kgborn
Goto Top

Microsofts Update-Ungereimtheiten: Auslieferung per HTTP und Update-Catalog-Ärger

Das wird Administratoren interessieren: Microsoft patzt momentan erheblich bei der Auslieferung von Updates. Unter dem Motto ‘Security by obscurity’ werden Updates per HTTP statt per HTTPS ausgeliefert (gilt übrigens auch für den Microsoft Update Catalog). Und der Update Catalog lässt sich aktuell nur über bestimmte URLs aufrufen.

back-to-topUpdates werden per HTTP angeboten


Der deutsche Sicherheitsspezialist Stefan Kanthak hatte mich in einer Mail vom 14. Februar 2018 auf eine unschöne Gesichte hingewiesen. Es betraf die Links auf Microsoft-Updates in meinem IT-Blog. Er schrieb: In Deinem Blog verwendest Du dummerweise auch http: statt https: nicht nur fuer den Microsoft Update Catalog. Das stimmt, aber ich habe nur die Links von Microsoft verwendet. Also bin ich der Sache nachgegangen. In vielen KB-Artikeln arbeitet Microsoft noch mit Verlinkungen auf http-Seiten. Das wäre noch nicht mal so schlimm.


update-http

Aber das Problem geht tiefer. Ruft man beispielsweise den KB-Artikel KB4011715 zu Office-Updates auf, liegt dieser Beitrag mit der Beschreibung zwar auf einer https-Webseite (das ist gut). Aber auf der Webseite gibt es einen direkten Download-Link.

update-http01

Ich habe in nicht schlecht gestaunt (in obigem Screenshot habe ich den Link in das Bild kopiert), der Download-Link wird als http angeboten. Sprich: Der Download erfolgt ungesichert über das http-Protokoll. Ein Man-in-the-middle könnte also das Update manipulieren. Um sicher zu gehen, dass der Download unmanipuliert ist, müsste man diesen im Anschluss überprüfen.

back-to-topBeitrag in seclist.org


Inzwischen hat Stefan Kanthak das Thema bei seclists.org als Defense in depth -- the Microsoft way (part 52): HTTP used to distribute (security) updates, not HTTPS eingestellt. Hier ein Auszug:


yesterdays "Security update deployment information: February 13, 2018" <https://support.microsoft.com/en-us/help/20180213> links the following MSKB articles for the security updates of Microsoft's Office products:

<https://support.microsoft.com/kb/4011715>
<https://support.microsoft.com/kb/4011200>
<https://support.microsoft.com/kb/3114874>
<https://support.microsoft.com/kb/4011707>
...
Alternatively use yesterdays "February 2018 updates for Microsoft Office" <https://support.microsoft.com/en-us/help/4077965> and all the MSKB articles linked there, which are a superset of those named above.

Each of these MSKB articles in turn contains one or two links to the download pages for the updates, which except 2 (of 22) are of the form <http://www.microsoft.com/downloads/details.aspx?familyid=GUID> (despite the HTTPS: used for the MSKB articles), ie. they use HTTP instead of HTTPS, inviting to MitM attacks, ALTHOUGH the server www.microsoft.com supports HTTPS and even redirects these requests to <https://www.microsoft.com/downloads/details.aspx?familyid=GUID>!


Das ist natürlich übel. Auf den KB-Seiten liegen häufig Download-Links, die auf http-Seiten verweisen. Das führt zu ungesicherten Downloads. Aber selbst im Microsoft Update Catalog werden Downloads per http-Protokoll bereitgestellt. Ich habe es gerade überprüft, weil ich es kaum glauben konnte. Selbst beim WSUS scheinen die Updates per http einzutrudeln (ich betreibe keinen WSUS, kann also nichts testen).

Auch wenn nicht jeder befürchten muss, sofort gehackt zu werden, ist das schlechte Praxis. Ein Man-in-the-middle könnte das nutzen, um Updates in Firmen gezielt zu kompromittieren. Microsoft ist das Problem bekannt, schreibt Stefan Kanthak, macht aber nichts.

back-to-topMicrosoft Update Catalog kaputt

Wer versucht, die (alte) Adresse https://catalog.update.microsoft.com/ aufzurufen, erhält im Browser die folgende Anzeige.

update-catalog-err02

Der Browser weigert sich, die Seite des Update Catalogs abzurufen. Solche Links finden sich teilweise noch auf Microsofts Webseiten. Vor einigen Wochen funktionierte bei Microsoft eine Umleitung, die es jetzt aber wohl nicht mehr tut. Ich hatte das Thema vor einiger Zeit im Blog-Beitrag Probleme mit dem Microsoft Update Catalog angesprochen.

Microsoft bedient uns mit zweierlei Links. Wer die Links aus dem Security TechCenter verwendet, läuft auf die alten Adressen:

https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4074598

die dann zu dem oben gezeigten Seitenfehler führen. Die korrekte Adresse lautet inzwischen:

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4074598

Wenn man auf einen solchen Fehlerlink läuft, und der Browser die Katalogseite nicht anzeigt, einfach in der URL vor catalog ein www einfügen. Dann wird die Update Catalog-Seite (zwar mit einem Fehler) angezeigt und man kann nach der KB-Nummer oder einem Begriff suchen. Vielleicht hilft es weiter.

Content-Key: 365016

Url: https://administrator.de/contentid/365016

Ausgedruckt am: 19.03.2024 um 07:03 Uhr