ในงาน Black Hat USA 2015 ที่กำลังดำเนินอยู่นี้ นักวิจัยด้านความปลอดภัยจาก Context Information Security ประเทศอังกฤษ ได้ออกมาเปิดเผยวิธีการโจมตีระบบเครือข่ายภายในผ่านการอัพเดท Windows ในบริษัทที่ตั้งค่าการใช้งาน Windows Server Update Services (WSUS) ไม่ปลอดภัยเพียงพอ ส่งผลให้แฮ็คเกอร์สามารถเข้าถึงเครื่องลูกข่ายโดยมีสิทธิ์เป็น Admin และขโมยข้อมูลสำคัญออกไปได้
ช่องโหว่จากการไม่ใช้งาน HTTPS ในการอัพเดท
WSUS เป็นบริการสำคัญของ Windows Server ที่ช่วยให้ผู้ดูแลระบบสามารถบริหารจัดการการอัพเดทซอฟต์แวร์ให้แก่เครื่องเซิฟเวอร์และเครื่องลูกข่าย (PC) ในบริษัทได้อย่างง่ายดาย แต่การตั้งค่าการใช้งาน WSUS ดั้งเดิมจากโรงงานนั้น จะใช้โปรโตคอล HTTP ในการรับส่งข้อมูลการอัพเดทระหว่างเซิฟเวอร์และเครื่องลูกข่าย ซึ่งไม่มีการเข้ารหัสข้อมูลแต่อย่างใด ผู้ไม่ประสงค์ดีอาจโจมตีผ่านช่องโหว่นี้เพื่อปลอมการอัพเดทและสั่งให้เครื่องลูกข่ายอัพเดทโดยอัตโนมัติได้ โดยใช้สิทธิ์ในการเข้าถึงที่ไม่ต้องสูงมากนัก (Low-privileged Access Rights)
ปลอมการอัพเดทโดยให้ดาวน์โหลดโทรจันหรือมัลแวร์มาติดตั้งแทน
การอัพเดทที่เกิดขึ้นนี้ อาจดาวน์โหลดโทรจันหรือมัลแวร์อื่นๆเพื่อให้ผู้ไม่ประสงค์ดีสามารถเข้าควบคุมเครื่องคอมพิวเตอร์หรือขโมยข้อมูลได้โดยใช้ชื่อบัญชีและรหัสผ่านปลอมเป็น Admin ของเครื่อง จากการทดสอบของทีมวิจัยจาก Context พบว่า คอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Windows ทุกเครื่องที่ทำการอัพเดทผ่านทาง WSUS โดยไม่ใช้โปรโตคอล HTTPS มีความเสี่ยงที่จะถูกโจมตีด้วยวิธีดังกล่าวได้
แนะให้ตรวจสอบ Group Policy และ Registry Key
บริษัทสามารถตรวจสอบว่าการอัพเดท Windows ของตนใช้ HTTPS หรือไม่ผ่านทางการตั้งค่า WSUS Group Policy บนเครื่องเซิฟเวอร์และการตั้งค่า Registry Key บนเครื่องลูกข่าย ถ้า URL ไม่ได้ระบุเป็น HTTPS นั่นหมายความระบบคอมพิวเตอร์ของบริษัทมีความเสี่ยงที่จะถูกโจมตี
Context ระบุว่า การเจาะระบบรูปแบบดังกล่าวเป็นกรณีศึกษาสำหรับการตั้งค่าระบบคอมพิวเตอร์ไม่ดีเพียงพอ และแนะนำว่าให้แต่ละบริษัทใช้การเข้ารหัส SSL ในการอัพเดทระบบปฏิบัติการ แทนที่จะใช้การตั้งค่าดั้งเดิมของโรงงานที่ไม่มีการเข้ารหัส ก็สามารถป้องกันเหตุการณ์แบบนี้ได้ นอกจากนี้ การใช้ Certificate ต่างหากสำหรับการอัพเดทก็ช่วยยกระดับการป้องกัน รวมทั้งมั่นใจได้ว่าการการปลอมแปลงการอัพเดทจะไม่เกิดขึ้น
รายละเอียดงานวิจัย: http://www.contextis.com/documents/161/CTX_WSUSpect_White_Paper.pdf