Update über ungeschützte Rsync-Verbindung

Wenn man in der Quincy-Software ein Online-Update durchführen wollte, konnte zunächst über das Optionsmenü der Menüpunkt "Online-Update holen" aufgerufen werden. Die Quincy-Software lud anschließend über das Rsync-Protokoll die Updatedateien von einem Server, der unter dem Hostnamen ftp.gusbox.de erreichbar ist.

Rsync ist ein Dateiübertragungsprotokoll, das von sich aus keinerlei Authentifizierungsmechanismen beinhaltet. Es war daher für einen Netzwerkangreifer möglich, auf dieser Verbindung einen Man-in-the-Middle-Angriff durchzuführen. Das ging beispielsweise, indem DNS-Anfragen auf einen vom Angreifer kontrollierten Server umgeleitet oder direkt die IP-Verbindungen mit einem ARP-Spoofing-Angriff manipuliert wurden.

Netzwerkangreifer konnten Update-Daten austauschen

Ein solcher Angriff hätte beispielsweise von einem anderen Gerät im Netzwerk des Arztes durchgeführt werden können. Ebenfalls denkbar wäre ein Angriff durch einen böswilligen Mitarbeiter bei einem Internet-Zugangsprovider oder einem Internet-Knotenpunkt gewesen, über den die Datenverbindung abgewickelt wird.

Das Update konnte anschließend auf mehrere Arten ausgelöst werden. Über einen weiteren Menüpunkt in der Quincy-Software, "Letztes Online-Update einspielen", konnte der Nutzer das Update sofort auslösen. Alternativ wurde, falls eine neue Version vorhanden war, das Update beim nächsten Start der Quincy-Software ausgeführt. Als dritte Möglichkeit wurden Nutzer darauf hingewiesen, dass sie auch selbst die setup.exe im entsprechenden Unterverzeichnis ausführen konnten.

Am einfachsten anzugreifen war die dritte Variante: Da die Datei setup.exe ungeschützt von einem Rsync-Server kam, konnte der Angreifer diese schlicht austauschen. Bei den anderen beiden Varianten wurde zunächst von der Quincy-Software eine Prüfung vorgenommen.

Leeres Hash-Feld reichte, um Prüfung auszutricksen

Dabei wurde ein Hash berechnet, der in der Datei version.ini mit übertragen wird. Zudem ist in der Datei version.ini eine Versionsnummer und ein Datum sowohl der Software als auch des Hashs zu finden. Daran erkannte Quincy, ob überhaupt ein Update vorlag.

Ein Angreifer hätte nun versuchen können, diesen Hash selbst zu berechnen. Aber das war gar nicht notwendig. In unseren Tests reichte es bereits, den entsprechenden Eintrag namens "dirhash" leer zu lassen. Einen leeren Wert akzeptierte Quincy als gültig und führte anschließend die von uns manipulierte setup.exe aus. Der Angriff funktionierte auf diese Weise mit der Version von Quincy, die zum Zeitpunkt unserer Tests Ende Oktober aktuell war.

Hersteller lässt Anwaltskanzlei antworten

Diese Funde teilten wir erneut der Firma Frey mit. Daraufhin erhielten wir ein Schreiben der Anwaltskanzlei des Unternehmens. Darin wurde uns mitgeteilt, dass Frey weiterhin unsere Einschätzung, dass irgendeine Gefährdung für die Sicherheit einer Arztpraxis durch die Software Quincy vorliege, nicht teile. Allerdings plane das Unternehmen sowieso bereits, den Updateprozess zu überarbeiten. Hier komme ein "gänzlich anderes Sicherheitskonzept" zum Einsatz.

Wir haben daraufhin die jüngste Version von Quincy geprüft. Tatsächlich findet sich in der Datei version.ini inzwischen ein zusätzlicher Eintrag namens "fullhash". Eine Manipulation durch einen leeren Wert funktioniert nicht mehr, das Update wird dann nicht ausgeführt. Weiterhin möglich ist ein Angriff aber, wenn ein Nutzer, wie von Quincy selbst vorgeschlagen, die heruntergeladene Setup-Datei manuell ausführt.

Wie genau der neue Schutzmechanismus funktioniert, konnten wir nicht herausfinden. Dafür wäre zunächst ein umfangreiches Reverse-Engineering der Updatefunktion notwendig gewesen.

Wir haben den Hersteller gebeten zu erläutern, wie Angriffe durch den neuen Update-Prozess verhindert werden. Die Antwort blieb vage: "Die vorgenommenen Änderungen sind umfassender und werden sich auch umfassender auswirken. In den nächsten Wochen werden zudem weitere Änderungen im Rahmen unseres neuen Konzepts zum Online-Update-Prozesses ausgeliefert", schreibt dazu der Frey-Geschäftsführer Lars Wichmann in einer Mail an Golem.de.

Wie diese genau aussehen, will der Hersteller aber nicht verraten: "Wir bitten um Verständnis, dass wir zu den bereits umgesetzten und zukünftig noch auszuliefernden Änderungen des Online-Update-Prozesses sowie den implementierten Sicherungsmechanismen gegenüber Außenstehenden aus Sicherheitsgründen keine näheren Angaben machen werden und diese auch nicht veröffentlichen werden."