ضعف در مکانیزم به روز رسانی ویندوز باعث شده تا هکرها از این مکانیزم به روز رسانی ویندوز سوء استفاده نمایند و شبکهء شرکت ها را هدف حمله قرار دهند.
محققانی از یک شرکت امنیتی انگلیسی در کنفرانس کلاه سیاه امسال نشان دادن که هکرها چگونه می توانند از یک ضعف در مکانیزم به روز رسانی ویندوز سوء استفاده نمایند تا شبکه شرکت ها را هدف حمله قرار دهند.
این حمله بسیار ساده است. در حالت عادی، کامپیوترهای شخصی در شبکه شرکت ها به روز رسانی های ویندوز را از طریق سرور WSUS دریافت می کنند. اما پیکربندی نا امن سرور به روز رسان شرکت ها می تواند باعث شود تا این سرورها برای افزایش حق دسترس و حملات شبکه مورد سوء استفاده قرار بگیرند.
در طول فرآیند به روز رسانی، بسته های به روز رسانی امضاء و ممیزی شده بر روی سرور دانلود و نصب می شوند. توسط باینری های موجود امضاء شده مایکروسافت، محققان توانستند نشان دهند که یک مهاجم می تواند به روز رسانی های مخرب را به منظور اجرای دستورات دلخواه به سیستم تزریق کند.
محققان از پایین ترین حق دسترسی برای تنظیم به روز رسانی های جعلی که به صورت خودکار بر روی ماشین ها دانلود و نصب می شود استفاده کردند.
سرورهای WSUS که برای استفاده از رمزگذاری های متداول وب مانند گواهینامه SSL پیکربندی نشده اند در برابر حملات MitM آسیب پذیر هستند.
یکی از محققان اظهار داشت که این حمله بسیار ساده است و ادمین های شرکت ها که استفاده از رمزگذاری را بر روی سرورهای WSUS اجبار نکرده اند باعث می شوند کل شبکه سازمان به راحتی در معرض خطر قرار گیرد.
محققان اعلام کردند اگر ادمین های شبکه راهنمایی های مایکروسافت در خصوص استفاده پیش فرض از SSL بر روی سرورهای به روز رسان را دنبال کنند، می توانند در برابر این نوع حملات از شبکه حفاظت کنند. هم چنین اقدامات دیگری برای داشتن حافظت قوی تر مانند استفاده از گواهی امضای مجزا برای بررسی به روز رسانی ها وجود دارد.
فسا-پسا
