Интернет-конференция - Показать сообщение отдельно - Злоумышленники могут внедрять вредоносный код в трафик Windows Update

Eternity · 02.11.2015, 23:44

Исследователями из компании Context Information Security была разработана, а затем опубликована утилита WSUSpect. По словам разработчиков, данная утилита позволяет пен-тестерам внедрять вредоносные обновления Windows в корпоративные сети, которые используют для обновления операционных систем сервер WSUS.

WSUSpect - утилита, представляющая собой PoC-скрипт, основанный на представленных разработчиками данных во время конференции Black Hat USA 2015. Работает утилита на Python 2.7.

Она способна поражать ПК под управлением Windows 7 или 8, получающие обновления с сервера WSUS по незашифрованному каналу. Основным условием для успешной передачи вредоносного файла на компьютеры жертв - чтобы система с запущенным WSUSpect выступала в качестве прокси-сервера, к которому должны быть подключены все ПК, на которые злоумышленник планирует установить вредоносные обновления.

А чтобы распространять вредоносные обновления, WSUSpect использует уязвимость в Windows Update - уязвимость, связанную с установкой драйверов для сторонних USB-устройств. Здесь проблема существует по той причине, что такие драйверы могут быть размещены в Windows Update без цифровой подписи Microsoft и могут быть установлены даже пользователями без соответствующих привилегий. Злоумышленнику достаточно будет создать специально сформированный файл обновления, чтобы с помощью WSUSpect распространить его по всей корпоративной сети.

Специалисты отмечают, что единственным способом защититься от подобных атак является включение SSL-трафика для распространения обновлений по WSUS.

02.11.2015, 23:44	#1
Eternity Администратор Регистрация: 21.11.2014 Сообщений: 2,969 Сказал(а) спасибо: 12 Поблагодарили 86 раз(а) в 80 сообщениях Настроение: Репутация: 107	Злоумышленники могут внедрять вредоносный код в трафик Windows Update Исследователями из компании Context Information Security была разработана, а затем опубликована утилита WSUSpect. По словам разработчиков, данная утилита позволяет пен-тестерам внедрять вредоносные обновления Windows в корпоративные сети, которые используют для обновления операционных систем сервер WSUS. WSUSpect - утилита, представляющая собой PoC-скрипт, основанный на представленных разработчиками данных во время конференции Black Hat USA 2015. Работает утилита на Python 2.7. Она способна поражать ПК под управлением Windows 7 или 8, получающие обновления с сервера WSUS по незашифрованному каналу. Основным условием для успешной передачи вредоносного файла на компьютеры жертв - чтобы система с запущенным WSUSpect выступала в качестве прокси-сервера, к которому должны быть подключены все ПК, на которые злоумышленник планирует установить вредоносные обновления. А чтобы распространять вредоносные обновления, WSUSpect использует уязвимость в Windows Update - уязвимость, связанную с установкой драйверов для сторонних USB-устройств. Здесь проблема существует по той причине, что такие драйверы могут быть размещены в Windows Update без цифровой подписи Microsoft и могут быть установлены даже пользователями без соответствующих привилегий. Злоумышленнику достаточно будет создать специально сформированный файл обновления, чтобы с помощью WSUSpect распространить его по всей корпоративной сети. Специалисты отмечают, что единственным способом защититься от подобных атак является включение SSL-трафика для распространения обновлений по WSUS. __________________