Malware könnte sich über Windows-Update-Dienst in Firmen verbreiten

Die Forscher Paul Stone und Alex Chapman, angestellt beim britischen Sicherheitsunternehmen Context, haben auf der Black-Hat-Konferenz in Las Vegas gezeigt, wie Angreifer durch eine Anfälligkeit im Windows-Update-Mechanismus Schadsoftware in Firmennetzwerke einschleusen können.

Laut Stone und Chapman ist das Einschleusen von Malware über die Windows-Update-Funktion durch einen Angriff auf den WSUS-Dienst (Windows Server Update Services) möglich. Die Rechner in einem Firmennetz werden über die Softwarekomponente des Windows-Server-Betriebssystems mit Windows-Updates versorgt. Wie Context ausführt, könne eine unsichere Implementierung des Dienstes auf dem unternehmensinternen Update-Server “in einer lokalen Ausweitung administrativer Privilegien sowie in daraus folgenden Netzwerkattacken resultieren”. Es handelt scih also wenier um eine echte Lücke, als vielmehr um ein Konfigurationsproblem.

“Während des Update-Vorgangs werden signierte und verifizierte Pakete heruntergeladen und auf dem System installiert. Durch das Umprogrammieren von durch Microsoft signierten Binärdateien waren wir in der Lage, zu zeigen, dass ein Angreifer schädliche Updates auf ein System spielen kann, um anschließend beliebige Befehle darauf auszuführen”, wie es in dem ZDNet.com vorliegenden Papier zur Demonstration der Schwachstelle am Donnerstag hieß. Die Forscher waren in der Lage, die gefälschten Updates, die die mit dem WSUS-Server verbundenen Rechner automatisch herunterluden und einspielten, sogar mit niedrigen administrativen Privilegien und mit nur wenigen Zugriffsrechten aufzusetzen.

Den Sicherheitsforschern zufolge sind WSUS-Server, die nicht für gängige Verschlüsselungsmethoden wie SSL eingerichtet sind, besonders verwundbar für Man-in-the-Middle-Angriffe, mit denen Angreifer die erforderliche Patches und Fixes abfangen, um letztendlich mit Malware infizierte Aktualisierungen auf die Firmenrechner zu spielen. “Es handelt sich schlicht um ein gängiges Konfigurationsproblem”, kommentiert Paul Stone.

Unternehmensinterne Update-Server ohne erzwungene Verschlüsselung erlaubten es beispielsweise “einem böswilligen Administrator, komplette Firmennetzwerke auf einen Schlag zu kompromittieren”, ergänzt Stone. Die Befürchtung der Forscher sei es etwa, dass einige der für ein eingestecktes USB-Gerät notwendigen und durch ein Windows-Update aktualisierten Betriebssystemtreiber Anfälligkeiten aufweisen, die sich für schadhafte Zwecke ausnutzen lassen.

Allerdings gibt es für die simple Angriffsmethode eine ebenso simple Lösung, wie die Forscher hervorheben. Demnach müssten Administratoren von Firmennetzwerken lediglich gemäß der Microsoft-Richtlinien die SSL-Verschlüsselung für den Update-Server standardmäßig einschalten. Allein durch diesen Schritt könne der beschriebene Angriff bereits verhindert werden. Zudem böten zusätzliche Maßnahmen wie die Nutzung eines separaten Signierungszertifikats für das Verifizieren von Updates einen noch höheren Grad an Sicherheit.

[mit Material von ZDNet.de]

Tipp: Praxisartikel zu Windows 10 bei der ITespresso-Schwestersite ZDNet.de:

• Windows 10: Die neuen Apps im produktiven Einsatz
• Windows 10 im Tablet-Modus: Gestensteuerung optimal einsetzen
• Windows 10: produktiver arbeiten, Kosten sparen, Sicherheit erhöhen
• Effizienter arbeiten mit Tastenkombinationen
• Windows 10: Tipps und Tricks zum neuen Microsoft-Browser Edge
• Windows 10: bootfähigen USB-Stick erstellen
• Windows-Update for Business – Die neuen Verfahren für Aktualisierungen in Windows 10
• Bereitstellung von Windows 10 in Unternehmen
• Was bringt Windows 10 für Unternehmen?
• Windows 10 ab Juli verfügbar: So funktioniert die Installation
• Windows 10: Neuinstallation auf Surface Pro 3