L’ANSSI déconseille la configuration par défaut de WSUS

L'Agence nationale de la sécurité des systèmes d'information a publié un nouveau bulletin d'actualité cette semaine concernant WSUS, et plus particulièrement sur les risques liés à la configuration par défaut de cette fonctionnalité.

anssi1Pour rappel, WSUS permet de mettre en place un serveur de mises à jour pour vos stations de travail et vos serveurs, en interne au sein de votre entreprise. Ainsi, dans les grandes lignes : vous distribuez à partir de votre serveur WSUS en local les mises à jour sans que chaque machine soit obligée de les télécharger sur internet.

L'ANSSI explique que par défaut WSUS utile le protocole HTTP pour communiquer avec les postes clients, ce qui le rend vulnérable à des attaques man-in-the-middle. Le problème serait surtout au niveau des métadonnées de la mise à jour, car elles ne sont pas authentitifées par le client, ce qui pourrait permettre d'y passer des commandes autres en modifiant ces arguments. Et comme les mises à jour sont réalisées sous le compte "NT AUTHORITY\SYSTEM" qui dispose des privilèges maximaux...

Par conséquent, pour se protéger de cette attaque, il est conseillé de configurer votre serveur WSUS pour qu'il utilise HTTPS.

Vous trouverez sur le la page suivante l'ensemble des détails ainsi que des conseils en matière de neutralisation des comptes dans l'Active Directory :

Risques liés à la configuration par défaut de WSUS

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5499.Voir tous les posts

One thought on “L’ANSSI déconseille la configuration par défaut de WSUS

  • Ouai sauf qu’en https ya pas mal de galère apparemment

    peut être que ne plus mettre à jour est la solution 🙂

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.