Update über ungeschützte Rsync-Verbindung

Wenn man in der Quincy-Software ein Online-Update durchführen wollte, konnte zunächst über das Optionsmenü der Menüpunkt "Online-Update holen" aufgerufen werden. Die Quincy-Software lud anschließend über das Rsync-Protokoll die Updatedateien von einem Server, der unter dem Hostnamen ftp.gusbox.de erreichbar ist.

Stellenmarkt
  1. Doctoral Researcher / Graduate Research Assistant / Graduate Research Associate (m/f/d) at ... (m/w/d)
    Universität Passau, Passau
  2. Fachberater (m/w/d) Labor- und Pathologielösungen
    i-SOLUTIONS Health GmbH, Bochum
Detailsuche

Rsync ist ein Dateiübertragungsprotokoll, das von sich aus keinerlei Authentifizierungsmechanismen beinhaltet. Es war daher für einen Netzwerkangreifer möglich, auf dieser Verbindung einen Man-in-the-Middle-Angriff durchzuführen. Das ging beispielsweise, indem DNS-Anfragen auf einen vom Angreifer kontrollierten Server umgeleitet oder direkt die IP-Verbindungen mit einem ARP-Spoofing-Angriff manipuliert wurden.

Netzwerkangreifer konnten Update-Daten austauschen

Ein solcher Angriff hätte beispielsweise von einem anderen Gerät im Netzwerk des Arztes durchgeführt werden können. Ebenfalls denkbar wäre ein Angriff durch einen böswilligen Mitarbeiter bei einem Internet-Zugangsprovider oder einem Internet-Knotenpunkt gewesen, über den die Datenverbindung abgewickelt wird.

Das Update konnte anschließend auf mehrere Arten ausgelöst werden. Über einen weiteren Menüpunkt in der Quincy-Software, "Letztes Online-Update einspielen", konnte der Nutzer das Update sofort auslösen. Alternativ wurde, falls eine neue Version vorhanden war, das Update beim nächsten Start der Quincy-Software ausgeführt. Als dritte Möglichkeit wurden Nutzer darauf hingewiesen, dass sie auch selbst die setup.exe im entsprechenden Unterverzeichnis ausführen konnten.

Golem Akademie
  1. Cinema 4D Grundlagen: virtueller Drei-Tage-Workshop
    14.–16. März 2022, Virtuell
  2. Einführung in Unity: virtueller Ein-Tages-Workshop
    17. Februar 2022, Virtuell
Weitere IT-Trainings

Am einfachsten anzugreifen war die dritte Variante: Da die Datei setup.exe ungeschützt von einem Rsync-Server kam, konnte der Angreifer diese schlicht austauschen. Bei den anderen beiden Varianten wurde zunächst von der Quincy-Software eine Prüfung vorgenommen.

Leeres Hash-Feld reichte, um Prüfung auszutricksen

Dabei wurde ein Hash berechnet, der in der Datei version.ini mit übertragen wird. Zudem ist in der Datei version.ini eine Versionsnummer und ein Datum sowohl der Software als auch des Hashs zu finden. Daran erkannte Quincy, ob überhaupt ein Update vorlag.

Ein Angreifer hätte nun versuchen können, diesen Hash selbst zu berechnen. Aber das war gar nicht notwendig. In unseren Tests reichte es bereits, den entsprechenden Eintrag namens "dirhash" leer zu lassen. Einen leeren Wert akzeptierte Quincy als gültig und führte anschließend die von uns manipulierte setup.exe aus. Der Angriff funktionierte auf diese Weise mit der Version von Quincy, die zum Zeitpunkt unserer Tests Ende Oktober aktuell war.

Hersteller lässt Anwaltskanzlei antworten

Diese Funde teilten wir erneut der Firma Frey mit. Daraufhin erhielten wir ein Schreiben der Anwaltskanzlei des Unternehmens. Darin wurde uns mitgeteilt, dass Frey weiterhin unsere Einschätzung, dass irgendeine Gefährdung für die Sicherheit einer Arztpraxis durch die Software Quincy vorliege, nicht teile. Allerdings plane das Unternehmen sowieso bereits, den Updateprozess zu überarbeiten. Hier komme ein "gänzlich anderes Sicherheitskonzept" zum Einsatz.

Wir haben daraufhin die jüngste Version von Quincy geprüft. Tatsächlich findet sich in der Datei version.ini inzwischen ein zusätzlicher Eintrag namens "fullhash". Eine Manipulation durch einen leeren Wert funktioniert nicht mehr, das Update wird dann nicht ausgeführt. Weiterhin möglich ist ein Angriff aber, wenn ein Nutzer, wie von Quincy selbst vorgeschlagen, die heruntergeladene Setup-Datei manuell ausführt.

Wie genau der neue Schutzmechanismus funktioniert, konnten wir nicht herausfinden. Dafür wäre zunächst ein umfangreiches Reverse-Engineering der Updatefunktion notwendig gewesen.

Wir haben den Hersteller gebeten zu erläutern, wie Angriffe durch den neuen Update-Prozess verhindert werden. Die Antwort blieb vage: "Die vorgenommenen Änderungen sind umfassender und werden sich auch umfassender auswirken. In den nächsten Wochen werden zudem weitere Änderungen im Rahmen unseres neuen Konzepts zum Online-Update-Prozesses ausgeliefert", schreibt dazu der Frey-Geschäftsführer Lars Wichmann in einer Mail an Golem.de.

Wie diese genau aussehen, will der Hersteller aber nicht verraten: "Wir bitten um Verständnis, dass wir zu den bereits umgesetzten und zukünftig noch auszuliefernden Änderungen des Online-Update-Prozesses sowie den implementierten Sicherungsmechanismen gegenüber Außenstehenden aus Sicherheitsgründen keine näheren Angaben machen werden und diese auch nicht veröffentlichen werden."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Medizin: Updateprozess bei Ärztesoftware Quincy war ungeschützt
  1.  
  2. 1
  3. 2


AdrianWalterCS 12. Dez 2019

Richtig. Jedoch wurde die Problematik bisher weder von den Verantwortlichen, noch von den...

Potrimpo 11. Dez 2019

Dein Name spricht hier Bände.

minnime 11. Dez 2019

Das meinte ich so nicht, ich kann aber die kommunikationstechnische Reaktion der Firma...

FreiGeistler 11. Dez 2019

Ein Hipster als Zahnarzt ist auch eher die Ausnahme. Ein Sprachassistent ist jedenfall...

Iruwen 11. Dez 2019

Also wenn man eh schon in der Praxis ist kann man auch einfach... scnr



Aktuell auf der Startseite von Golem.de
Coronapandemie
42,6 Millionen mehr digitale Impfzertifikate als Impfdosen

Einem Medienbericht zufolge gibt es eine Lücke zwischen ausgestellten Impfnachweisen und verabreichten Dosen. Diese wird sogar noch größer.

Coronapandemie: 42,6 Millionen mehr digitale Impfzertifikate als Impfdosen
Artikel
  1. Raspberry Pi: Mit einem DVB-T-Stick die Wetterstation retten
    Raspberry Pi
    Mit einem DVB-T-Stick die Wetterstation retten

    Was kann man machen, wenn ein Regenmesser abraucht und man nicht die komplette Wetterstation neu kaufen will? Das Zauberwort heißt SDR.
    Ein Bericht von Friedhelm Greis

  2. Naomi SexyCyborg Wu: Pappbüste einer Tech-Youtuberin ist Youtube zu anstößig
    Naomi "SexyCyborg" Wu
    Pappbüste einer Tech-Youtuberin ist Youtube zu anstößig

    Naomi Wu wird in der Maker-Szene für ihr Fachwissen geschätzt. Youtube demonetarisiert sie aber wohl wegen ihrer Körperproportionen.

  3. Quartalszahlen: Supercomputer-Millionen-Strafe für Intel
    Quartalszahlen
    Supercomputer-Millionen-Strafe für Intel

    Weil ein System nicht fertig wurde, musste Intel die US-Regierung entschädigen. Und die Xeon-CPUs verspäten sich weiter.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RX 6900 XTU 16GB 1.449€ • Intel i7 3,6Ghz 399€ • Alternate: u.a. Acer Gaming-Monitor 119,90€ • Logitech Gaming-Headset 75€ • iRobot Saugroboter ab 289,99€ • 1TB SSD PCIe 4.0 128,07€ • Razer Gaming-Tastatur 155€ • GOG New Year Sale: bis zu 90% Rabatt • LG OLED 65 Zoll 1.599€ [Werbung]
    •  /