Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

WSUS laat aanvaller besmette Windows-updates verspreiden

vrijdag 7 augustus 2015, 11:08 door Redactie, 6 reacties

Bedrijven en organisaties die hun Windows Server Update Services (WSUS) niet veilig hebben geconfigureerd geven aanvallers de mogelijkheid om het gehele bedrijfsnetwerk van besmette Windows-updates te voorzien. WSUS fungeert als een proxy voor Windows Update. Bedrijven kunnen via WSUS Windows-updates effectief binnen hun lokale netwerk uitrollen.

In plaats van dat alle bedrijfscomputers met de servers van Microsoft verbinding maken om updates te downloaden, wordt dit één keer gedaan door WSUS. De WSUS-server staat in het bedrijfsnetwerk opgesteld en alle aangesloten bedrijfscomputers zullen vervolgens hun Windows-updates via de WSUS-server downloaden. Standaard staat WSUS echter niet ingeschakeld om HTTPS te gebruiken. Een aanvaller die al toegang tot het bedrijfsnetwerk heeft kan hier gebruik van maken om vervolgens andere bedrijfscomputers over te nemen.

Dat hebben onderzoekers Paul Stone en Alex Chapman tijdens de Black Hat conferentie in Las Vegas gedemonstreerd (pdf). Om aanvallen via Windows-updates te voorkomen accepteert Windows alleen updates die door Microsoft zijn gesigneerd. De onderzoekers lieten echter zien dat een aanvaller door Microsoft gesigneerde bestanden kan hergebruiken om kwaadaardige updates te injecteren, waarmee vervolgens willekeurige commando's op de aangevallen computers zijn uit te voeren.

De aanval is volgens Stone en Chapman eenvoudig te voorkomen, namelijk het instellen van SSL. De meeste bedrijven zouden dit ook doen, zo laten ze tegenover SC Magazine weten. Bedrijven die het niet hebben ingesteld lopen echter het risico dat een systeembeheerder in één keer het gehele bedrijfsnetwerk kan compromitteren, aldus de onderzoekers. Naast het inschakelen van SSL door bedrijven die WSUS gebruiken, kan ook Microsoft de beveiliging opschroeven. De softwaregigant zou namelijk een apart certificaat voor het signeren van Windows-updates moeten gebruiken.

Nieuwe privacytool beschermt tegen online tracking
Chrome gaat misleidende inline-installaties blokkeren
Reacties (6)
07-08-2015, 11:18 door Anoniem
Het is dan ook natuurlijk de schuld van "bedrijven" dat redmond standaard allerlei steken laat vallen.
07-08-2015, 11:41 door karma4
De onkunde bij de bedrijven "Bedrijven en organisaties die hun Windows Server Update Services (WSUS) niet veilig hebben geconfigureerd" is de schul van Redmond. Geen fraaie redenering zoiets zit vaker in bepaalde hoeken https://nl.wikipedia.org/wiki/Subversief.

"Naast het inschakelen van SSL door bedrijven die WSUS gebruiken, kan ook Microsoft ....." Geen SSL en geen gecontroleerd update uitrol. Wie doet zoiets?
07-08-2015, 12:44 door Anoniem
Bedrijven die het niet hebben ingesteld lopen echter het risico dat een systeembeheerder in één keer het gehele bedrijfsnetwerk kan compromitteren, aldus de onderzoekers.

Dat kan hij toch al wel doen. Ik denk eerder dat in dit geval ook de netwerkbeheerder dat kan doen.

Peter
07-08-2015, 13:34 door yobi
Hoe zit het met updates verkregen van andere gebruikers in Windows 10?

Voor de zekerheid maar uitgezet:
Bijwerken en beveiliging -> Windows update -> Geavanceerde opties -> Kiezen op welke manier updates worden geleverd -> optie uitzetten.
07-08-2015, 14:10 door Anoniem
Door Anoniem: Het is dan ook natuurlijk de schuld van "bedrijven" dat redmond standaard allerlei steken laat vallen.

Microsoft dient inderdaad te zorgen dat ze WSUS standaard veilig laten uitrollen dus SSL/TLS standaard aan en mocht men dat niet willen kan het uitgezet worden, al zou ik niet weten waarom. Ze moeten het standaard veilig ontwerpen!

Maar ja laten we eerlijk wezen microsoft is altijd al hopeloos geweest qua security in hun producten.
07-08-2015, 22:47 door Anoniem
Door Anoniem:
Door Anoniem: Het is dan ook natuurlijk de schuld van "bedrijven" dat redmond standaard allerlei steken laat vallen.

Microsoft dient inderdaad te zorgen dat ze WSUS standaard veilig laten uitrollen dus SSL/TLS standaard aan en mocht men dat niet willen kan het uitgezet worden, al zou ik niet weten waarom. Ze moeten het standaard veilig ontwerpen!

Maar ja laten we eerlijk wezen microsoft is altijd al hopeloos geweest qua security in hun producten.

Waarschijnlijk is dit omdat niet alle bedrijven die WSUS gebruiken, ook een PKI hebben. Selfsigned certificates is nou eenmaal niet direct common practice (laat staan best practice)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Vacature
Vacature

Security consultant

Weet jij alles van security, governance, risk en compliancy en weet je dit te vertalen naar gerichte oplossingen voor onze klanten? Begrijp jij als geen ander zowel de inhoudelijke kant, als de ‘organizational change’ kant van cybersecurity? Dan ben jij wellicht onze nieuwe security consultant!

Lees meer
Vacature
Vacature

Digital Forensic Researcher Mobile Device Hacking

Netherlands Forensic Institute (NFI)

As a digital expert in the field of mobile device hacking, you will strengthen the Digital Technology team. Your challenge? Reverse engineer the workings and security of mobile consumer devices.

Lees meer
Vacature
Vacature

Privacy Officer / CISO

Denk jij bij het lezen van artikelen in de media die het belang rondom privacy en informatiebeveiliging duiden, het hoeft toch helemaal niet zover te komen als je als organisatie je zaken op orde hebt? Dan zoeken wij jou!

Lees meer
Vacature
Image

IT Security Officer

Wil jij werken bij een organisatie die het belang van informatiebeveiliging en privacy inziet en zich realiseert dat dit continue aandacht vergt? Als IT Security Officer bij Zaanstad heb je een coördinerende, ondersteunende en adviserende rol op het gebied van informatiebeveiliging. Een veelzijdige en uitdagende functie!

Lees meer
Vacature
Vacature

Digital Forensic Researcher

Netherlands Forensic Institute (NFI)

Immerse yourself in research projects covering the analysis, reparation, and accessing of modern integrated circuits at various levels, from packages to components. In addition, contribute to law enforcement in the Netherlands. You will only find that unique combination at the NFI, where you get to work as a digital forensic researcher and examiner.

Lees meer
Vacature
Vacature

Functionaris Gegevensbescherming (FG)

Als FG ben je de onafhankelijke toezicht-houder op naleving van de Algemene Verordening Gegevensbescherming (AVG) binnen de gehele TU/e. Je houdt toezicht op de toepassing en naleving van de AVG door de universiteit op diverse domeinen: onderwijs, onderzoek, valorisatie en bedrijfsvoering.

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter