3. Juli 2025, 10:20
Lesezeit: ca. 1 Min

Hacking mit Hilfe des WSUS

Wer in seinem AD eine PKI ausgerollt hat, kann getrost mit dem Lesen abbrechen und weitergehen. Es gibt nichts zu sehen. Mein Bauchgefühl und die Erfahrung sagen mir jedoch, viele im Mittelstand haben keine und sind dem Python Skript von Alex Neff1 ausgeliefert.

Wsuks2 setzt sich als Man-in-the-Middle zwischen einem Windows Update Server (WSUS) und den verschiedenen Server/Clients eines AD. Es spoofed in der ARP Tabelle die IP des WSUS. Bei Kontaktaufnahme (Default: Alle 24 Stunden) wird eine psexec64.exe zusammen mit einem Powershell auf die Rechner verteilt und ausgeführt, inklusive Elevation zum Administrator. Die Payload kann beliebig angepasst werden.

Screenshot von wsuks

Bisher einzige Voraussetzung: Ein WSUS muss im AD mit http ohne TLS Zertifikat betrieben werden.

Ein elegantes, leicht zu bedienendes Tool zum Eindringen und lateral Ausbreiten. Es baut auf die Arbeit von GoSecure und deren Tool pywsus auf, die in der Vergangenheit auf den Single-Point of Failure WSUS hingewiesen haben.3

In diesem Sinne,
Tomas Jakobs

© 2025 Tomas Jakobs - Impressum und Datenschutzhinweis

Unterstütze diesen Blog - Spende einen Kaffee