Злоумышленники могут внедрять вредоносный код в трафик Windows Update
Исследователями из компании Context Information Security была разработана, а затем опубликована утилита WSUSpect. По словам разработчиков, данная утилита позволяет пен-тестерам внедрять вредоносные обновления Windows в корпоративные сети, которые используют для обновления операционных систем сервер WSUS.
WSUSpect - утилита, представляющая собой PoC-скрипт, основанный на представленных разработчиками данных во время конференции Black Hat USA 2015. Работает утилита на Python 2.7.
Она способна поражать ПК под управлением Windows 7 или 8, получающие обновления с сервера WSUS по незашифрованному каналу. Основным условием для успешной передачи вредоносного файла на компьютеры жертв - чтобы система с запущенным WSUSpect выступала в качестве прокси-сервера, к которому должны быть подключены все ПК, на которые злоумышленник планирует установить вредоносные обновления.
А чтобы распространять вредоносные обновления, WSUSpect использует уязвимость в Windows Update - уязвимость, связанную с установкой драйверов для сторонних USB-устройств. Здесь проблема существует по той причине, что такие драйверы могут быть размещены в Windows Update без цифровой подписи Microsoft и могут быть установлены даже пользователями без соответствующих привилегий. Злоумышленнику достаточно будет создать специально сформированный файл обновления, чтобы с помощью WSUSpect распространить его по всей корпоративной сети.
Специалисты отмечают, что единственным способом защититься от подобных атак является включение SSL-трафика для распространения обновлений по WSUS.
