Trojanere kan kapre Windows Update

Windows Update er en diskret måte for ondsinnet kode å oppdatere seg selv, ifølge Symantec.

På sikkerhetsbloggen til virusverner Symantec ble det fredag publisert et innlegg om hvordan ondsinnet kode som trojanere og ormer kan hekte seg på en tjeneste i Windows Update for å oppdatere seg selv.

Innlegget er skrevet av Elia Florio, og bygger blant annet på en analyse som hans kollega Frank Boldewin gjorde av trojaneren Win32/Jowsrpy som ble avslørt i tysk spam i mars.

Denne trojaneren bruker Windows-komponenten BITS – «Background Intelligent Transfer Service» – når den skal hente filer for å oppdatere seg selv eller installere nye «tjenester» på PC-en den allerede har infisert. BITS er en tjeneste som Microsoft la inn i Windows XP. Den ble utviklet for å la Windows- og andre Microsoft-oppdateringer gå i bakgrunnen. Overføringene går diskret i bakgrunnen, og forstyrrer brukeren minste mulig.

Det må understrekes at BITS ikke kan brukes til å infisere en PC. PC-en må infiseres først, gjennom andre kanaler, for eksempel vedlegg til e-post. Men hackere har altså funnet ut hvordan de kan bruke BITS til å overføre mer ondsinnet kode, når de en gang har fått noe på plass i offerets maskin.

For hackeren gir BITS den fordelen at denne typen overføring per definisjon betraktes som legitim. Den vil ikke avsløres av andre mekanismer, og aldri belaste ressursene i den infiserte PC-en slik at offeret fatter mistanke. Bruk av BITS innebærer også at PC-ens – og lokalnettets – brannmur omgås uten videre: De færreste har en innstilling som holder Windows Update ute.

Det er ingen grunn til å slå av Windows Update: Det vil bare medføre økt risiko, siden man da står uten tetningsmiddel for kjente sikkerhetshull.

Boldewin og Florio foreslår at Microsoft legger om BITS, for eksempel at nedlastinger via BITS bare kan komme fra bestemte og forhåndsgodkjente nettadresser.

En Microsoft-talsperson sier til Ars Technica at selskapet er klar over denne misbruken av BITS. Vedkommende peker på at misbruken av BITS krever at PC-en allerede er infisert av ondsinnet kode. Det går ikke fram av uttalelsen hvorvidt Microsoft vil oppgradere BITSs egne sikkerhetsinnstillinger.

Symantecs sikkerhetsblogg kan leses her: Malware Update with Windows Update.

Til toppen