BlackHat 2015 : MiTM sur Windows Server Update Services

Windows Server Update Services est un système fréquemment utilisé en entreprise qui consiste pour un administrateur a avoir un répo local des updates Windows que toutes les machines utiliseront pour éviter qu’à la prochaine update de Windows toutes les machines se connectent au serveur de crosoft et tuent la VoIP / RDP / whatever de la boîte :p

Les chercheurs de chez Context se sont penchés sur WSUS et on trouvé que dans certaines configurations (pas de SSL) il était possible de générer des updates malicieuses et ainsi infecter les machines.
L’exploitation de cette attaque MiTM requiert tout de même que les exécutables de l’update soient signés par Microsoft
En utilisant des outils de SysInternals (signés) et comme il est possible de définir les arguments à passer à l’exécutable de l’update, ils ont ainsi pu faire exécuter des commandes.

Whitepaper et slides sont disponibles.

Une réflexion au sujet de « BlackHat 2015 : MiTM sur Windows Server Update Services »

Les commentaires sont fermés.