В трафик Windows Update можно внедрять вредоносный код

Исследователи компании Context Information Security разработали и опубликовали утилиту WSUSpect, позволяющую пен-тестерам внедрять вредоносные обновления Windows в корпоративные сети, использующие для обновления ОС сервер WSUS. WSUSpect представляет собой PoC-скрипт, основанный на представленных разработчиками данных во время конференции Black Hat USA 2015.

Утилита работает на Python 2.7 и может заражать ПК под управлением Windows 7 или 8, получающие обновления с сервера WSUS по незашифрованному каналу. Для того чтобы передать вредоносный файл на компьютеры жертв, необходимо, чтобы система с запущенным WSUSpect выступала в качестве прокси-сервера, к которому должны быть подключены все ПК, на которые злоумышленник планирует установить вредоносные обновления.

Для того чтобы распространять вредоносные обновления, WSUSpect использует уязвимость в Windows Update, связанную с установкой драйверов для сторонних USB-устройств. Проблема существует из-за того, что такие драйверы могут быть размещены в Windows Update без цифровой подписи Microsoft и могут быть установлены даже пользователями без соответствующих привилегий. Злоумышленник может создать специально сформированный файл обновления и с помощью WSUSpect распространить его по всей корпоративной сети.

Единственным способом защититься от подобных атак является включение SSL-трафика для распространения обновлений по WSUS. Несмотря на то, что Microsoft рекомендует использовать SSL во всех случаях, эта опция отключена по умолчанию.