Bedrijven en organisaties die hun Windows Server Update Services (WSUS) niet veilig hebben geconfigureerd geven aanvallers de mogelijkheid om het gehele bedrijfsnetwerk van besmette Windows-updates te voorzien. WSUS fungeert als een proxy voor Windows Update. Bedrijven kunnen via WSUS Windows-updates effectief binnen hun lokale netwerk uitrollen.

In plaats van dat alle bedrijfscomputers met de servers van Microsoft verbinding maken om updates te downloaden, wordt dit één keer gedaan door WSUS. De WSUS-server staat in het bedrijfsnetwerk opgesteld en alle aangesloten bedrijfscomputers zullen vervolgens hun Windows-updates via de WSUS-server downloaden. Standaard staat WSUS echter niet ingeschakeld om HTTPS te gebruiken. Een aanvaller die al toegang tot het bedrijfsnetwerk heeft kan hier gebruik van maken om vervolgens andere bedrijfscomputers over te nemen.

Dat hebben onderzoekers Paul Stone en Alex Chapman tijdens de Black Hat conferentie in Las Vegas gedemonstreerd (pdf). Om aanvallen via Windows-updates te voorkomen accepteert Windows alleen updates die door Microsoft zijn gesigneerd. De onderzoekers lieten echter zien dat een aanvaller door Microsoft gesigneerde bestanden kan hergebruiken om kwaadaardige updates te injecteren, waarmee vervolgens willekeurige commando's op de aangevallen computers zijn uit te voeren.

De aanval is volgens Stone en Chapman eenvoudig te voorkomen, namelijk het instellen van SSL. De meeste bedrijven zouden dit ook doen, zo laten ze tegenover SC Magazine weten. Bedrijven die het niet hebben ingesteld lopen echter het risico dat een systeembeheerder in één keer het gehele bedrijfsnetwerk kan compromitteren, aldus de onderzoekers. Naast het inschakelen van SSL door bedrijven die WSUS gebruiken, kan ook Microsoft de beveiliging opschroeven. De softwaregigant zou namelijk een apart certificaat voor het signeren van Windows-updates moeten gebruiken.