Sicherheitslücke

Berater des finnischen IT-Security-Unternehmens F-Secure haben in einem beliebten drahtlosen Präsentationssystem mehrere Sicherheitslücken entdeckt, die es ermöglichen, das System in weniger als 60 Sekunden zu hacken. Angreifer können so die Informationen, die präsentiert werden, abfangen und manipulieren, Passwörter und andere vertrauliche Daten stehlen oder Backdoors und andere Malware einrichten.

„ClickShare“ von Barco ist ein drahtloses Kollaborations- und Präsentationssystem, das es Gruppen von zusammenarbeitenden Menschen ermöglicht, Inhalte von verschiedenen Geräten aus zu präsentieren. ClickShare ist mit 29 Prozent Marktanteil – laut dem FutureSource Consulting Report „Global Wireless Presentation Solutions 2019“ - im Geschäftsleben weit verbreitet. Laut Dmitry Janushkevich, Hardware Security Consultant bei F-Secure, macht gerade die Beliebtheit solche benutzerfreundlichen Tools zum logischen Ziel von Attacken. Aus diesem Grund hat sich sein Team die Anwendung auch genau angesehen.

„Dieses System ist so praktisch und einfach zu bedienen, dass die Nutzer keinen Grund sehen, warum sie misstrauisch sein sollten. Aber hinter der vermeintlichen Einfachheit verbergen sich extrem komplexe Vorgänge – was die Sicherheit zur Herausforderung macht“, erläutert Janushkevich. „Diese alltäglich eingesetzten Objekte, an die der Nutzer keine zwei Gedanken verschwendet, sind das beste Ziel für Angreifer. Und weil sie bei Unternehmen so beliebt sind, haben wir entschieden, sie einmal genauer zu analysieren und zu sehen, was wir herausfinden können.“

Janushkevich und seine Kollegen bei F-Secure haben das ClickShare-System über einige Monate hinweg immer wieder untersucht, nachdem sie bei ihren Red-Team-Einsätzen auf seine Beliebtheit aufmerksam geworden waren. Sie entdeckten mehrfach verwertbare Sicherheitslücken; zehn von ihnen sind CVE-Schwachstelle (Common Vulnerabilites and Exposures; Verzeichnis für bekannte Schwachstellen und Sicherheitsrisiken von Computersystemen). Die entdeckten Schwachstellen ermöglichen eine Vielzahl von Angriffen, so etwa das Abfangen der geteilten Informationen, die Nutzung des Systems zum Installieren von Backdoors oder anderer Malware auf dem Computer der Nutzer sowie den Diebstahl von Passwörtern und anderen Daten.

Während einige Exploits den physischen Zugang zum Gerät erfordern, können andere aus der Ferne durchgeführt werden, wenn das Gerät die Standardeinstellungen nutzt. Darüber hinaus hat Janushkevich entdeckt, dass manche Exploits in wenigen Sekunden durchgeführt werden können, was es Angreifern besonders leicht macht, die sich als Reinigungskraft oder Angestellter getarnt Zugang zum Gerät verschaffen.

„Der Schwerpunkt unserer Untersuchung lag darauf, über Backdoors Zugang zum System zu bekommen, so dass wir die Präsentierenden kompromittieren konnten, und Informationen zu stehlen, während sie präsentiert wurden. Obwohl es nicht leicht war, in den geschützten Bereich einzudringen, konnten wir dann, als wir drin waren, gleich mehrere Probleme aufdecken. Weil wir dann mehr über das System wussten, war es einfach, die Schwachstellen auszunutzen“, so Janushkevich. „Für einen Angreifer ist dies ein schneller und praktischer Weg, um ein Unternehmen zu kompromittieren. Unternehmen müssen sich über die damit verbundenen Risiken im Klaren sein.“

Am 9. Oktober 2019 haben die Berater von F-Secure ihre Erkenntnisse dem Unternehmen Barco bekanntgegeben. Die beiden Unternehmen arbeiteten in einer koordinierten Offenlegung der Schwachstellen zusammen. Heute hat Barco eine Firmware-Version auf seiner Website veröffentlicht, um die kritischsten Schwachstellen zu beheben. Jedoch betreffen mehrere der Schwachstellen auch Hardware-Komponenten des Systems und sind so nicht ohne physikalische Präsenz zu beheben. Es ist daher unwahrscheinlich, dass die Schwachstellen behoben werden.

„Dieser Fall zeigt, wie schwierig es ist, ‚smarte‘ Geräte abzusichern. Bugs auf der Platine, im Design oder in der eingebetteten Software können sowohl für den Verkäufer als auch für den Nutzer langfristig negative Auswirkungen haben und das Vertrauen in die Geräte erschüttern“, so Janushkevich.

www.f-secure.de


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Hacker Bluetooth

Sweyntooth: 10 neue Sicherheitslücken bei Bluetooth Chips

Beim Thema Sicherheitslücken werden die meisten Menschen zuerst an das Internet denken. Tatsächlich ist das die größte Gefahrenquelle, aber längst nicht die einzige, denn Malware oder Hacker können auch Fehler in anderen Geräteverbindungen ausnutzen.
Insider Threat

Insider-Bedrohungen sind meist das Ergebnis fahrlässigen Verhaltens

Proofpoint veröffentlichte seine weltweite Studie zum Thema Insider-Bedrohungen 2020. So zeigt der Bericht, dass Unternehmen im Durchschnitt jährlich 11,45 Millionen Dollar für die Beseitigung von Insider-Bedrohungen ausgaben und mehr als zwei Monate (77…
Bank

Hacking und Malware als Hauptursachen der Datenschutzverletzungen im Finanzwesen

Cloud-Security-Anbieter Bitglass hat seinen aktuellen Bericht zu Datenschutzverletzungen im Finanzwesen 2019 veröffentlicht. Jedes Jahr analysiert Bitglass die neuesten Trends, größten Verstöße und gravierendsten Bedrohungen bei…
Smart Home Security

Tipps für mehr Sicherheit im Smart Home

Rund neun Millionen Haushalte in Deutschland sind nach Schätzungen des Statista Digital Market Outlooks bereits „smart“, das heißt vernetzt, zentral steuer- und programmierbar. Bis zum Jahr 2023 soll die Zahl der Smart Homes auf 13,5 Millionen steigen.
Malware

Top Malware für Januar 2020: Corona-Virus als Spam

Check Point Research (NASDAQ: CHKP), hat seinen Global Threat Index für Januar 2020 veröffentlicht. Die Experten berichten, dass Emotet bereits im vierten Monat in Folge die führende Malware ist und sich derzeit mit der Hilfe einer Spam-Kampagne zum…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!