Redes corporativas podem ser comprometidas através de atualizações do Windows

windowsPesquisadores do Reino Unido demonstraram na Black Hat USA 2015 como o Windows Update pode ser explorado por ataques internos em redes corporativas através de implementações corporativas configuradas de forma insegura pelo Windows Server Update Services (WSUS).

O WSUS permite a administradores coordenarem atualizações de software para servidores e desktops em toda a organização, mas o padrão da Microsoft para instalar o WSUS é usando HTTP e não HTTPS. Ao explorar essa fraqueza, os pesquisadores foram capazes de utilizar direitos de acesso de baixo privilégio para configurar atualizações falsas que seriam instaladas automaticamente. Essas atualizações podem potencialmente fazer downloads de Trojans ou outros malwares e serem usadas para configurar acessos administrativos com um nome de usuário e senha falsa. As organizações podem descobrir rapidamente se são vulneráveis, verificando as definições das políticas de grupo do WSUS. Se a URL não começa com https o computador é vulnerável ao ataque.

Durante a apresentação da Black Hat os pesquisadores também levantaram preocupações sobre drivers de terceiros instalados via Windows Update. “Nós já começamos a baixar e investigar cerca de 2.284 drivers de terceiros”, disse Stone, principal consultor dos pesquisadores. Todo mundo está familiarizado com a opção de “procurando drivers automaticamente” e caixas de diálogo do Windows Update em seus desktops, porém, essas janelas aparentemente inofensivas podem estar escondendo algumas ameaças graves.

Acesse a notícia completa no link.