SUS Server Updates

[thomasp 10]

Servus Leute,

 

wenn ich einen SUS installiert habe..woher weiß der SUS das er Updates von MS erhalten hat und keine gefakten? Kann durch eine "Man-in-the-middle" Konstruktion das Updateverfahren umgangen werden?

 

Würde mich freuen von euch zu hören...

 

Mit freundlichem Gruß

 

Thomasp

[Necron 71]

Original geschrieben von thomasp

Servus Leute,

 

wenn ich einen SUS installiert habe..woher weiß der SUS das er Updates von MS erhalten hat und keine gefakten?

Der SUS kontaktiert folgenden Server von MS um die Updates runterzuladen.

http://www.msus.windowsupdate.com

[fritzo 10]

Hm...

 

die Frage ist gar nicht mal so unberechtigt. In einer Domäne wird der SUS-Server in einer der Policies festgelegt. Bei Standalone-Maschinen ist es wie bereits oben erwähnt msus.windowsupdate.com.

 

Aber mal eine Frage: was geschieht, wenn man im "hosts"-File einen Eintrag für diesen Host setzt und diesen auf eine beliebige IP eines gefakten SUS-Servers verbiegt? Oder wenn man ihn auf dem DNS-Server durch Cache-Poisoning / Spoofing verbiegt?

 

Grüße,

Fritzo

[fritzo 10]

Noch ein paar Infos:

 

Gemäß http://www.microsoft.com/windowsserversystem/sus/susfaq.mspx werden folgende Server beim Download angesprochen:

 

http://www.msus.windowsupdate.com

http://download.windowsupdate.com

http://cdm.microsoft.com

 

Ich habe zwar noch nichts gefunden, würde aber mal vermuten, daß MS den Download der Patches durch ein Zertifikat gesichert hat. Kann das jemand bestätigen?

 

Grüße,

Fritz

[thomasp 10]

Hallo Leute,

 

das SUS Thema sehe ich als ziehmlich heikel an.

 

1.)

Der UpdateServer von Microsoft ist bekannt, http://www.msus.windowsupdate.com, IP 207.46.197.119. Eine IP Adresse bzw. einen dns Namen im Internet zu faken halte ich generell für Möglich und wird wohl täglich auch des öfteren gemacht.

Somit ist es generell möglich so zu tun als wäre man ein Microsoft Update Server im Internet (Bitte Feedback!)

 

2.) Wenn Punkt 1 stimmt stellt sich die Frage wie wird sichergestellt das Clientseitig, also bei euren SUS im Unternehmen die sich die Updates von MS holen sollen sicherstellen das sie auch wirklich "echte" updates haben?

 

Hierzu folgender Text zitiert aus dem SUS Howto unter Gruppenrichtlinien.de, als Denkanstoß

 

"....Bei mir habe ich übrigens anstelle des W-XP-SP1a, das "alte" SP1 reinkopiert, das noch die Java-VM enthält und siehe da, es wird akzeptiert. !!!!!!Scheinbar werden die Signaturen der Dateien doch nicht kontrolliert und überprüft.!!!!!!

 

·Ein weiterer Test ergabt, das es reicht eine leere Textdatei mit den beiden oben genannten Namen zu hinterlegen. Was darauf schließen lässt, dass weder die Größe, noch die Signaturen kontrolliert werden, sondern allein der Name der Datei überprüft wird.

 

·Hier liegt aktuell für das XP-SP1 eine 0KB Große Textdatei herum mit dem Namen XPSP1A_CB7D182645EA1019741D9D94732C29251294ACDC.exe und der SUS meldet sie im Approve Dialog als...."

 

Das ganze ist sehr bedenklich, ich stelle mir Horrorszenarien vor in denen ein MS-Update Server im Internet gefaket wird, Updates an einen Firmeninternen SUS Verteilt und dort nicht gemerkt wird das Updates die Verteilt werden Backdoors etc. öffnen...schön..schön...

 

Bitte um Feedback!

 

Gruß

 

ThomasP

[Necron 71]

Original geschrieben von thomasp

Hallo Leute,

 

das SUS Thema sehe ich als ziehmlich heikel an.

 

1.)

Der UpdateServer von Microsoft ist bekannt, http://www.msus.windowsupdate.com, IP 207.46.197.119. Eine IP Adresse bzw. einen dns Namen im Internet zu faken halte ich generell für Möglich und wird wohl täglich auch des öfteren gemacht.

Somit ist es generell möglich so zu tun als wäre man ein Microsoft Update Server im Internet (Bitte Feedback!)

Dazu muss aber erstmal der DNS-Eintrag auf den Rootservern oder anderen DNS-Servern verändert werden, die Rootserver oder andere DNS-Server müssten erstmal gehackt werden und das ist nach meiner Ansicht nicht so leicht zu bewerkstelligen.