WSUS

Sicherheitslücke in Windows-Update-Dienst

von - 07.08.2015
Update-Gefahr
Foto: Shutterstock/Mathias Rosenthal
Das Windows-Update-System ist die zentrale Komponente, um zahllose PCs auf der Welt aktuell zu halten. Forschern ist es nun aber gelungen, über einen Update-Server gefälschte Updates zu verteilen.
Sicherheitsforschern ist es nach eigener Aussage gelungen, die Windows Server Update Services (WSUS) zu manipulieren und darüber gefälschte Windows-Updates zu verteilen. Ein WSUS-Server kümmert sich innerhalb eines Unternehmens um die Verteilung der Aktualisierungen. Dazu lädt er sie von einem Microsoft-Server herunter und stellt sie dann Maschinen im LAN zur Verfügung.
Black Hat Conference 2015
Black Hat Conference 2015: Auf der Veranstaltung in Las Vegas haben Paul Stone und Alex Chapman ihr WSUS-Whitepaper veröffentlicht.
Dieses System muss wasserdicht sein, sonst wird es schnell zu einer Virenschleuder. Genau das scheint nun aber möglich zu sein. Paul Stone und Alex Chapman von Content Information Security (Context) beschreiben in einem Whitepaper, das sie auf der Black Hat Conference vorgestellt und als PDF veröffentlicht haben, wie es ihnen gelungen ist, WSUS zu manipulieren.
Nach ihren Angaben ist WSUS standardmäßig so eingestellt, dass das System jede von Microsoft signierte Datei akzeptiert. Ein Angreifer kann also mit zum Beispiel PsExec, einem Fernsteuerungs-Programm aus den Sysinternal-Tools, das von Microsoft signiert wurde, eigenen Code ausführen. Das lässt sich nur verhindern, wenn der WSUS-Server auf SSL umgestellt wird. Tipps dazu geben die Forscher in ihrem Whitepaper.
Die WSUS-Lücke betrifft nur Unternehmen, die Autoren haben aber noch eine weitere Gefahr identifiziert, die durch Windows-Update entsteht. Nach ihren Erkenntnissen stammen 83 Prozent der durch Windows-Update offiziell verteilten Updates von Drittherstellern. Diese Treiber werden zwar durch Microsoft geprüft und signiert. Die hohe Zahl halten Stone und Chapman aber für ein Sicherheitsrisiko.
In ihrem Whitepaper gehen sie nicht auf das neue WUDO-System (Windows Update Delivery Optimization) ein, das Microsoft mit Windows 10 eingeführt hat. Jeder Rechner mit Windows 10 Home oder Pro ist nun automatisch Teil eines gigantischen Peer-to-Peer-Netzes, über das Microsoft in Zukunft Windows-Updates über das Internet verteilt. Dieses System mag effizient sein und für Microsoft viele Vorteile bieten, es dürfte aber nur eine Frage der Zeit sein, bis es Angreifern gelingt, es zu kompromittieren und darüber manipulierte Updates zu verteilen.

Verwandte Themen

Mehr zum Thema