Sicherheitslücken: Microsoft-Parkhäuser ungeschützt im Internet

Eigentlich sollte die Parkhaussteuerung nicht aus dem Internet erreichbar sein. Doch auf die Parkhäuser am Microsoft-Hauptsitz in Redmond konnten wir problemlos zugreifen. Nicht das einzige Sicherheitsproblem auf dem Parkhaus-Server.

Artikel von veröffentlicht am
Microsoft hatte seine Parkhäuser offen im Netz.
Microsoft hatte seine Parkhäuser offen im Netz. (Bild: Mike Mozart/CC-BY 2.0)

Es ist nicht das erste Parkhaus, in das Tim Philipp Schäfers über seinen Rechner hineinguckt. Der Golem.de-Autor und Gründer von Internetwache.org hat schon vor einigen Jahren entdeckt, dass manche Firmen die Steuerungssoftware für ihr Parkhaus nicht ausreichend sichern. Im November stößt er erneut auf einen solchen Fall: Er hat eine Parkplatzübersicht vor sich - und daneben das Microsoft-Logo! Schnell stellt Schäfers fest: Er kann auf die Parkhausverwaltung des Microsoft-Hauptsitzes in Redmond, USA, zugreifen. Ohne einen Schutz, über eine unverschlüsselte Verbindung.

Inhalt:
  1. Sicherheitslücken: Microsoft-Parkhäuser ungeschützt im Internet
  2. Microsoft nimmt das Parkhaus offline - und stellt es wieder online

Auf der Weboberfläche wird Schäfers eine Karte des Microsoft-Geländes in Redmond angezeigt. Dort gibt es gleich mehrere Parkhäuser mit insgesamt 3.952 Parkplätzen. Er kann sich von Parkhaus zu Parkhaus und von Parkdeck zu Parkdeck klicken. Über Sensoren stellt das System fest, ob ein Parkplatz frei oder belegt ist, Schäfers kann das auf seinem Rechner sehen.

Bei Tausenden Sensoren gibt es jedoch immer wieder Probleme oder Fehler, beispielsweise wenn ein Sensor kaputtgeht. Diese Fehler werden in einer Alarmliste angezeigt, die Schäfers nicht nur einsehen, sondern auch quittieren kann. Das heißt: Administratoren bekommen sie dann möglicherweise nicht mehr zu Gesicht. Er kann auch nachsehen, welche Parkplätze reserviert wurden und wann welcher Parkplatz genutzt wurde. Im Unterschied zu anderen Installationen der Parkhaus-Software zeigt Microsoft allerdings keine Nummernschilder oder andere persönliche Daten der Parkhaus-Nutzer und Microsoft-Mitarbeiter an.

  • Screenshot der Parkhaussteuerung von Microsoft (Screenshot: Golem.de)
  • Die freien und belegten Parkplätze lassen sich einsehen (Screenshot: Golem.de)
  • Einiges lässt sich nur mit Login verändern - manches auch ohne. (Screenshot: Golem.de)
Screenshot der Parkhaussteuerung von Microsoft (Screenshot: Golem.de)

Mit der Software können auch Notizen zu bestimmten Parkplätzen zugefügt werden. Diese kann Schäfers ebenfalls mit seinem Gastzugang anlegen. Er kann auch den Zeitraum für die Notiz festlegen. Ob sie an anderer Stelle wieder auftaucht, ist unklar.

DDoS könnte Parkhaus lahmlegen?

Stellenmarkt
  1. Experte Transformation - Wissensmanagement (w/m/d)
    Pro Projekte-GmbH & Co. KG, Düsseldorf
  2. Mitarbeiter (m/w/d) Prozessmanagement IT
    Kindertagesstätten Nordwest Eigenbetrieb von Berlin, Berlin
Detailsuche

Die Software bietet noch viele weitere Funktionen, mit denen sich die Steuerung des Parkhauses - bis hin zur Parkhausbeleuchtung oder den Schranken - vornehmen lässt. Zudem gibt es einen Ereignisplan, mit dem sich bestimmte Aktionen, etwa die Sperrung des Ticketknopfs, starten lassen. Diese Funktionen verlangen aber meist eine Authentifizierung mit Benutzername und Passwort.

Das Passwort könnte über eine Brute-Force-Attacke, also das massenhafte Durchprobieren von Zugangsdaten, herausgefunden werden. Auch die Standard-Passwörter des Softwareherstellers könnten ausprobiert werden. Zudem könnte die Parkhausverwaltung mit Anfragen überhäuft werden (DDoS-Angriff) und damit im schlimmsten Fall das gesamte Parkhaus lahmgelegt werden. Das stellt ein massives Sicherheitsproblem dar.

Offenes Parkhaus, offene Ports

Nicht nur die Parkhaus-Steuerung ist offen, auch die RDP- und SMB-Ports sind über das Internet erreichbar. Das Remote Desktop Protocol (RDP) dient zur Fernwartung von Windows-Computern, während das Protokoll Server Message Block (SMB) Datei- und Druckerdienste bereitstellt und für lokale Netzwerke ausgelegt ist. Microsoft selbst rät, die Dienste nicht im Internet verfügbar zu machen. In RDP wurden im Laufe des vergangenen Jahres zudem schwerwiegende Sicherheitslücken gefunden, auf dem Parkhaus-Server von Microsoft wurden die Sicherheitslücken jedoch gepatcht.

SMB läuft auf dem Server noch in Version 1, von dessen Einsatz Microsoft in einem Blogeintrag sehr deutlich abrät: "Hör auf es zu benutzen!" ist nicht nur die Überschrift, der Satz wird in den ersten Sätzen gleich dreimal wiederholt. In dem Blogeintrag wird eine ganze Liste von Sicherheitsproblemen in SMB 1 aufgeführt. Erstmalig wurde der Blogeintrag 2016 veröffentlicht, auch das US-Cert warnte 2017 deutlich vor dem Einsatz von SMB 1.

Gegenüber Golem.de erklärte Microsoft nach mehreren Hinweisen, dass der Azure-Server von einem Drittanbieter betrieben werde. Zuvor hatte das Unternehmen angegeben, sich um die Probleme zu kümmern - ganz geklappt hat das nicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Microsoft nimmt das Parkhaus offline - und stellt es wieder online 
  1. 1
  2. 2
  3.  


Aktuell auf der Startseite von Golem.de
Neues Betriebssystem von Microsoft
Wir probieren Windows 11 aus

Windows 11 ist bereits im Umlauf. Wir haben die Vorabversion ausprobiert und ein schickes OS durchstöbert. Im Kern ist es aber Windows 10.
Ein Hands-on von Oliver Nickel

Neues Betriebssystem von Microsoft: Wir probieren Windows 11 aus
Artikel
  1. Google, Playstation, Starship: SpaceX-Rakete flog ohne Erlaubnis und explodierte
    Google, Playstation, Starship
    SpaceX-Rakete flog ohne Erlaubnis und explodierte

    Sonst noch was? Was am 16. Juni 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

  2. Rückschau E3 2021: Galaktisch gute Spiele-Aussichten
    Rückschau E3 2021
    Galaktisch gute Spiele-Aussichten

    E3 2021 Es hat sich selten wie eine E3 angefühlt - dennoch haben Spiele- und Hardware-Ankündigungen Spaß gemacht. Meine persönlichen Highlights.
    Von Peter Steinlechner

  3. Websicherheit: Wie KenFM von Anonymous gehackt wurde
    Websicherheit
    Wie KenFM von Anonymous gehackt wurde

    Die Webseite AnonLeaks berichtet, wie das Defacement von KenFM ablief: durch abrufbare Backupdaten und das Wordpress-Plugin Duplicator Pro.
    Von Hanno Böck

gaym0r 20. Jan 2020

Man stelle sich die Cloud-Provider vor, die alle Ports dicht machen... :-)

bofhl 17. Jan 2020

Nur wenn man sie bereits vor Langem darüber informierte - mehrfach - und keine echte...


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Dualsense Midnight Black + Ratchet & Clank Rift Apart 99,99€ • Saturn Super Sale (u. a. Samsung 65" QLED (2021) 1.294€) • MSI 27" FHD 144Hz 269€ • Razer Naga Pro Gaming-Maus 119,99€ • Apple iPad Pro 12,9" 256GB 909€ [Werbung]
    •  /