• IT-Karriere:
  • Services:

Sicherheitslücken: Microsoft-Parkhäuser ungeschützt im Internet

Eigentlich sollte die Parkhaussteuerung nicht aus dem Internet erreichbar sein. Doch auf die Parkhäuser am Microsoft-Hauptsitz in Redmond konnten wir problemlos zugreifen. Nicht das einzige Sicherheitsproblem auf dem Parkhaus-Server.

Artikel von veröffentlicht am
Microsoft hatte seine Parkhäuser offen im Netz.
Microsoft hatte seine Parkhäuser offen im Netz. (Bild: Mike Mozart/CC-BY 2.0)

Es ist nicht das erste Parkhaus, in das Tim Philipp Schäfers über seinen Rechner hineinguckt. Der Golem.de-Autor und Gründer von Internetwache.org hat schon vor einigen Jahren entdeckt, dass manche Firmen die Steuerungssoftware für ihr Parkhaus nicht ausreichend sichern. Im November stößt er erneut auf einen solchen Fall: Er hat eine Parkplatzübersicht vor sich - und daneben das Microsoft-Logo! Schnell stellt Schäfers fest: Er kann auf die Parkhausverwaltung des Microsoft-Hauptsitzes in Redmond, USA, zugreifen. Ohne einen Schutz, über eine unverschlüsselte Verbindung.

Inhalt:
  1. Sicherheitslücken: Microsoft-Parkhäuser ungeschützt im Internet
  2. Microsoft nimmt das Parkhaus offline - und stellt es wieder online

Auf der Weboberfläche wird Schäfers eine Karte des Microsoft-Geländes in Redmond angezeigt. Dort gibt es gleich mehrere Parkhäuser mit insgesamt 3.952 Parkplätzen. Er kann sich von Parkhaus zu Parkhaus und von Parkdeck zu Parkdeck klicken. Über Sensoren stellt das System fest, ob ein Parkplatz frei oder belegt ist, Schäfers kann das auf seinem Rechner sehen.

Bei Tausenden Sensoren gibt es jedoch immer wieder Probleme oder Fehler, beispielsweise wenn ein Sensor kaputtgeht. Diese Fehler werden in einer Alarmliste angezeigt, die Schäfers nicht nur einsehen, sondern auch quittieren kann. Das heißt: Administratoren bekommen sie dann möglicherweise nicht mehr zu Gesicht. Er kann auch nachsehen, welche Parkplätze reserviert wurden und wann welcher Parkplatz genutzt wurde. Im Unterschied zu anderen Installationen der Parkhaus-Software zeigt Microsoft allerdings keine Nummernschilder oder andere persönliche Daten der Parkhaus-Nutzer und Microsoft-Mitarbeiter an.

  • Screenshot der Parkhaussteuerung von Microsoft (Screenshot: Golem.de)
  • Die freien und belegten Parkplätze lassen sich einsehen (Screenshot: Golem.de)
  • Einiges lässt sich nur mit Login verändern - manches auch ohne. (Screenshot: Golem.de)
Screenshot der Parkhaussteuerung von Microsoft (Screenshot: Golem.de)

Mit der Software können auch Notizen zu bestimmten Parkplätzen zugefügt werden. Diese kann Schäfers ebenfalls mit seinem Gastzugang anlegen. Er kann auch den Zeitraum für die Notiz festlegen. Ob sie an anderer Stelle wieder auftaucht, ist unklar.

DDoS könnte Parkhaus lahmlegen?

Stellenmarkt
  1. operational services GmbH & Co. KG, Frankfurt am Main
  2. ING Deutschland, Frankfurt, Nürnberg

Die Software bietet noch viele weitere Funktionen, mit denen sich die Steuerung des Parkhauses - bis hin zur Parkhausbeleuchtung oder den Schranken - vornehmen lässt. Zudem gibt es einen Ereignisplan, mit dem sich bestimmte Aktionen, etwa die Sperrung des Ticketknopfs, starten lassen. Diese Funktionen verlangen aber meist eine Authentifizierung mit Benutzername und Passwort.

Das Passwort könnte über eine Brute-Force-Attacke, also das massenhafte Durchprobieren von Zugangsdaten, herausgefunden werden. Auch die Standard-Passwörter des Softwareherstellers könnten ausprobiert werden. Zudem könnte die Parkhausverwaltung mit Anfragen überhäuft werden (DDoS-Angriff) und damit im schlimmsten Fall das gesamte Parkhaus lahmgelegt werden. Das stellt ein massives Sicherheitsproblem dar.

Offenes Parkhaus, offene Ports

Nicht nur die Parkhaus-Steuerung ist offen, auch die RDP- und SMB-Ports sind über das Internet erreichbar. Das Remote Desktop Protocol (RDP) dient zur Fernwartung von Windows-Computern, während das Protokoll Server Message Block (SMB) Datei- und Druckerdienste bereitstellt und für lokale Netzwerke ausgelegt ist. Microsoft selbst rät, die Dienste nicht im Internet verfügbar zu machen. In RDP wurden im Laufe des vergangenen Jahres zudem schwerwiegende Sicherheitslücken gefunden, auf dem Parkhaus-Server von Microsoft wurden die Sicherheitslücken jedoch gepatcht.

SMB läuft auf dem Server noch in Version 1, von dessen Einsatz Microsoft in einem Blogeintrag sehr deutlich abrät: "Hör auf es zu benutzen!" ist nicht nur die Überschrift, der Satz wird in den ersten Sätzen gleich dreimal wiederholt. In dem Blogeintrag wird eine ganze Liste von Sicherheitsproblemen in SMB 1 aufgeführt. Erstmalig wurde der Blogeintrag 2016 veröffentlicht, auch das US-Cert warnte 2017 deutlich vor dem Einsatz von SMB 1.

Gegenüber Golem.de erklärte Microsoft nach mehreren Hinweisen, dass der Azure-Server von einem Drittanbieter betrieben werde. Zuvor hatte das Unternehmen angegeben, sich um die Probleme zu kümmern - ganz geklappt hat das nicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Microsoft nimmt das Parkhaus offline - und stellt es wieder online 
  1. 1
  2. 2
  3.  
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Meistgelesen
  1. ARM-Betriebssystemversion
    Windows läuft auf Macs mit Apple Silicon
  2. Apple Silicon im Test
    Was der M1-Chip (nicht) kann
  3. Elektroschrott
    Britische Regierung erhebt schwere Vorwürfe gegen Apple
  4. Datenschutz
    Amazon aktiviert Sidewalk und gibt WLAN für andere frei
  5. Pandemie
    Offenbar Fehler in Corona-Warn-App auf Android
Anzeige
Top-Angebote
  1. (u. a. Sennheiser CX SPORT für 89,99€ inkl. Versand)
  2. mit 77,01€ inkl. Versand neuer Tiefpreis bei Geizhals (MediaMarkt & Saturn)
  3. 77,01€ (Vergleichspreis 101,90€)
  4. 28,75€ + Versand oder kostenlose Marktabholung (Vergleichspreis 45,85€ + Versand)
Kommentarübersicht
Re: Anfängerfehler allerorten
gaym0r 20. Jan 2020

Man stelle sich die Cloud-Provider vor, die alle Ports dicht machen... :-)

Re: Sehr interessant
bofhl 17. Jan 2020

Nur wenn man sie bereits vor Langem darüber informierte - mehrfach - und keine echte...

Folgen Sie uns
       
Geforce RTX 3070 - Test

Die Grafikkarte liegt etwa gleichauf mit der Geforce RTX 2080 Ti.

Geforce RTX 3070 - Test Video aufrufen
iPhone 12
iPhone 12 Pro Max im Test: Das Display macht den Hauptunterschied
iPhone 12 Pro Max im Test
Das Display macht den Hauptunterschied

Das iPhone 12 Pro Max ist größer als das 12 Pro und hat eine etwas bessere Kamera - grundsätzlich liegen die beiden Topmodelle von Apple aber nah beieinander, wie unser Test zeigt. Käufer des iPhone 12 Pro müssen keine Angst haben, etwas zu verpassen.
Ein Test von Tobias Költzsch

  1. Displayprobleme Grünstich beim iPhone 12 aufgetaucht
  2. Entsperren erschwert iPhone 12 Mini macht Probleme mit dem Touchscreen
  3. Kabelloses Laden Magsafe entfaltet beim iPhone 12 Mini sein Potenzial nicht
Smart Home
AVM Fritzdect Smarthome im Test: Nicht smart kann auch smarter sein
AVM Fritzdect Smarthome im Test
Nicht smart kann auch smarter sein

AVMs Fritz Smarthome nutzt den Dect-Standard, um Lampen und Schalter miteinander zu verbinden. Das geht auch offline im eigenen LAN.
Ein Test von Oliver Nickel

  1. Konkurrenz zu Philips Hue Signify bringt WLAN-Lampen von Wiz auf den Markt
  2. Smarte Kühlschränke Hersteller verschweigen Kundschaft Support-Dauer
  3. Magenta Smart Home Telekom bietet mehr für das kostenlose Angebot
Mondlandung
Chang'e 5: Chinesischer Probensammler ist im Mondorbit angekommen
Chang'e 5
Chinesischer Probensammler ist im Mondorbit angekommen

Nach 44 Jahren soll eine chinesische Raumsonde endlich wieder Gesteinsproben vom Mond zur Erde bringen.
Von Frank Wunderlich-Pfeiffer

  1. Raumfahrt Nasa hat überraschenden Favoriten bei Mondlanderkonzept
  2. SLS Nasa bestellt Triebwerke für den Preis einer ganzen Rakete
  3. Artemis Base Camp Nasa plant Mondhabitat
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /