Windows Update có thể bị can thiệp để lây nhiễm malware

Những bản cập nhật do chính Windows Update cung cấp cũng có thể bị can thiệp. Các nhà nghiên cứu bảo mật đã tìm ra cách sử dụng chính thành phần bảo mật của Windows để phát tán và lây nhiễm malware trong các tổ chức, doanh nghiệp.

Các nhà nghiên cứu bảo mật Mỹ từ công ty Context đã phát hiện ra một khác mới khai thác cấu hình cài đặt kém bảo mật của Windows Server Update Services (WSUS) phiên bản dành cho doanh nghiệp.

Windows Server Update Services (WSUS) cho phép quản trị viên triển khai cập mật phần mềm trên máy chủ và toàn bộ máy trạm trong một tổ chức. Quản trị viên sẽ đóng vai trò là người phân phối các bản cập nhật.

Mặc định thì WSUS không sử dụng SSL mã hóa HTTPS khi cung cấp dịch vụ web SOAP (Simple Object Access Protocol) XML mà sử dụng HTTP. Theo nhà nghiên cứu Paul Stone và Alex Chapman, tin tặc có thể thực hiện dễ dàng tấn công man-in-the-middle (MitM) với đặc quyền thấp để đưa bản cập nhật giả mạo tự động cài đặt lên những thiết bị đã kết nối.

Tất cả gói cập nhật được tải về từ trang Windows Update có chứng chỉ số của Microsoft. Không thể thay thế chứng chỉ đó nhưng tin tặc có thể can thiệp bằng cách cài đặt malware trong metadata của bản cập nhật. Windows Update chứa hơn 25,000 driver bên thứ ba có chứng chỉ số và được phát triển bởi các hãng khác rất dễ dàng bị can thiệp.

Đây có thể sẽ trở thành một mối đe dọa lớn dành cho Windows 10. Mặt khác, phần lớn các tổ chức doanh nghiệp vẫn đang sử dụng phiên bản Windows cũ càng dễ bị tấn công hơn. Chi tiết về cuộc tấn công được công bố tại đây, bạn cũng có thể theo dõi các nhà nghiên cứu trình bày tại hội nghị bảo mật Black Hat tuần này.

THN