Black Hat zeigt Man-in-the-Middle-Angriff per Windows-Server-Update

Ein erschreckendes Szenario haben zwei Entwickler der Londoner Context Information Security bei der diesjährigen Hacker-Konferenz Black Hat gezeigt. Paul Stone und Alex Chapman kompromittierten Microsofts Windows Server Update Service und schleusten ... mehr... Hacker, Hack, Usb, Usb Stick, Hacked Bildquelle: muyseguridad Hacker, Hack, Usb, Usb Stick, Hacked Hacker, Hack, Usb, Usb Stick, Hacked muyseguridad

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Soviel dann zum Thema des nichtabschaltbaren Upades in Windows 10.
 
@teddy4you: Hast es schon gelesen oder? Es geht hier um WSUS, welches in Unternehmen verwendet wird und wo man die Updates eben steuern kann im Gegensatz zur Home Version. Diese ist aber gar nicht betroffen...

Außerdem müssen selbst da gewisse Voraussetzungen gegeben sein (SSL deaktiviert)
 
@Arhey: Die Prozesse sind doch ähnlich. Ist es da nicht denkbar, dass da schnell versucht werden könnte, hier Dinge ins System bringen zu wollen.
 
@teddy4you: Oh, tatsächlich. In beidem kommt das Wort Update vor... müssen also fast gleich sein. In Deinem Namen kommt Teddy vor...ob Du etwas mit meinem Lieblingskuscheltier zu tun hast?
 
@teddy4you: Naja, W10 Update hat erst mal nichts mit WSUS zutun, das gilt dann für alle Windowsversionen.

Aber entfernt haste Recht, WSUS ist sowas wie die "Hauseigene Maleware Verteil strecke" für Arbeitsscheue Admins.
Der Witz ist, das wie im Versuch beschrieben nicht nur "Unverschlüsselte" Übertragungen Kompromittierbar sind, SSL ist zwischenzeitlich genau so sicher wie keins.
Nicht nur das SSL schon mehrfach erfolgreich angegriffen wurde, es sind gefälschte Microsoftzertifikate im Umlauf, die von dem System durchgelassen werden auch mit SSL.
 
@Kribs: Das ist es doch, was ich damit meine. Ist es nicht so, wenn eine Schwachstelle erstmal bekannt ist, wird es auch Leute geben, die versuchen werden diese auszunutzen. Wenn die erstmal eine Möglichkeit gefunden haben, dann sorgt doch der Zwangsupdatemechanismus von Windows dafür, dass es einfach eingelassen wird. Und auch wenn ichs weiß, kann ich mich kaum davor schützen. Oder ich trenne meinen PC vom Netz.
 
@teddy4you: "Und auch wenn ichs weiß, kann ich mich kaum davor schützen."
Der Normale Nutzer "schaut in die Röhre", das war ja auch schlichtweg beabsichtigt, der wird kaufen, Kaufen und noch mehr kaufen um sein System lauffähig zu halten.

Ich geh mal davon aus das du erweiterte Kenntnisse hast und mit deinen System versiert umgehst, dann hab ich einen Link für dich (Englisch Kenntnisse vorausgesetzt) wie du unteranderen das W10 Update nachhaltig abschalten kannst, die daraus folgenden Konsequenzen sollten dir bewusst sein, denn es geschieht auf eigene Verantwortung:

http://reboot.pro/topic/20623-windows-10-enterprise-mother-of-all-tweak-scripts/
 
@Kribs: Aha, "arbeitsscheue Admins" - vielleicht können Sie uns erleuchten, wie man bei ca. 550 PCs und Laptops dann einen regelmäßigen Patchzyklus sicherstellt? 1-2 Admins nur für "Adidas Deployment" einstellen, damit die dann hoffentlich bis zum nächsten Patchday fertig sind? Vielleicht müssen die dann auch noch alle Hotfixes separat herunterladen, weil WindowsUpdate nicht vertrauenswürdig ist? Abgesehen davon sind vertrauenswürdige Hotfix-Downloads nicht immer leicht zu finden, weil nicht alle im Update Catalog oder Support-Bereich zu finden sind. Und wie kommen Sie auf die Abhängigkeiten, dass auf PC1 Hotfix X, Y, Z und auf PC2 Hotfix U, V, X benötigt wird?

Oder alle Hotfixes in einer Software-Verteilung einzeln paketieren - auch ne lustige Beschäftigung - und die oben genannten Probleme mit Abhängigkeiten usw. bleiben trotzdem. Es sei denn, Sie haben eine Software-Verteilung die einen eigenständigen Patch-Mechanismus bietet - ich kenne ein Produkt, aber selbst die klinken sich lieber in einen WSUS ein, weil Sie autark über die wsusscan.cab nicht alle Updates liefern können.

Von Reporting, wo welche Updates installiert sind oder noch fehlen habe ich noch gar nicht angefangen.

Sie glauben wohl auch, Admins hätten sonst nichts zu/keinen Druck mit anderen Projekten und Tätigkeiten.
 
So wie ich das aber erlese kommt es nur zum tragen wenn man die Treiber Updates per WSUS verteilt bzw. an hat. Oder?
Die sind aber bei meinen Konfigurationen eigentlich von Hause aus nicht konfiguriert, da die Treiber die von MS selber kommen meist sowieso Probleme bereiten. (siehe nvidia Hardware und co)
Und außerdem wer hat den die USB Ports in Unternehmen so einfach zugänglich, ob nun mit ID-Kennung oder auch ohne?
 
@MaSchde: warum sollten die USB Ports nicht zugänglich sein? Grad USB sticks sind doch gang und gebe in großen unternehmen.
 
@Cosmic7110: Ja schon, die werden dann aber z.B. anhand ihrer Geräte-ID explizit freigeschaltet.
Oder nur bestimmte User dürfen überhaupt mit USB-Sticks arbeiten.
Wobei ... generell fällt mir innerhalb eines Unternehmens kein Grund ein, warum jemand Dokumente auf einem Stick speichern sollte.
 
@Joyrider: ähm, das kostet unsummen in sachen Verwaltung, nochmal unsummen in sachen handling wenn Arbeitsprozesse stoppen weil es an einem USB Stick hapert. Dein Vorschlag ist sehr Praxisfern.

Weil man Unterwegs die Daten braucht? Damit man nicht überall eine Netzanbindung benötigt, weil nicht überall mobiles Netz verfügbar ist man aber Daten übertragen möchte etc pp?

ich versteh schon worauf du hinauswillst, in der Theorie hat jeder Unternehmensrechner eine Anbindung an das Corporate Network und somit Zugriff auf alles. Leider nur in der Theorie, in der Praxis nutzt man Präsentationsrechner auf Versammlungen in Häuslichkeiten die nicht zum Unternehmen gehören, man muss Daten vor Ort von Steuerungssystemen auslesen und übertragen, man will nicht jedem Nutzer einen VPN Zugang einrichten und und und. Lass mich raten: du arbeitest in der IT eines großen Unternehmen und kannst das garnicht nachvollziehen das der dumme Sachbearbeiter den USB Port nutzen kann. Ich kann dich verstehen, sehe aber auch die Anwenderseite und genau deshalb ist es so ;)
 
@Cosmic7110: "Lass mich raten: du arbeitest in der IT eines großen Unternehmen und kannst das garnicht nachvollziehen das der dumme Sachbearbeiter den USB Port nutzen kann." You made my day :D Dieses Beispiel ist zu genial ^^
 
@Cosmic7110:
- Unsummen in Verwaltung? Nein, derlei Software skaliert gut mit der Menge der Benutzer/Geräte und ist mittlerweile gut integriert, so dass sich der Administrationsaufwand stark in Grenzen hält
- Unsummen im Handling? Nein. Wenn so eine Regelung existiert ist vorher zB klar definiert, welche Benutzergruppen sowas generell nicht brauchen, welche es zumindest beantragen können und bei welchen es immer freigeschaltet ist (Admins zB)
- Praxisfern? Wohl kaum (sonst würde es das nicht so oft geben). Ist eher eine Sache des Handlings und vor Allem der Gewöhnung der Mitarbeiter.

- Daten unterwegs? > Truecrypt-Container und ansonsten die Ausnahmen. Ein Vertriebler braucht wie in deinem Beispiel natürlich die Rechte für sowas, im Gegensatz zu zB einer Schreibkraft.
- Steuerungssysteme? > Haben IMO nichts im Produktiv-LAN zu suchen und sind somit auch nicht betroffen. Und da sowas ja bekannt ist gibt es halt einfach zwei zugelassene Sticks an den entsprechenden Rechnern (für die Auswertung zB) und fertig. :)
- ich arbeite in der IT eines großen Unternehmens? > Nein definitiv nicht, aber wir betreuen kleine bis mittelgroße Unternehmen und Hardware-Beschränkungen gibt es in allen möglichen Firmen, von der 5-Mann-Bude bis zum 3000MA-Krankenhaus. Und nein, der "dumme Sachbearbeiter" braucht erstmal keine USB-Sticks an seinem Rechner.
 
@Joyrider: Ich würde niemald auf eine Dienstreise gehen ohne wichtige Daten nochmal als Kopie auf einem USB-Stick dabei zu haben. Vertrauliche Daten sollte man aber nie, nie auf dem Notebook oder einem USB-Stick mitnehmen, dazu sind die Einreisekontrollen zu gefährlich geworden.
 
@Cosmic7110: usb sticks und co sind doch mittlerweile eine der grössten einfallstore für viren und co. in großen unternehmen dürften eher die usb ports disabled werden. insbesondere banken und co.
 
@Balu2004: man kann USB Sticks und die Ports auch anderweitig absichern anstatt sie zu sperren. fördert den Workflow und die akzeptanz im Unternehmen ;) und ich kann dir versichern das sie bei größeren Unternehmen nicht gesperrt sind. Zumindest nicht was das normale Corporate Network angeht. in DV-Systemen ist das ne andere Sache. Da kannman die Anwender aber auch problemlos manuell verwalten.
 
Im Grunde bleibt nur zu hoffen, das MS hier schnell die Lücke schließen wird. Versprochen hat MS mit Windows 10 ja viel.
 
@teddy4you: Hast du den Artikel überhaupt gelesen... Hier geht es um Windows Server mit falscher SSL Konfiguration. Das hat nichts mit W10 zu tun.
 
@Windowze: *fehlender ssl konfig
 
@teddy4you: man braucht nix schließen, es ist schon zu, indem man das ganze korrekt konfiguriert. Microsoft sollte jedoch die Standardeinstellungen ändern.
 
@Arhey: Wie sollen sie denn standardmäßig SSL aktivieren? Hier geht es um einen netzwerkinternen Server. Da muss der Betreiber des Servers selbst ein SSL-Zertifikat bereitstellen. Ohne das kann man da nix aktivieren.
 
Liebe WF Reaktion, vielleicht solltet ihr mal darüber nachdenken deutlicher zu machen in welchem Fall sowas überhaupt passieren kann oder ihr überlegt es euch mit solchen "erschreckenden Berichten" vielleicht ganz. Ich bin jetzt kein ausgemachte Windows 10 Fanboy, aber eine Rate von 1.5 Bedenkenträgern von 6 Nutzern insgesamt, aufgrund des Berichtes, ist vielleicht doch etwas hoch, oder?
 
@Lastwebpage: Naja in diesem Artikel war mehrfach von den "Server Update Services" die Rede...und nicht einmal von den normalen Windows Updates. Zwei Sekunden nachdenken würde reichen um zu erkennen worum es hier gibt (bzw. worum es hier nicht geht)
Ich denke das Problem von vielen ist viel eher "nicht bis zu Ende lesen aber schon eine "Meinung" haben" oder aber "gelesen, nicht verstanden aber trotzdem eine "Meinung" haben" oder aber "irgendwas mit Microsoft, also erstmal draufgehauen".

Finde es schon okay dass bei solchen Artikeln einfach ein gewissen Grundwissen vorausgesetzt wird und nicht jedes Mal der Urschleim erklärt wird. :-)
 
@Joyrider: Bedenklich ist aus meiner Sicht, trotz "urschleimiger" Bestandsaufnahme keinerlei Reflektion auf neuerdings bestehenden "Erweiterungen"?

ls zumindest Technische Affiner nicht W10 Nutzer, stellt sich mir die Frage:
"Was ist mit der Filshering-Update-Verteilung die ja auf der gleichen Programmtechniken und Grundlage beruht?"
Ja man kann sie Abschalten, wenn man von ihr Weiß oder wie es geht, aber im Zusammenhang mit der Update Pflicht ergeben sich EBEN NICHT Serverseitige Bedenken / Befürchtungen, deren "Unverständnis" doch Tief in das nichtvorhandene oder ausgeblendete Wissen über Windows und oder ihrer Funktionen blicken lassen!
 
@Kribs: Es geht NICHT um Windows 10 und es geht NICHT um das Updaten von Windows-System. Es geht um eine Server-Software von Microsoft und da sollte man erwarten, dass ein Admin weiß was er tut.
 
Also solange allein die US Administration jährlich 11$ Milliarden in die Entwicklung von Hacksoftware investiert um Wirtschaftsspionage und Cyberangriffe zu fahren wird es nie 100%tige Sicherheit geben.Von daher bleibt jedes nachträgliche Stopfen von Sicherheitslücken immer nur Flickwerk bis kurze Zeit später neue Lücken erkannt werden.Alles nur Kampf gegen Windmühlen und viel heiße Luft.
 
@LaBeliby: Wie jetzt? Wenn die US Administration keine 11 Milliarden Dollar mehr in die Entwicklung von "Hacksoftware" investiert, dann gibt es auf einmal 100%ige Sicherheit?
In welcher Traumwelt lebst du denn?
 
@Draco2007: Wer redet von 100% Sicherheit,Herr Traumwelt??? Es geht nur darum das die Staaten (nicht nur USA) mit ihren Aktivitäten jede größtmögliche Sicherheit von vornherein torpedieren.
 
@LaBeliby: Und wenn die USA damit aufhören, was dann? Richtig es ändert sich GAR NICHTS. Dann kommen die bösen Hacker eben aus Russland, oder Europa, oder China, oder vom Mars. Vollkommen wurscht, die USA hat mit den Sicherheitslücken genausoviel zu tun wie alle anderen...

Aber was ist denn dann seine Aussage und deine Schlussfolgerung?

Direkt auf Sicherheit scheißen? Sicherheitslücken nicht mehr stopfen, ist ja eh sinnlos?
Oder wolltest du einfach nur mal sinnlos gegen die USA bashen?
 
@Draco2007: Wollte nur darauf hinweisen das jeder Anschluss ans Internet immer ein offenes Buch für Geheimdienste sein wird und man nicht für NSA und Co bestimmte Daten und Aktivitäten besser abgeschirmt vom Web halten sollte.Was dein bashen betrifft hast du "(nicht nur USA)" sicher im Eifer überlesen.
 
@LaBeliby: Und was haben das Belauschen von Internet-Datenverkehr durch die Geheimdienste mit dem Artikel oben zu tun?

Oder weist Du einfach gern mal "nur darauf hin", auch bei Berichten über das Wetter oder die nächste Bundesligasaison? Oder muss es schon "irgendwas mit Computern" sein, damit Du mal darauf hinweist?
 
Als nächstes kommt bestimmt noch die News, wie man beliebige Updates in das P2P-Windows-Update von Win10 einschleust :/
 
Wirklich erschreckend, dass man eine unverschlüsselte Verbindung innerhalb eines Firmennetzes ausnutzen kann. Irgendwer brauchte da wohl mal wieder eine Schlagzeile.
 
Wie ist das nun eigentlich mit dem Peer-To-Peer Update von Windows 10?
 
@Lofi007: Nichts. Hat damit nichts zu tun.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles