Windows Update może być wykorzystane przez cyberprzestępców

Autorzy złośliwego oprogramowania są w stanie wykorzystać składniki systemu Windows Update do dystrybucji wirusów – ostrzegła firma Symantec.

Firma ujawniła, iż rozprzestrzeniający się pod koniec marca drogą e-mailową trojan wykorzystywał do pobierania innych plików składnik o nazwie BITS (Background Intelligent Transfer Service).

BITS umożliwia przesyłanie plików pomiędzy komputerami. Usługa jest wykorzystywana przez Windows Update, Windows Server Update Services oraz Systems Management Server w celu dostarczania klientom uaktualnień. Używają jej również komunikatory Microsoftu (w celu przesyłania plików).

„Wykorzystanie BITS przy pobieraniu złośliwego oprogramowania to sprytne posuniecie ze strony cyberprzestępców – usługa omija bowiem lokalne zapory ogniowe” - wyjaśnia Elia Floro z firmy Symantec.

Sposób ten może być wykorzystywany przez kierujących sieciami botów – BITS może umożliwić pobranie dodatkowego złośliwego oprogramowania na już zainfekowanych maszynach, np. w celu deaktywacji zainstalowanego firewalla.

Blokowanie firewalli z wykorzystaniem metody BITS było znane już od 2006 roku, jednakże odkryty w marcu trojan jest udoskonaloną wersją malware,gdyż pozwala na pobieranie dodatkowych składników złośliwego oprogramowania do systemu, w którym zapora ogniowa mogła zostać już zniwelowana.

Obecnie nie jest wymyślono jeszcze mechanizmu obrony przed tego typu atakiem, gdyż niełatwo jest sprawdzić, jakie komponenty powinny zostać pobrane przez BITS.

Florio uważa, iż Microsoft powinien przeprojektować oprogramowanie tak, aby interfejs BITS był dostępny jedynie z wyższym poziomem uprawnień, lub dane pobierane przez usługę mogły pochodzić jedynie z zaufanych adresów URL.

źródło: www.theregister.co.uk