BigAp.ru — интернет-магазин электроники и бытовой техники

Автор Тема: В трафик Windows Update можно внедрять вредоносный код  (Прочитано 382 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн bessmertnyi_poni

  • Специалист ИТ
  • ****
  • Сообщений: 491
  • Karma: +18/-0
  • Пол: Мужской
  • Под дождем суп можно есть бесконечно!
    • Share Post
Исследователи компании Context Information Security разработали и опубликовали утилиту WSUSpect, позволяющую пен-тестерам внедрять вредоносные обновления Windows в корпоративные сети, использующие для обновления ОС сервер WSUS.
WSUSpect представляет собой PoC-скрипт, основанный на представленных разработчиками данных во время конференции Black Hat USA 2015.
Утилита работает на Python 2.7 и может заражать ПК под управлением Windows 7 или 8, получающие обновления с сервера WSUS по незашифрованному каналу. Для того чтобы передать вредоносный файл на компьютеры жертв, необходимо, чтобы система с запущенным WSUSpect выступала в качестве прокси-сервера, к которому должны быть подключены все ПК, на которые злоумышленник планирует установить вредоносные обновления.
Для того чтобы распространять вредоносные обновления, WSUSpect использует уязвимость в Windows Update, связанную с установкой драйверов для сторонних USB-устройств. Проблема существует из-за того, что такие драйверы могут быть размещены в Windows Update без цифровой подписи Microsoft и могут быть установлены даже пользователями без соответствующих привилегий. Злоумышленник может создать специально сформированный файл обновления и с помощью WSUSpect распространить его по всей корпоративной сети.
Единственным способом защититься от подобных атак является включение SSL-трафика для распространения обновлений по WSUS. Несмотря на то, что Microsoft рекомендует использовать SSL во всех случаях, эта опция отключена по умолчанию.
Источник: securitylab.ru
Все-таки последовательность задач "эксперимент > пи@дец > чтение документации" даже из продвинутых админов тяжело выбить.

 

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8258
  • Karma: +112/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Как то все замудрено если не сказать "сложно" и "трудоемко" если не сомнительно, более проще можно поступить, без всяких утилит и тем более прокси... так как администратор может сделать deploy кастомного обновления, msi файла или даже exe'шника.... в котором может содержаться все что угодно, мы так обновляем часть софта в нашей компании... Опять же GPO никто не отменял и опять же политики по обновлениям распространяются по GPO (у нас по карйней мере), так что можно вообще все упростить в несколько раз...
« Последнее редактирование: Ноябрь 03, 2015, 09:55:42 am от sysadmin »
дорогу осилит идущий...
......................
MCP, MCTS, RHCSA
......................
also aka xck...


xx
Group Update Provider

Автор Azatot88

3 Ответов
1439 Просмотров
Последний ответ Июнь 04, 2014, 04:57:34 pm
от sysadmin
xx
Можно создать файловый сервер без RAID на Windows?

Автор bessmertnyi_poni

7 Ответов
1241 Просмотров
Последний ответ Март 26, 2014, 10:52:46 am
от sysadmin
xx
Gem Update - no such file to load -- zlib

Автор sysadmin

0 Ответов
2573 Просмотров
Последний ответ Февраль 01, 2011, 05:10:24 pm
от sysadmin
xx
Live Update Administrator - скачать

Автор sysadmin

0 Ответов
3657 Просмотров
Последний ответ Сентябрь 28, 2009, 12:14:53 pm
от sysadmin