• IT-Karriere:
  • Services:

Update über ungeschützte Rsync-Verbindung

Wenn man in der Quincy-Software ein Online-Update durchführen wollte, konnte zunächst über das Optionsmenü der Menüpunkt "Online-Update holen" aufgerufen werden. Die Quincy-Software lud anschließend über das Rsync-Protokoll die Updatedateien von einem Server, der unter dem Hostnamen ftp.gusbox.de erreichbar ist.

Stellenmarkt
  1. WEINMANN Emergency Medical Technology GmbH + Co. KG, Hamburg
  2. Fresenius Medical Care Deutschland GmbH, St. Wendel

Rsync ist ein Dateiübertragungsprotokoll, das von sich aus keinerlei Authentifizierungsmechanismen beinhaltet. Es war daher für einen Netzwerkangreifer möglich, auf dieser Verbindung einen Man-in-the-Middle-Angriff durchzuführen. Das ging beispielsweise, indem DNS-Anfragen auf einen vom Angreifer kontrollierten Server umgeleitet oder direkt die IP-Verbindungen mit einem ARP-Spoofing-Angriff manipuliert wurden.

Netzwerkangreifer konnten Update-Daten austauschen

Ein solcher Angriff hätte beispielsweise von einem anderen Gerät im Netzwerk des Arztes durchgeführt werden können. Ebenfalls denkbar wäre ein Angriff durch einen böswilligen Mitarbeiter bei einem Internet-Zugangsprovider oder einem Internet-Knotenpunkt gewesen, über den die Datenverbindung abgewickelt wird.

Das Update konnte anschließend auf mehrere Arten ausgelöst werden. Über einen weiteren Menüpunkt in der Quincy-Software, "Letztes Online-Update einspielen", konnte der Nutzer das Update sofort auslösen. Alternativ wurde, falls eine neue Version vorhanden war, das Update beim nächsten Start der Quincy-Software ausgeführt. Als dritte Möglichkeit wurden Nutzer darauf hingewiesen, dass sie auch selbst die setup.exe im entsprechenden Unterverzeichnis ausführen konnten.

Am einfachsten anzugreifen war die dritte Variante: Da die Datei setup.exe ungeschützt von einem Rsync-Server kam, konnte der Angreifer diese schlicht austauschen. Bei den anderen beiden Varianten wurde zunächst von der Quincy-Software eine Prüfung vorgenommen.

Leeres Hash-Feld reichte, um Prüfung auszutricksen

Dabei wurde ein Hash berechnet, der in der Datei version.ini mit übertragen wird. Zudem ist in der Datei version.ini eine Versionsnummer und ein Datum sowohl der Software als auch des Hashs zu finden. Daran erkannte Quincy, ob überhaupt ein Update vorlag.

Ein Angreifer hätte nun versuchen können, diesen Hash selbst zu berechnen. Aber das war gar nicht notwendig. In unseren Tests reichte es bereits, den entsprechenden Eintrag namens "dirhash" leer zu lassen. Einen leeren Wert akzeptierte Quincy als gültig und führte anschließend die von uns manipulierte setup.exe aus. Der Angriff funktionierte auf diese Weise mit der Version von Quincy, die zum Zeitpunkt unserer Tests Ende Oktober aktuell war.

Hersteller lässt Anwaltskanzlei antworten

Diese Funde teilten wir erneut der Firma Frey mit. Daraufhin erhielten wir ein Schreiben der Anwaltskanzlei des Unternehmens. Darin wurde uns mitgeteilt, dass Frey weiterhin unsere Einschätzung, dass irgendeine Gefährdung für die Sicherheit einer Arztpraxis durch die Software Quincy vorliege, nicht teile. Allerdings plane das Unternehmen sowieso bereits, den Updateprozess zu überarbeiten. Hier komme ein "gänzlich anderes Sicherheitskonzept" zum Einsatz.

Wir haben daraufhin die jüngste Version von Quincy geprüft. Tatsächlich findet sich in der Datei version.ini inzwischen ein zusätzlicher Eintrag namens "fullhash". Eine Manipulation durch einen leeren Wert funktioniert nicht mehr, das Update wird dann nicht ausgeführt. Weiterhin möglich ist ein Angriff aber, wenn ein Nutzer, wie von Quincy selbst vorgeschlagen, die heruntergeladene Setup-Datei manuell ausführt.

Wie genau der neue Schutzmechanismus funktioniert, konnten wir nicht herausfinden. Dafür wäre zunächst ein umfangreiches Reverse-Engineering der Updatefunktion notwendig gewesen.

Wir haben den Hersteller gebeten zu erläutern, wie Angriffe durch den neuen Update-Prozess verhindert werden. Die Antwort blieb vage: "Die vorgenommenen Änderungen sind umfassender und werden sich auch umfassender auswirken. In den nächsten Wochen werden zudem weitere Änderungen im Rahmen unseres neuen Konzepts zum Online-Update-Prozesses ausgeliefert", schreibt dazu der Frey-Geschäftsführer Lars Wichmann in einer Mail an Golem.de.

Wie diese genau aussehen, will der Hersteller aber nicht verraten: "Wir bitten um Verständnis, dass wir zu den bereits umgesetzten und zukünftig noch auszuliefernden Änderungen des Online-Update-Prozesses sowie den implementierten Sicherungsmechanismen gegenüber Außenstehenden aus Sicherheitsgründen keine näheren Angaben machen werden und diese auch nicht veröffentlichen werden."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Medizin: Updateprozess bei Ärztesoftware Quincy war ungeschützt
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)

AdrianWalterCS 12. Dez 2019

Richtig. Jedoch wurde die Problematik bisher weder von den Verantwortlichen, noch von den...

Potrimpo 11. Dez 2019

Dein Name spricht hier Bände.

minnime 11. Dez 2019

Das meinte ich so nicht, ich kann aber die kommunikationstechnische Reaktion der Firma...

FreiGeistler 11. Dez 2019

Ein Hipster als Zahnarzt ist auch eher die Ausnahme. Ein Sprachassistent ist jedenfall...

Iruwen 11. Dez 2019

Also wenn man eh schon in der Praxis ist kann man auch einfach... scnr


Folgen Sie uns
       


Mario Kart Live - Test

In Mario Kart Live fährt ein Klempner durch unser Wohnzimmer.

Mario Kart Live - Test Video aufrufen
SSD vs. HDD: Die Zeit der Festplatte im Netzwerkspeicher läuft ab
SSD vs. HDD
Die Zeit der Festplatte im Netzwerkspeicher läuft ab

SSDs in NAS-Systemen sind lautlos, energieeffizient und schneller: Golem.de untersucht, ob es eine neue Referenz für Netzwerkspeicher gibt.
Ein Praxistest von Oliver Nickel

  1. Firecuda 120 Seagate bringt 4-TByte-SSD für Spieler

CalyxOS im Test: Ein komfortables Android mit einer Extraportion Privacy
CalyxOS im Test
Ein komfortables Android mit einer Extraportion Privacy

Ein mobiles System, das sich für Einsteiger und Profis gleichermaßen eignet und zudem Privatsphäre und Komfort verbindet? Ja, das geht - und zwar mit CalyxOS.
Ein Test von Moritz Tremmel

  1. Alternatives Android im Test /e/ will Google ersetzen

Yakuza und Dirt 5 angespielt: Xbox Series X mit Rotlicht und Rennstrecke
Yakuza und Dirt 5 angespielt
Xbox Series X mit Rotlicht und Rennstrecke

Abenteuer im Rotlichtviertel von Yakuza und Motorsport in Dirt 5: Golem.de konnte zwei Starttitel der Xbox Series X ausprobieren.
Von Peter Steinlechner

  1. Next-Gen GUI der PS5 mit höherer Auflösung als Xbox Series X/S
  2. Xbox Series X Zwei Wochen mit Next-Gen auf dem Schreibtisch
  3. Next-Gen PS5 und neue Xbox wollen Spieleklassiker aufhübschen

    •  /