Witryna “Wykaz usługi Microsoft Update”, znana powszechnie jako Windows Update Catalog, wreszcie zaczęła stosować łączność z wykorzystaniem protokołu TLS. Dotychczas pobieranie pakietów aktualizacji i sterowników przez Wykaz odbywało się bez szyfrowania.
Microsoft Update Catalog to bardzo dziwna strona. Ma bardzo słabą wyszukiwarkę, jest powolna, uniemożliwia zaawansowane przeglądanie zasobów i stosuje nieprzewidywalne nazwy plików. Część tych cech ma zapewne na celu utrudnienie masowego pobierania treści (scrubbing). Sprzyjałoby ono tworzeniu nieautoryzowanych, potencjalnie niebezpiecznych “klonów” Windows Update. Ponadto, wychodziłyby na jaw aktualizacje dla jeszcze nieogłoszonych dziur lub dla produktów formalnie pozbawionych już obsługi technicznej.
Ale dziwactw w Wykazie było więcej. Strona ta dopiero w 2016 przestała stosować kontrolki ActiveX jako narzędzia pobierania. Miało to miejsce wiele lat po usunięciu obsługi ActiveX z wersji Metro Internet Explorera i ponad rok po premierze przeglądarki Edge, która nigdy ich nie obsługiwała.
Kiedy z HTTPS, a kiedy nie?
Ta osobliwa strona oferowała aktualizacje przez HTTPS i jak donosi Deskmodder, zmieniło się to z początkiem miesiąca. Dzięki temu nowe przeglądarki internetowe (Firefox, Chrome i Edge) przestaną “krzyczeć” i sugerować usunięcie pobieranego pliku. Pliki pobierane przez czyste HTTP nie zapewniają bowiem integralności: w przypadku niezaufanych sieci, mogłyby zostać podmienione “w locie”.
Wykaz Windows Update zapewniał bezpieczeństwo w sposób bardzo pośredni: zamieszczając sumy kontrolne w nazwach plików z aktualizacjami. Było to niezbędne minimum, ale bez wątpienia poniżej progu przyzwoitości. Od teraz całą łączność pokrywa TLS, przez co integralność jest zapewniana z definicji.
Skoro Wykaz działał czystym tekstem, to jak działał sam Windows Update? Otóż… również korzystał z czystego HTTP. Ale sprawa nie jest taka oczywista. Klientem pobierającym aktualizacje z Windows Update jest BITS: Usługa inteligentnego transferu w tle. Odpowiada on za samo “dźwiganie ciężarów”, czyli pobieranie dużych plików z aktualizacjami.
BITS
Ale zanim BITS wie, co pobrać, system pobiera paczkę z informacjami o aktualizacjach, zwaną czasem “WSUS Scan Cabinet”. Pobiera ją przez HTTPS. Jej zawartość to podpisany wykaz sum kontrolnych i certyfikaty. Na tej podstawie BITS sprawdza potem czy to, co pobrał przez czyste HTTP jest poprawne i na pewno pochodzi z Redmond.
Rosnąca liczba elementów pobieranych przez BITS “idzie” przez HTTPS. OneDrive i Mozilla Firefox stosuje HTTPS. Chrome i Edge stosują mieszankę. Office 365 mocno opiera się na plikach CAB z certyfikatami i to najwyraźniej tym, a nie protokołem HTTPS, zapewnia integralność. Inną historią jest też funkcja Optymalizacji Dostarczania, czyli “peer-to-peer” dla aktualizacji. Niemniej, to że nie całość komunikacji przebiega przez HTTPS jest zabawne, zwłaszcza w kwestii wytycznych dla WSUS.
