(threatpost) - Windows Server Update Services (WSUS) es tu amigo, si tienes un ambiente de TI de corporativo, ya que facilita la descarga y distribución de parches de seguridad, instalaciones de Service Pack y actualizaciones de controladores de hardware, entre otros.
Esta semana dos investigadores en la conferencia Black Hat, sin embargo, señalaron que WSUS puede ser una debilidad significativa que puede conducir a comprometer completamente cualquier servidor o estación de trabajo en una organización conectada al servicio de actualización automática.
Paul Stone y Alex Chapman de Context Information Security, de el Reino Unido le dieron un gran vistazo a la posibilidad de un ataque a WSUS y descubrieron que cuando un servidor WSUS contacta a Microsoft para actualizaciones de controladores, lo hace utilizando los servicios web XML SOAP y las validaciones no se realizan a través de SSL. Mientras que las actualizaciones son firmadas por Microsoft y estas deben ser verificadas por Microsoft, Stone y Chapman descubrieron que un atacante ya en una posición de hombre en el medio (man-in-the-middle) de una red corporativa, por ejemplo, podría (con algunos trabajos de manipulación en la comunicación sin cifrar) inyectar una actualización maliciosa de su cosecha.
Mientras el configurar SSL durante la configuración inicial de WSUS mitiga la situación, hay organizaciones que pueden omitir este decisivo y último paso de la instalación de WSUS. Un atacante que logre publicar una actualización maliciosa en una organización a través de WSUS, podía hacer cualquier cosa, desde eliminar, bajar versiones o detener la instalación de parches para conseguir un control total sobre los servidores y equipos de escritorio.
"Es el peor de los escenarios y es bastante malo", dijo Stone. "Y no es una vulnerabilidad, no es algo para que Microsoft solucione."
Stone y Chapman dijeron que han tenido un diálogo con Microsoft acerca de su investigación, que Microsoft reconoció y dijo que recomienda a los administradores en empresas el habilitar SSL. Hacerlo requiere aprovisionar un certificado SSL para las máquinas que realizan la actualización, un proceso difícil de automatizar.
"No es difícil proteger WSUS y es algo que la mayoría de los administradores sabrían cómo hacerlo", dijo Stone. "Microsoft no puede hacerlo de forma predeterminada. Podrían impedir que el servicio funcione hasta que un certificado sea instalado, supongo ".
Stone y Chapman dijeron que decidieron hacer frente a los controladores porque la mayoría de estos son desarrollados por terceros para servidores y clientes de Windows, por lo que estos son un blanco más fácil, ya que, a pesar del hecho de que las actualizaciones son firmadas y verificadas por Microsoft, los metadatos XML pueden ser actualizados de forma que te dirijan a descargas y ejecuciones de una actualización maliciosa.
De la investigación de Stone y Chapman:
Windows Update verificará que cada actualización este firmada por Microsoft. Sin embargo, no hay ninguna firma de certificados específica de "Windows Update"- cualquier archivo que este firmado por una CA (Autoridad Certificadora) de Microsoft será aceptado. Mediante la inyección de un parche que utilice el controlador de actualización CommandLineInstallation, un atacante puede hacer que un cliente corra cualquier archivo ejecutable firmado por Microsoft, incluso uno que no estuviera destinado a ser utilizado en Windows Update. Aún mejor, el ejecutable se puede correr con argumentos arbitrarios. Por lo tanto tenemos que encontrar un ejecutable adecuado que contenga comandos arbitrarios por ejecutar.
Mostraron la herramienta de Windows Sysinternals, específicamente la utilidad de comandos remotos llamada PsExec que está firmada por Microsoft.
"Esencialmente, hemos hecho un programa que ejecuta un ataque de hombre-en-el-medio en el tráfico de WSUS y creamos una actualización falsa; dijimos a la máquina dicha que descargue PsExec y lo ejecute con algunos argumentos para hacer algo malicioso", dijo Chapman. "Ese es el ataque. Lo realmente divertido es que todas las actualizaciones se instalan como "system" sin importar si eres un usuario con privilegios bajos o un administrador. Así que esto es muy poderoso".
El único requisito previo para el ataque es estar en la red local. A partir de ahí, incluso un atacante no autenticado puede ejecutar el ataque contra cualquier máquina que ejecuta WSUS sin SSL para ejecutar comandos arbitrarios, dijo Chapman.
"Lo más difícil fue sólo encontrar los ejecutables firmados por Microsoft que pudiéramos correr para hacer cosas útiles", dijo Chapman.
