Корпоративные сети могут быть взломаны с помощью Windows Update

[amarao]

Простите, я не очень хорошо с виндовой частью знаком, но, разве, апдейты не подписаны цифровой подписью MS? То есть взлом транспорта не должен повлиять на то, согласна система ставить апдейт или нет.

По-крайней мере у debian/RHEL именно так — транспорт нешифрованный, апдейты подписанные gpg. Взлом или mitm на мирроре не влияет на уровень доверия обновлениям. Худшее, что может сделать mitm — это оставить систему без апдейтов.

[akamajoris]

Проверка подписи есть.

исследователи из Великобритании

… они как британские учёные.

[amarao]

У вас есть претензии к британской науке? Или к чему этот комментарий?

[realscorp]

Очевидно, имелся ввиду известный мем.

[Gordon01]

Можно установить не обновление, а любой софт, подписанный MS.

[Nikobraz]

А как подписать у MS криптер?

[realscorp]

В презентации, опубликованной по этой проблеме, написано несколько подробнее, чем в статье. Служба Windows Update проверяет только то, что устанавливаемое обновление имеет подпись Microsoft CA.
Кроме того, обновления могут быть разных типов, в том числе и CommandLineInstallation — что-то вроде скрипта, выполняемого над любым подписанным Майкрософтом исполняемым файлом.
Таким образом можно создать фальшивое обновление, которое будет запускать, например, подписанный PsExec с таким набором параметров, что будет получен шелл с удаленным доступом.
В-общем, проблема, получается, действительно есть :(

[amarao]

А сам скрипт не проходит проверку подписи? Тогда это лицо, на которое не хватает пальм.

[realscorp]

Там, в-общем, не скрипт на самом деле, а XML с параметрами установки. Вот он и не подписан. Увы, да, это фейспалм. Хотя не все так плохо — сервера Майкрософта отдают обновления только через HTTPS, так что домашние пользователи этой атаке не подвержены. Проблема касается только корпоративных сетей, где админы не настроили HTTPS на WSUS.

[EnterSandman]

Не вспомню как назывался, но еще во времена winxp был скрипт, который позволял посредством arp-спуффинга отдавал нагрузку на атакуемую машину.
То есть какой-нибудь винамп долбится на сервер обновлений — мы ему говорим мол вот, вышла версия 777 — и он её сам «down and execute»
там были и winamp, и notepad++, и WSUS. Всего около 40 приложений

нашёл. Evilgrade — и входит в Kali

[amarao]

В линуксах тоже норовят присобачить какой-нибудь bundler, pip, cargo и прочие штуки. Начинается как «для разработчиков», а заканчивается методом деплоя в продакшен.

[Tonkonozhenko]

Расскажите пожалуйста, чем так плох тот же bundler? Я как разработчик пока лучше не встречал.

[danfe]

Возможно, ответ найдется в этом топике (включая комментарии).

[amarao]

Для разработчика — да. Для стабильного сервера — нет, потому что бандлы качаются хер знает откуда хер знает каких версий и никто за ними не приглядывает. Сотня серверов поднялась нормально, а потом автор ololoxml меняет что-то, и оно всё начинает страшно обваливаться на серверах с сотого по двухсотый, и никто не может понять почему.

[evg_krsk]

Ничего не знаю про bundler, но как админу и майнтайнеру пакетов мне очень важна т.н. воспроизводимость сборки. Т.е. возможность в любой момент времени вернуться к старому исходнику и собрать идентичный до бита бинарник/пакет. В этом отношении каждый изобретающий свой гениальный тул (для разработчика, когда оно долетает до админа, ему обычно это кажется бардаком) мне только добавляет головной боли, т.к. «собирать рекурсивно исходники из интернетов» — невоспроизводимый подход. В огромном интернете всегда кто-то ошибается просто в силу размеров :-)

Последнее время этой темой озаботился и Дебиан (что не может не радовать), как я понимаю идут к цели полной воспроизводимости любого пакета на любой момент времени.

[DmitryKoterov]

BTW SSL != HTTPS