Vorsicht: Malware könnte über Windows-Update-Dienst in Firmen kommen

Die Sicherheitsexperen Paul Stone und Alex Chapman haben auf der Black-Hat Sicherheits-Konferenz demonstriert, wie sich eine unsichere Implementierung des Windows Server Update Services ausnutzen lässt, um Malware in einem Firmen-Netzwerk automatisch zu verbreiten. Dazu können Angreifer einen Fehler im Windows-Update-Dienst ausnutzen. Der WSUS Dienst ist Teil des Windows-Server-Betriebssystems und versorgt die Rechner im Firmen-Netz mit neuen Windows-Updates.

Während des Update-Vorgangs lädt Windows eigentlich verifizierte Pakete von dem Microsoft Server und installiert diese auf jedem einzelnen System. In Firmen-Netzen werden diese Updates aber oft über einen eigenen Server verteilt, der die Daten zunächst von den Microsoft Servern lädt und dann an alle PCs im Netzwerk verteilt. Durch das Umprogrammieren einzelner Dateien konnten die beiden Forscher so aber auch schädliche Updates auf ein System spielen, indem sie den Update-Server angriffen: Dieser verteilte die manipulierte Software dann an die im Netzwerk verbundenen PCs weiter.

Zum Schutz vor der Sicherheitslücke hilft es lauf den beiden Sicherheitsforschern, wenn man die SSL Verschlüsselung auf dem Windows Update Server aktiviert: Der Windows Server Update Services (WSUS) ist danach gegen unverschlüsselte Verbindungen abgesichert und sollte keine manipulierten Updates mehr an die andere Rechner im Firmennetzwerk verteilen. Bei der Installation des Server-Systems wird die Verwendung der SSL Verschlüsselung zwar direkt vorgeschlagen, ist aber nicht verpflichtend – wer dies aber nicht nutzt, riskiert das aktuelle Firmennetzwerk mit manipulierter, schädlicher Software zu verseuchen.