Des chercheurs ont prouvés que les mises à jour Windows Update peuvent être interceptées et manipulées afin d’y injecter un malware, notamment au sein des réseaux d’entreprises.
Les chercheurs en sécurité de la firme Context au Royaume-Uni ont découvert un moyen d’exploiter les implémentations non sécurisée de Windows Server Update Services (WSUS) pour entreprise.
Windows Server Update Services (WSUS) permet à un administrateur de déployer la mise à jour de Windows à partir du serveur principal sur l’ensemble des postes de travail au sein de l’entreprise. Ces mises à jour proviennent du serveur WSUS.
Une fois les mises à jour présentent sur le serveur, l’administrateur peut limiter le privilège pour les clients dans l’environnement d’entreprise pour télécharger et installer ces mises à jour. La distribution de ces mises à jour appartient à l’administrateur.
Intercepter WSUS pour injecter un malware en réseaux d’entreprise
Par défaut, WSUS n’utilise pas le SSL au sein d’une connexion HTTPS chiffrée. Au lieu de cela, il utilise le protocole HTTP non sécurisé. C’est une incontestable faiblesse de WSUS qui ne peut être ignorée.
Comme les installations de WSUS sont pas configurées pour utiliser le mécanisme de sécurité SSL, elles sont vulnérables aux attaques de type man-in-the-middle (MitM). Selon les chercheurs Paul Stone et Alex Chapman, l’attaque est si simple qu’un pirate avec des privilèges faibles peut mettre en place de faux mises à jour qui peuvent être installés automatiquement sur toutes les machines connectées au réseau !
Tous les paquets de mise à jour qui sont téléchargés à partir du site Microsoft Update sont signés avec une signature Microsoft. Qui ne peut être modifiée. Cependant, les pirates peuvent modifier Windows Update par l’installation de logiciels malveillants dans les métadonnées de la mise à jour.
“Par la modification des binaires Microsoft signé existant, nous avons pu démontrer qu’un attaquant peut injecter des mises à jour malveillantes afin d’exécuter des commandes arbitraires”, expliquent les chercheurs dans le document.
Une personne malintentionnée peut donc injecter des logiciels malveillants dans la communication SOAP XML entre le serveur WSUS et le client, faisant passer la mise à jour à installer comme purement authentique.
La mise à jour Windows inclut également plus de 25 000 conducteurs 3rd-party qui sont élaborés et signés par d’autres développeurs, pouvant également être modifiés facilement :
“Notre préoccupation est que lorsque vous branchez un périphérique USB, certains de ces pilotes peuvent avoir des vulnérabilités qui pourraient être exploitées à des fins malveillantes. Tout le monde est familier avec la « recherche automatique de pilotes » et les boîtes de dialogue ‘Windows Update’ sur leurs ordinateurs de bureau – mais ces fenêtres en apparence anodines peuvent cacher certaines menaces graves “.
Les chercheurs ont démontré le hack lors de la conférence Black Hat à Las Vegas au cours d’une conférence intitulée WSUSpect : Compromettre l’Enterprise Windows via Windows Update [PDF].
Crédits photo : Flickr, Pete (cc)
En effet, les mises à jour automatiques sont sources de risques, aussi, il serait mieux de prendre certaines précautions pour éviter un éventuel piratage informatique. D’autant que les hackers ne lésinent plus sur les moyens pour pouvoir s’infiltrer dans le PC des utilisateurs et ainsi dérober des données confidentielles.
Les commentaires sont fermés.