Veszélyben a Windows-szerverek
A sebezhetőség lényege: ha egy támadó speciálisan összeállított kéréssel célozza a sérülékeny WSUS-rendszert, teljes hozzáférést szerezhet – akár a teljes szervert is átveheti. Ehhez nincs szükség bejelentkezésre, és már egyetlen támadás is elegendő lehet a sikerhez. A hiba alapja, hogy a rendszer nem megbízható adatokat dolgoz fel megfelelő ellenőrzés nélkül.
Nem hagyható figyelmen kívül, hogy azok a szerverek, ahol nincs engedélyezve a WSUS-szerepkör, nem érintettek, ám az online működő, frissítetlen WSUS-szerverek valószínűleg már kompromittálódtak is.
Hiányos javítás, hatékony támadások
Kevin Beaumont biztonsági kutató laboratóriumi környezetben igazolta, hogy távoli kódvégrehajtás után akár rosszindulatú frissítéseket is lehet küldeni az ügyfeleknek. Például beállítható, hogy a kliensek azonnal vagy előre meghatározott időpontban telepítsék a káros frissítést. Ennek ellenére a Microsoft hivatalosan továbbra sem ismeri el, hogy aktív támadások folynának, és az adatbázis szerint még nincs nyilvános káros kód, bár ezt valószínűleg hamarosan módosítaniuk kell.
Tényleges veszély: célkeresztben az érzékeny rendszerek
A Huntress és a watchTowr kiberbiztonsági cégek egyaránt figyelmeztetnek: a támadók PowerShell- és HTTP worker-folyamatokat használva szerverekről érzékeny adatokat, hálózati és felhasználói információkat gyűjtenek, majd ezeket proxyhálózaton keresztül továbbítják. A hibát egyelőre főként azok tudják kihasználni, akik nyilvánosan elérhetővé tették a WSUS-portjaikat (8530/TCP, 8531/TCP), bár szerencsére ez ritka.
Mindezek alapján megállapítható, hogy bár globális támadási hullám nem indult, ahol a WSUS sérülékeny és az internet felé nyitott, ott most is nagy a veszély. A szakértők szerint ráadásul több mint 8000 érzékeny szervezet lehet érintett, köztük elsődleges célpontnak számító nagyvállalatok és intézmények is.
