Black Hat zeigt Man-in-the-Middle-Angriff per Windows-Server-Update

Gepostet am Aug 10, 2015

Ein erschreckendes Szenario haben zwei Entwickler der Londoner Context Information Security bei der diesjährigen Hacker-Konferenz Black Hat gezeigt. Paul Stone und Alex Chapman kompromittierten Microsofts Windows Server Update Service und schleusten so Malware getarnt als signiertes Update in Unternehmensnetzwerke. Mit ihrem Vortrag zu WSUSpect wollen die Entwickler Admins dahingehend wachrütteln, wie wichtig es ist, den von Microsoft empfohlenen Sicherheitsstandards für WSUS-Installationen zu folgen. Denn ihr jetzt gezeigter Man-in-the-Middle-Angriff ist nur möglich, wenn Firmennetzwerke nicht über die empfohlene SSL-Verschlüsselung gesichert werden. Dann ist es für Angreifer ein leichtes, Schadsoftware über die Update-Services einzuschleusen.

Standardmäßige Installationen sind gefährdet

Stone und Chapman legten in ihrem Vortrag bei der Black Hat hat einen Fokus auf Schwachstellen, die sich bei der Nutzung von Microsofts standardmäßigen Installationen im Netzwerk ergeben. Nur über empfohlene Sicherheitserweiterungen, die aktuell noch nicht als Standard eingestellt sind, erreicht man einen gewissen Schutz, so die Entwickler. Problematisch ist die „Default“-Einstellung vor allem, da diese Sicherheitslücken weit offen stehen und laut der Context Information Security daher auch ausgenutzt werden.

Probleme auch im lokalen Netzwerk

Ein Einfallstor auch für die Unternehmensnetzwerke mit einem Admin sind dabei USB-Treiber. Stone und Chapman demonstrieren, wie problematisch es ist, wenn ein Nutzer selbst mit geringen Rechten im System einen neues USB-Gerät verwendet. Microsoft bietet über die Update Services dazu eine lange Reihe an Treibern, die sich mit wenigen Handgriffen auch von eigentlich nicht befugten Nutzern (eben mit geringen Rechten) installieren und ausführen lassen. Dabei sucht WSUS nach den benötigten Updates, wenn ein PC im Netzwerk eine solche Anfrage stellt.

Problematisch ist dabei wie die WSUS Signierungen akzeptieren. Die beiden Forscher haben dazu ein USB-Gerät simuliert, einen Treiber über WSUS kompromittiert und so ein falsches Update mit beliebigem Code ausgeliefert. Möglich wird das über Standard-Tools, wie das Windows Device Konsolen Tool devcon.exe. Stone und Chapman analysierten alle erhältlichen Treiber-Updates und identifizierten einige, die auch von Nutzern mit niedrigen Rechten ausgeführt werden konnten.

Infos zur Schwachstelle

Stone und Chapman haben zu dem Angriff ein (530 kb) zusammengestellt, in dem alle Fallstricke und Lösungen für den Hack gezeigt werden. Hacker, Hack, Usb, Usb Stick, Hacked muyseguridad

sowas? hier in voller Länge ansehen