• IT-Karriere:
  • Services:

Update über ungeschützte Rsync-Verbindung

Wenn man in der Quincy-Software ein Online-Update durchführen wollte, konnte zunächst über das Optionsmenü der Menüpunkt "Online-Update holen" aufgerufen werden. Die Quincy-Software lud anschließend über das Rsync-Protokoll die Updatedateien von einem Server, der unter dem Hostnamen ftp.gusbox.de erreichbar ist.

Stellenmarkt
  1. Deutsche Rentenversicherung Bund, Berlin
  2. Technische Universität Berlin, Berlin

Rsync ist ein Dateiübertragungsprotokoll, das von sich aus keinerlei Authentifizierungsmechanismen beinhaltet. Es war daher für einen Netzwerkangreifer möglich, auf dieser Verbindung einen Man-in-the-Middle-Angriff durchzuführen. Das ging beispielsweise, indem DNS-Anfragen auf einen vom Angreifer kontrollierten Server umgeleitet oder direkt die IP-Verbindungen mit einem ARP-Spoofing-Angriff manipuliert wurden.

Netzwerkangreifer konnten Update-Daten austauschen

Ein solcher Angriff hätte beispielsweise von einem anderen Gerät im Netzwerk des Arztes durchgeführt werden können. Ebenfalls denkbar wäre ein Angriff durch einen böswilligen Mitarbeiter bei einem Internet-Zugangsprovider oder einem Internet-Knotenpunkt gewesen, über den die Datenverbindung abgewickelt wird.

Das Update konnte anschließend auf mehrere Arten ausgelöst werden. Über einen weiteren Menüpunkt in der Quincy-Software, "Letztes Online-Update einspielen", konnte der Nutzer das Update sofort auslösen. Alternativ wurde, falls eine neue Version vorhanden war, das Update beim nächsten Start der Quincy-Software ausgeführt. Als dritte Möglichkeit wurden Nutzer darauf hingewiesen, dass sie auch selbst die setup.exe im entsprechenden Unterverzeichnis ausführen konnten.

Am einfachsten anzugreifen war die dritte Variante: Da die Datei setup.exe ungeschützt von einem Rsync-Server kam, konnte der Angreifer diese schlicht austauschen. Bei den anderen beiden Varianten wurde zunächst von der Quincy-Software eine Prüfung vorgenommen.

Leeres Hash-Feld reichte, um Prüfung auszutricksen

Dabei wurde ein Hash berechnet, der in der Datei version.ini mit übertragen wird. Zudem ist in der Datei version.ini eine Versionsnummer und ein Datum sowohl der Software als auch des Hashs zu finden. Daran erkannte Quincy, ob überhaupt ein Update vorlag.

Ein Angreifer hätte nun versuchen können, diesen Hash selbst zu berechnen. Aber das war gar nicht notwendig. In unseren Tests reichte es bereits, den entsprechenden Eintrag namens "dirhash" leer zu lassen. Einen leeren Wert akzeptierte Quincy als gültig und führte anschließend die von uns manipulierte setup.exe aus. Der Angriff funktionierte auf diese Weise mit der Version von Quincy, die zum Zeitpunkt unserer Tests Ende Oktober aktuell war.

Hersteller lässt Anwaltskanzlei antworten

Diese Funde teilten wir erneut der Firma Frey mit. Daraufhin erhielten wir ein Schreiben der Anwaltskanzlei des Unternehmens. Darin wurde uns mitgeteilt, dass Frey weiterhin unsere Einschätzung, dass irgendeine Gefährdung für die Sicherheit einer Arztpraxis durch die Software Quincy vorliege, nicht teile. Allerdings plane das Unternehmen sowieso bereits, den Updateprozess zu überarbeiten. Hier komme ein "gänzlich anderes Sicherheitskonzept" zum Einsatz.

Wir haben daraufhin die jüngste Version von Quincy geprüft. Tatsächlich findet sich in der Datei version.ini inzwischen ein zusätzlicher Eintrag namens "fullhash". Eine Manipulation durch einen leeren Wert funktioniert nicht mehr, das Update wird dann nicht ausgeführt. Weiterhin möglich ist ein Angriff aber, wenn ein Nutzer, wie von Quincy selbst vorgeschlagen, die heruntergeladene Setup-Datei manuell ausführt.

Wie genau der neue Schutzmechanismus funktioniert, konnten wir nicht herausfinden. Dafür wäre zunächst ein umfangreiches Reverse-Engineering der Updatefunktion notwendig gewesen.

Wir haben den Hersteller gebeten zu erläutern, wie Angriffe durch den neuen Update-Prozess verhindert werden. Die Antwort blieb vage: "Die vorgenommenen Änderungen sind umfassender und werden sich auch umfassender auswirken. In den nächsten Wochen werden zudem weitere Änderungen im Rahmen unseres neuen Konzepts zum Online-Update-Prozesses ausgeliefert", schreibt dazu der Frey-Geschäftsführer Lars Wichmann in einer Mail an Golem.de.

Wie diese genau aussehen, will der Hersteller aber nicht verraten: "Wir bitten um Verständnis, dass wir zu den bereits umgesetzten und zukünftig noch auszuliefernden Änderungen des Online-Update-Prozesses sowie den implementierten Sicherungsmechanismen gegenüber Außenstehenden aus Sicherheitsgründen keine näheren Angaben machen werden und diese auch nicht veröffentlichen werden."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Medizin: Updateprozess bei Ärztesoftware Quincy war ungeschützt
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. (aktuell u. a. Xiaomi Mi 9 128 GB Ocean Blue für 369,00€ und Deepcool Matrexx 55 V3 Tower...
  2. 90,99€ (Bestpreis)
  3. (u. a. 256GB microSDXC für 52,99€, 128GB für 24,39€ und 512 GB für 114,99€)

AdrianWalterCS 12. Dez 2019 / Themenstart

Richtig. Jedoch wurde die Problematik bisher weder von den Verantwortlichen, noch von den...

Potrimpo 11. Dez 2019 / Themenstart

Dein Name spricht hier Bände.

minnime 11. Dez 2019 / Themenstart

Das meinte ich so nicht, ich kann aber die kommunikationstechnische Reaktion der Firma...

FreiGeistler 11. Dez 2019 / Themenstart

Ein Hipster als Zahnarzt ist auch eher die Ausnahme. Ein Sprachassistent ist jedenfall...

Iruwen 11. Dez 2019 / Themenstart

Also wenn man eh schon in der Praxis ist kann man auch einfach... scnr

Kommentieren


Folgen Sie uns
       


Digitale Assistenten singen Weihnachtslieder (ohne Signalworte)

Wir haben Siri, den Google Assistant und Alexa aufgefordert, uns zu Weihnachten etwas vorzusingen.

Digitale Assistenten singen Weihnachtslieder (ohne Signalworte) Video aufrufen
IT-Gehälter: Je nach Branche bis zu 1.000 Euro mehr
IT-Gehälter
Je nach Branche bis zu 1.000 Euro mehr

Wechselt ein ITler in eine andere Branche, sind auf dem gleichen Posten bis zu 1.000 Euro pro Monat mehr drin. Welche Industrien die höchsten und welche die niedrigsten Gehälter zahlen: Wir haben die Antworten auf diese Fragen - auch darauf, wie sich die Einkommen 2020 entwickeln werden.
Von Peter Ilg

  1. Softwareentwickler Der Fachkräftemangel zeigt sich nicht an den Gehältern

Digitalisierung: Aber das Faxgerät muss bleiben!
Digitalisierung
Aber das Faxgerät muss bleiben!

"Auf digitale Prozesse umstellen" ist leicht gesagt, aber in vielen Firmen ein komplexes Unterfangen. Viele Mitarbeiter und Chefs lieben ihre analogen Arbeitsmethoden und fürchten Veränderungen. Andere wiederum digitalisieren ohne Sinn und Verstand und blasen ihre Prozesse unnötig auf.
Ein Erfahrungsbericht von Marvin Engel

  1. Arbeitswelt SAP-Chef kritisiert fehlende Digitalisierung und Angst
  2. Deutscher Städte- und Gemeindebund "Raus aus der analogen Komfortzone"
  3. Digitalisierungs-Tarifvertrag Regelungen für Erreichbarkeit, Homeoffice und KI kommen

Shitrix: Das Citrix-Desaster
Shitrix
Das Citrix-Desaster

Eine Sicherheitslücke in Geräten der Firma Citrix zeigt in erschreckender Weise, wie schlecht es um die IT-Sicherheit in Behörden steht. Es fehlt an den absoluten Grundlagen.
Ein IMHO von Hanno Böck

  1. Perl-Injection Citrix-Geräte mit schwerer Sicherheitslücke und ohne Update

    •  /