüsselung einschalten

Stone und Chapman raten dringend dazu, die von Microsoft empfohlene SSL-Verschlüsselung zu aktivieren – mit geringem Aufwand ließe sich ein Firmennetz so vor diesem Angriff schützen. Microsoft legen sie zudem nahe, für Windows-Updates ein separates Zertifikat zu verwenden, was das Risiko des von ihnen demonstrierten Angriffs weiter verringern würde. Details ihres Vortrags stellen sie in einer PDF-Datei zur Verfügung.

Quelle: heise.de

Facebooktwittergoogle_plus