L’ANSSI déconseille la configuration par défaut de WSUS

L'Agence nationale de la sécurité des systèmes d'information a publié un nouveau bulletin d'actualité cette semaine concernant WSUS, et plus particulièrement sur les risques liés à la configuration par défaut de cette fonctionnalité.

Pour rappel, WSUS permet de mettre en place un serveur de mises à jour pour vos stations de travail et vos serveurs, en interne au sein de votre entreprise. Ainsi, dans les grandes lignes : vous distribuez à partir de votre serveur WSUS en local les mises à jour sans que chaque machine soit obligée de les télécharger sur internet.

L'ANSSI explique que par défaut WSUS utile le protocole HTTP pour communiquer avec les postes clients, ce qui le rend vulnérable à des attaques man-in-the-middle. Le problème serait surtout au niveau des métadonnées de la mise à jour, car elles ne sont pas authentitifées par le client, ce qui pourrait permettre d'y passer des commandes autres en modifiant ces arguments. Et comme les mises à jour sont réalisées sous le compte "NT AUTHORITY\SYSTEM" qui dispose des privilèges maximaux...

Par conséquent, pour se protéger de cette attaque, il est conseillé de configurer votre serveur WSUS pour qu'il utilise HTTPS.

Vous trouverez sur le la page suivante l'ensemble des détails ainsi que des conseils en matière de neutralisation des comptes dans l'Active Directory :

Risques liés à la configuration par défaut de WSUS

Florian BURNEL Co-founder of IT-Connect

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

See Full Bio