Tiene 1 actualización maliciosa lista para instalar … Los investigadores del contexto advierten sobre los riesgos de las redes corporativas a través de las actualizaciones de Windows

Ayer en Black Hat USA, investigadores de Context Information Security con sede en el Reino Unido demostraron cómo se puede abusar de Windows Update para ataques internos a redes corporativas al explotar implementaciones empresariales configuradas de manera insegura de Windows Server Update Services (WSUS).
WSUS permite a los administradores coordinar las actualizaciones de software a los servidores y escritorios de sus organizaciones, pero la instalación predeterminada de Microsoft para WSUS es utilizar HTTP y no la entrega HTTPS cifrada con SSL. Al explotar esta debilidad, los investigadores de Context pudieron usar derechos de acceso con pocos privilegios para configurar actualizaciones falsas que se instalaban automáticamente. Estas actualizaciones podrían descargar un troyano u otro malware y usarse para configurar el acceso de administrador con un nombre de usuario y una contraseña falsos. Cualquier computadora con Windows que obtenga actualizaciones de un servidor WSUS utilizando una URL que no sea HTTPS es vulnerable.
“Es un caso simple de un problema de configuración común”, dice Paul Stone, consultor principal de Context y uno de los presentadores de Black Hat ayer. “Si bien Microsoft no aplica SSL para WSUS, presenta la opción y la mayoría de las empresas pasarán por esta etapa adicional para usar HTTPS. Pero para aquellos que no lo hacen, presenta una oportunidad para que un administrador comprometa redes corporativas completas de una sola vez «.
Las organizaciones pueden descubrir rápidamente si son vulnerables al verificar la configuración de la política de grupo de WSUS, mientras que es posible verificar si una máquina individual está configurada incorrectamente al mirar las claves de registro apropiadas. Si la URL no comienza con https, entonces la computadora es vulnerable al ataque de inyección.
Si bien seguir las pautas de Microsoft para usar SSL para WSUS protegerá contra los ataques descritos, Context también sugiere que existen más mitigaciones de ‘defensa en profundidad’ que Microsoft podría implementar para brindar mayor protección.
“El uso de un certificado de firma independiente para Windows Update aumentaría la protección y Microsoft podría firmar los metadatos de la actualización para evitar alteraciones”, dice Alex Chapman, consultor principal de Context y presentador conjunto de Black Hat. «Firmar las etiquetas que contienen el detalle principal de las actualizaciones con un certificado de Microsoft evitaría la necesidad de establecer una relación de confianza entre el cliente y el servidor WSUS».
Durante la presentación de Black Hat, los investigadores de Context también expresaron su preocupación por los controladores de terceros instalados a través de la actualización de Windows. Hay más de 25.000 controladores USB potenciales que se pueden descargar, aunque esta lista incluye muchos duplicados, controladores genéricos y versiones obsoletas.
“Hemos comenzado a descargar e investigar unos 2.284 controladores de terceros”, dijo Stone. “Nuestra preocupación es que al conectar un dispositivo USB, algunos de estos controladores pueden tener vulnerabilidades que podrían explotarse con fines maliciosos. Todo el mundo está familiarizado con los cuadros de diálogo ‘búsqueda de controladores’ y ‘actualización de Windows’ en sus escritorios, pero estas ventanas aparentemente inocuas pueden estar ocultando algunas amenazas graves «.
Se puede descargar un documento detallado para acompañar la presentación de Black Hat titulado ‘Compromiso de Windows Enterprise a través de Windows Update’ en: http://www.contextis.com/news/new-paper-released-compromising-windows-enterprise/