• IT-Karriere:
  • Services:

Sicherheitslücken: Microsoft-Parkhäuser ungeschützt im Internet

Eigentlich sollte die Parkhaussteuerung nicht aus dem Internet erreichbar sein. Doch auf die Parkhäuser am Microsoft-Hauptsitz in Redmond konnten wir problemlos zugreifen. Nicht das einzige Sicherheitsproblem auf dem Parkhaus-Server.

Artikel von veröffentlicht am
Microsoft hatte seine Parkhäuser offen im Netz.
Microsoft hatte seine Parkhäuser offen im Netz. (Bild: Mike Mozart/CC-BY 2.0)

Es ist nicht das erste Parkhaus, in das Tim Philipp Schäfers über seinen Rechner hineinguckt. Der Golem.de-Autor und Gründer von Internetwache.org hat schon vor einigen Jahren entdeckt, dass manche Firmen die Steuerungssoftware für ihr Parkhaus nicht ausreichend sichern. Im November stößt er erneut auf einen solchen Fall: Er hat eine Parkplatzübersicht vor sich - und daneben das Microsoft-Logo! Schnell stellt Schäfers fest: Er kann auf die Parkhausverwaltung des Microsoft-Hauptsitzes in Redmond, USA, zugreifen. Ohne einen Schutz, über eine unverschlüsselte Verbindung.

Inhalt:
  1. Sicherheitslücken: Microsoft-Parkhäuser ungeschützt im Internet
  2. Microsoft nimmt das Parkhaus offline - und stellt es wieder online

Auf der Weboberfläche wird Schäfers eine Karte des Microsoft-Geländes in Redmond angezeigt. Dort gibt es gleich mehrere Parkhäuser mit insgesamt 3.952 Parkplätzen. Er kann sich von Parkhaus zu Parkhaus und von Parkdeck zu Parkdeck klicken. Über Sensoren stellt das System fest, ob ein Parkplatz frei oder belegt ist, Schäfers kann das auf seinem Rechner sehen.

Bei Tausenden Sensoren gibt es jedoch immer wieder Probleme oder Fehler, beispielsweise wenn ein Sensor kaputtgeht. Diese Fehler werden in einer Alarmliste angezeigt, die Schäfers nicht nur einsehen, sondern auch quittieren kann. Das heißt: Administratoren bekommen sie dann möglicherweise nicht mehr zu Gesicht. Er kann auch nachsehen, welche Parkplätze reserviert wurden und wann welcher Parkplatz genutzt wurde. Im Unterschied zu anderen Installationen der Parkhaus-Software zeigt Microsoft allerdings keine Nummernschilder oder andere persönliche Daten der Parkhaus-Nutzer und Microsoft-Mitarbeiter an.

  • Screenshot der Parkhaussteuerung von Microsoft (Screenshot: Golem.de)
  • Die freien und belegten Parkplätze lassen sich einsehen (Screenshot: Golem.de)
  • Einiges lässt sich nur mit Login verändern - manches auch ohne. (Screenshot: Golem.de)
Screenshot der Parkhaussteuerung von Microsoft (Screenshot: Golem.de)

Mit der Software können auch Notizen zu bestimmten Parkplätzen zugefügt werden. Diese kann Schäfers ebenfalls mit seinem Gastzugang anlegen. Er kann auch den Zeitraum für die Notiz festlegen. Ob sie an anderer Stelle wieder auftaucht, ist unklar.

DDoS könnte Parkhaus lahmlegen?

Stellenmarkt
  1. Schwarz Dienstleistung KG, Raum Neckarsulm
  2. TenneT TSO GmbH, Bayreuth

Die Software bietet noch viele weitere Funktionen, mit denen sich die Steuerung des Parkhauses - bis hin zur Parkhausbeleuchtung oder den Schranken - vornehmen lässt. Zudem gibt es einen Ereignisplan, mit dem sich bestimmte Aktionen, etwa die Sperrung des Ticketknopfs, starten lassen. Diese Funktionen verlangen aber meist eine Authentifizierung mit Benutzername und Passwort.

Das Passwort könnte über eine Brute-Force-Attacke, also das massenhafte Durchprobieren von Zugangsdaten, herausgefunden werden. Auch die Standard-Passwörter des Softwareherstellers könnten ausprobiert werden. Zudem könnte die Parkhausverwaltung mit Anfragen überhäuft werden (DDoS-Angriff) und damit im schlimmsten Fall das gesamte Parkhaus lahmgelegt werden. Das stellt ein massives Sicherheitsproblem dar.

Offenes Parkhaus, offene Ports

Nicht nur die Parkhaus-Steuerung ist offen, auch die RDP- und SMB-Ports sind über das Internet erreichbar. Das Remote Desktop Protocol (RDP) dient zur Fernwartung von Windows-Computern, während das Protokoll Server Message Block (SMB) Datei- und Druckerdienste bereitstellt und für lokale Netzwerke ausgelegt ist. Microsoft selbst rät, die Dienste nicht im Internet verfügbar zu machen. In RDP wurden im Laufe des vergangenen Jahres zudem schwerwiegende Sicherheitslücken gefunden, auf dem Parkhaus-Server von Microsoft wurden die Sicherheitslücken jedoch gepatcht.

SMB läuft auf dem Server noch in Version 1, von dessen Einsatz Microsoft in einem Blogeintrag sehr deutlich abrät: "Hör auf es zu benutzen!" ist nicht nur die Überschrift, der Satz wird in den ersten Sätzen gleich dreimal wiederholt. In dem Blogeintrag wird eine ganze Liste von Sicherheitsproblemen in SMB 1 aufgeführt. Erstmalig wurde der Blogeintrag 2016 veröffentlicht, auch das US-Cert warnte 2017 deutlich vor dem Einsatz von SMB 1.

Gegenüber Golem.de erklärte Microsoft nach mehreren Hinweisen, dass der Azure-Server von einem Drittanbieter betrieben werde. Zuvor hatte das Unternehmen angegeben, sich um die Probleme zu kümmern - ganz geklappt hat das nicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Microsoft nimmt das Parkhaus offline - und stellt es wieder online 
  1. 1
  2. 2
  3.  
Zu den Kommentaren springen
Meistgelesen
  1. Rotary Cellphone
    Ein Handy mit Wählscheibe
  2. In eigener Sache
    Die offiziellen Golem-PCs sind da
  3. SpaceX
    Falcon 9 scheitert am Versuch der 50. Landung
  4. Elektromobilität
    Bill Gates kauft Porsche Taycan und kritisiert Elektroautos
  5. Kabelnetz
    Vodafone bietet Gigacable Max für dauerhaft 39,99 Euro
Anzeige
Spiele-Angebote
  1. (-10%) 8,99€
  2. (-53%) 27,99€
  4. 3,74€
Kommentarübersicht
Re: Anfängerfehler allerorten
gaym0r 20. Jan 2020 / Themenstart

Man stelle sich die Cloud-Provider vor, die alle Ports dicht machen... :-)

Re: Sehr interessant
bofhl 17. Jan 2020 / Themenstart

Nur wenn man sie bereits vor Langem darüber informierte - mehrfach - und keine echte...

Kommentieren

Folgen Sie uns
       
Razer Eracing Simulator ausprobiert (CES 2020)

Der Eracing Simulator von Razer versucht, das Fahrgefühl in einem Rennwagen wiederzugeben. Dank Motoren und einer großen Leinwand ist die Immersion sehr gut, wie Golem.de im Hands on feststellen konnte.

Razer Eracing Simulator ausprobiert (CES 2020) Video aufrufen
Docsis 3.1
Unitymedia: Upgrade beim Kabelstandard, Downgrade bei Fritz OS
Unitymedia
Upgrade beim Kabelstandard, Downgrade bei Fritz OS

Der Kabelnetzbetreiber Unitymedia stellt sein Netz derzeit auf Docsis 3.1 um. Für Kunden kann das viel Arbeit beim Austausch ihrer Fritzbox bedeuten, wie ein Fallbeispiel zeigt.
Von Günther Born

  1. Hessen Vodafone bietet 1 GBit/s in 70 Städten und kleineren Orten
  2. Technetix Docsis 4.0 mit 10G im Kabelnetz wird Wirklichkeit
  3. Docsis 3.1 Magenta Telekom bringt Gigabit im Kabelnetz
Arbeit
Frauen in der Technik: Von wegen keine Vorbilder!
Frauen in der Technik
Von wegen keine Vorbilder!

Technik, also auch Computertechnik, war schon immer ein männlich dominiertes Feld. Das heißt aber nicht, dass es in der Geschichte keine bedeutenden Programmiererinnen gab. Besonders das Militär zeigte reges Interesse an den Fähigkeiten von Frauen.
Von Valerie Lux

  1. Arbeit Warum anderswo mehr Frauen IT-Berufe ergreifen
  2. Arbeit Was IT-Recruiting von der Bundesliga lernen kann
  3. Arbeit Wer ein Helfersyndrom hat, ist im IT-Support richtig
Kommunikation
Kommunikation per Ultraschall: Nicht hörbar, nicht sichtbar, nicht sicher
Kommunikation per Ultraschall
Nicht hörbar, nicht sichtbar, nicht sicher

Nachdem Ultraschall-Beacons vor einigen Jahren einen eher schlechten Ruf erlangten, zeichnen sich mittlerweile auch einige sinnvolle Anwendungen ab. Das größte Problem der Technik bleibt aber bestehen: Sie ist einfach, ungeregelt und sehr anfällig für Missbrauch.
Eine Analyse von Mike Wobker

    1. Themen
    2. A
    3. B
    4. C
    5. D
    6. E
    7. F
    8. G
    9. H
    10. I
    11. J
    12. K
    13. L
    14. M
    15. N
    16. O
    17. P
    18. Q
    19. R
    20. S
    21. T
    22. U
    23. V
    24. W
    25. X
    26. Y
    27. Z
    28. #
     
     
      •  /