Black Hat zeigt Man-in-the-Middle-Angriff per Windows-Server-Update

Hacker, Hack, Usb, Usb Stick, Hacked Bildquelle: muyseguridad
Ein erschreckendes Szenario haben zwei Entwickler der Londoner Context Information Security bei der diesjährigen Hacker-Konferenz Black Hat gezeigt. Paul Stone und Alex Chapman kompromittierten Microsofts Windows Server Update Service und schleusten so Malware getarnt als signiertes Update in Unternehmensnetzwerke.
Mit ihrem Vortrag zu WSUSpect wollen die Entwickler Admins dahingehend wachrütteln, wie wichtig es ist, den von Microsoft empfohlenen Sicherheitsstandards für WSUS-Installationen zu folgen. Denn ihr jetzt gezeigter Man-in-the-Middle-Angriff ist nur möglich, wenn Firmennetzwerke nicht über die empfohlene SSL-Verschlüsselung gesichert werden. Dann ist es für Angreifer ein leichtes, Schadsoftware über die Update-Services einzuschleusen.

Standardmäßige Installationen sind gefährdet

Stone und Chapman legten in ihrem Vortrag bei der Black Hat hat einen Fokus auf Schwachstellen, die sich bei der Nutzung von Microsofts standardmäßigen Installationen im Netzwerk ergeben. Nur über empfohlene Sicherheitserweiterungen, die aktuell noch nicht als Standard eingestellt sind, erreicht man einen gewissen Schutz, so die Entwickler. Problematisch ist die "Default"-Einstellung vor allem, da diese Sicherheitslücken weit offen stehen und laut der Context Information Security daher auch ausgenutzt werden.

Probleme auch im lokalen Netzwerk

Ein Einfallstor auch für die Unternehmensnetzwerke mit einem Admin sind dabei USB-Treiber. Stone und Chapman demonstrieren, wie problematisch es ist, wenn ein Nutzer selbst mit geringen Rechten im System einen neues USB-Gerät verwendet. Microsoft bietet über die Update Services dazu eine lange Reihe an Treibern, die sich mit wenigen Handgriffen auch von eigentlich nicht befugten Nutzern (eben mit geringen Rechten) installieren und ausführen lassen. Dabei sucht WSUS nach den benötigten Updates, wenn ein PC im Netzwerk eine solche Anfrage stellt.

Problematisch ist dabei wie die WSUS Signierungen akzeptieren. Die beiden Forscher haben dazu ein USB-Gerät simuliert, einen Treiber über WSUS kompromittiert und so ein falsches Update mit beliebigem Code ausgeliefert. Möglich wird das über Standard-Tools, wie das Windows Device Konsolen Tool devcon.exe. Stone und Chapman analysierten alle erhältlichen Treiber-Updates und identifizierten einige, die auch von Nutzern mit niedrigen Rechten ausgeführt werden konnten.

Infos zur Schwachstelle

Stone und Chapman haben zu dem Angriff ein PDF (530 kb) zusammengestellt, in dem alle Fallstricke und Lösungen für den Hack gezeigt werden. Hacker, Hack, Usb, Usb Stick, Hacked Hacker, Hack, Usb, Usb Stick, Hacked muyseguridad
Diese Nachricht empfehlen
Kommentieren36
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 00:40 Uhr Seagate Backup Plus HUB, 6TB , externe Desktop Festplatte mit integriertem USB HUB, USB 3.0, PC & MAC (STEL6000200)
Seagate Backup Plus HUB, 6TB , externe Desktop Festplatte mit integriertem USB HUB, USB 3.0, PC & MAC (STEL6000200)
Original Amazon-Preis
225,00
Im Preisvergleich ab
215,00
Blitzangebot-Preis
188,90
Ersparnis zu Amazon 16% oder 36,10

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Forum

Tipp einsenden