• IT-Karriere:
  • Services:

Checker ATM Security: Sicherheitslücke ermöglicht Übernahme von Geldautomaten

Eine Sicherheitslücke in einer Sicherheitslösung für Geldautomaten konnte von Angreifern ausgenutzt werden, um illegal Geld auszuzahlen. Der Hersteller beschwichtigt und hat einen Patch bereitgestellt.

Artikel veröffentlicht am ,
Geldautomat in Berlin
Geldautomat in Berlin (Bild: Andreas Rentz/Getty Images)

Ausgerechnet Probleme mit der Sicherheitssoftware Checker ATM Security für Geldautomaten führen offenbar dazu, dass diese von Angreifern manipuliert werden können. Der Hersteller der Software, GMV, hat die Probleme mittlerweile behoben, wie The Register berichtet. Die Software soll Geldautomaten per Application Whitelisting, einer Firewall und Einschränkungen für Peripheriegeräte vor unerlaubtem Zugriff absichern.

Stellenmarkt
  1. Lidl Digital, Neckarsulm
  2. Psychiatrisches Zentrum Nordbaden, Wiesloch

Die Sicherheitslücke mit der CVE-2017-6968 wurde von der Sicherheitsfirma Positive Technologies gefunden und an den Hersteller gemeldet. Damit der Exploit funktioniert, müssten Angreifer sich als Man-In-The-Middle zwischen den Kontrollserver und den Geldautomaten schalten. Dies könne entweder über einen physischen Zugriff auf das Netzwerkkabel geschehen oder per ARP-Spoofing, wie die Sicherheitsfirma mitteilt. Während der Zugriff auf das Netzwerkkabel bei in Banken installierten Geräten meist nicht möglich sein dürfte, kann dies insbesondere in Entwicklungs- und Schwellenländern durchaus möglich sein.

Buffer Overflow beim Schlüsselaustausch

Während des Schlüsselaustauschs für eine gesicherte Verbindung soll der Server der Angreifer in der Lage sein, einen Buffer-Overflow auf dem Geldautomaten zu erzeugen, weil der Client keine Begrenzung der möglichen Eingaben vornimmt. Auf diese Art und Weise könnten dem Automaten Kommandos gesendet werden, die auch zur unerlaubten Ausgabe von Geldscheinen führen können. Details zu dem Angriff nennt die Firma bislang nicht.

Der Hersteller bestätigt die Sicherheitslücke im Prinzip, ist aber der Ansicht, dass diese keine konkrete Bedrohung für Kunden darstelle. Zum einen seien keine aktiven Angriffe außerhalb von Laborbedingungen bekannt, außerdem würde ein Angriff genaue Kenntnis des Zielbetriebssystems erfordern. Wenn ein Geldautomat bereits auf Windows 7 oder neuer läuft, verhindere das Speichermanagement eine Vorhersage der betroffenen Bereiche und ein Exploit sei damit "fast unmöglich". Systeme mit Windows XP seien einfacher zu kompromittieren. Die betroffenen Softwareversionen 4.x und 5.x wurden nach Angaben des Herstellers mit einem Update versehen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (u. a. PS5 + HD Kamera für 549,99€)
  2. (u. a. Ryzen 7 5800X für 469€)

FreiGeistler 05. Mai 2017

Die Fahrplan-Tafeln der SBB laufen immerhin schon mit Windows 7, da war mal das...

Technik Schaf 04. Mai 2017

Du glaubst auch an den Weihnachtsmann oder.? Theoretisch richtig. Aber die Erfahrung der...


Folgen Sie uns
       


Surface Duo - Fazit

Das Surface Duo ist Microsofts erstes Smartphone seit Jahren - und ein ungewöhnliches dazu. Allerdings ist das Gerät in Deutschland viel zu teuer.

Surface Duo - Fazit Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /