Zusammen mit den neusten Microsoft September-Updates wurde ein Microsoft Blog-Beitrag von WSUS Program Manager Aria Carley über Änderungen zur Verbesserung der Sicherheit in der Kommunikation zwischen Windows Clients und dem WSUS Server veröffentlicht.
Achtung! Wer derzeit einen WSUS mit den Standardkommunikationsoptionen betreibt, muss dringend Hand an die WSUS Konfiguration anlegen und SSL/TLS aktivieren. Sobald ein Windows Client die September-Updates eingespielt hat, verlangt er bei der Kommunikation mit dem WSUS-Server eine TLS-geschützte Verbindung. Die meisten Standardinstallationen verwenden jedoch nicht-TLS gesicherte Verbindungen über den Port 8530.
Verwenden die Clients dazu auch noch einen Proxy, der per User und nicht per Gerät ausgerollt wird, gibt es weitere Punkte zu beachten.
Microsoft gibt an, dass diese Änderungen die Kommunikation der Clients beim Scannen nach Updates weiter absichern soll. Wie diese Kommunikation jedoch für Angriffe genutzt werden könnte, gibt Microsoft nicht bekannt. Zumal alle Updates digital signiert sind – unabhängig vom gewählten Kommunikationsweg. Eine Manipulation der Updates über eine „Man-in-the-Middle“-Attacke ist damit ohnehin quasi ausgeschlossen.
Das Fazit ist klar: Wer seinen WSUS nicht fit für SSL/TLS gemacht hat, verliert nach Einspielen der September-Updates die WSUS-Kommunikation zu seinen Clients.