Экспертами из компании Context Information Security создана и обнародована утилита WSUSpect, которая позволяет осуществлять внедрение вредоносных обновлений Windows в корпоративные сети, пользующихся сервером WSUS для обновления операционной системы.
WSUSpect – это PoC-скрипт, который основан на информации, представленной разработчиками на конференции Black Hat USA 2015.
Используя эту написанную на Python 2.7 утилиту, можно заразить компьютеры под управлением ОС Windows 7/8, обновления для которых передаются по незашифрованному каналу с сервера WSUS. Для передачи вредоносного файла на целевые компьютеры нужно использовать систему с запущенным WSUSpect как прокси-сервер. Эта система должна быть связана со всеми компьютерами, на которые планируется установить вредоносные обновления.
Для распространения вредоносных обновлений, WSUSpect применяет уязвимость в Windows Update, которая связана с установкой драйверов для посторонних USB-устройств. Источником существования проблемы является возможность размещения драйверов в Windows Update без цифровой подписи Microsoft и, впоследствии, их установки даже пользователями, не имеющими на это права. Злоумышленником может быть создан специальный файл обновления, который будет распространен по всей корпоративной сети с помощью WSUSpect.
Единственный способ защиты от этой угрозы – включить SSL-трафик для распространения обновлений по WSUS. Хотя в Microsoft рекомендуют пользователям всегда пользоваться SSL, данная опция по умолчанию не активирована.