• IT-Karriere:
  • Services:

Sicherheitslücken: Microsoft-Parkhäuser ungeschützt im Internet

Eigentlich sollte die Parkhaussteuerung nicht aus dem Internet erreichbar sein. Doch auf die Parkhäuser am Microsoft-Hauptsitz in Redmond konnten wir problemlos zugreifen. Nicht das einzige Sicherheitsproblem auf dem Parkhaus-Server.

Artikel von veröffentlicht am
Microsoft hatte seine Parkhäuser offen im Netz.
Microsoft hatte seine Parkhäuser offen im Netz. (Bild: Mike Mozart/CC-BY 2.0)

Es ist nicht das erste Parkhaus, in das Tim Philipp Schäfers über seinen Rechner hineinguckt. Der Golem.de-Autor und Gründer von Internetwache.org hat schon vor einigen Jahren entdeckt, dass manche Firmen die Steuerungssoftware für ihr Parkhaus nicht ausreichend sichern. Im November stößt er erneut auf einen solchen Fall: Er hat eine Parkplatzübersicht vor sich - und daneben das Microsoft-Logo! Schnell stellt Schäfers fest: Er kann auf die Parkhausverwaltung des Microsoft-Hauptsitzes in Redmond, USA, zugreifen. Ohne einen Schutz, über eine unverschlüsselte Verbindung.

Inhalt:
  1. Sicherheitslücken: Microsoft-Parkhäuser ungeschützt im Internet
  2. Microsoft nimmt das Parkhaus offline - und stellt es wieder online

Auf der Weboberfläche wird Schäfers eine Karte des Microsoft-Geländes in Redmond angezeigt. Dort gibt es gleich mehrere Parkhäuser mit insgesamt 3.952 Parkplätzen. Er kann sich von Parkhaus zu Parkhaus und von Parkdeck zu Parkdeck klicken. Über Sensoren stellt das System fest, ob ein Parkplatz frei oder belegt ist, Schäfers kann das auf seinem Rechner sehen.

Bei Tausenden Sensoren gibt es jedoch immer wieder Probleme oder Fehler, beispielsweise wenn ein Sensor kaputtgeht. Diese Fehler werden in einer Alarmliste angezeigt, die Schäfers nicht nur einsehen, sondern auch quittieren kann. Das heißt: Administratoren bekommen sie dann möglicherweise nicht mehr zu Gesicht. Er kann auch nachsehen, welche Parkplätze reserviert wurden und wann welcher Parkplatz genutzt wurde. Im Unterschied zu anderen Installationen der Parkhaus-Software zeigt Microsoft allerdings keine Nummernschilder oder andere persönliche Daten der Parkhaus-Nutzer und Microsoft-Mitarbeiter an.

  • Screenshot der Parkhaussteuerung von Microsoft (Screenshot: Golem.de)
  • Die freien und belegten Parkplätze lassen sich einsehen (Screenshot: Golem.de)
  • Einiges lässt sich nur mit Login verändern - manches auch ohne. (Screenshot: Golem.de)
Screenshot der Parkhaussteuerung von Microsoft (Screenshot: Golem.de)

Mit der Software können auch Notizen zu bestimmten Parkplätzen zugefügt werden. Diese kann Schäfers ebenfalls mit seinem Gastzugang anlegen. Er kann auch den Zeitraum für die Notiz festlegen. Ob sie an anderer Stelle wieder auftaucht, ist unklar.

DDoS könnte Parkhaus lahmlegen?

Stellenmarkt
  1. operational services GmbH & Co. KG, Frankfurt am Main
  2. ING Deutschland, Frankfurt, Nürnberg

Die Software bietet noch viele weitere Funktionen, mit denen sich die Steuerung des Parkhauses - bis hin zur Parkhausbeleuchtung oder den Schranken - vornehmen lässt. Zudem gibt es einen Ereignisplan, mit dem sich bestimmte Aktionen, etwa die Sperrung des Ticketknopfs, starten lassen. Diese Funktionen verlangen aber meist eine Authentifizierung mit Benutzername und Passwort.

Das Passwort könnte über eine Brute-Force-Attacke, also das massenhafte Durchprobieren von Zugangsdaten, herausgefunden werden. Auch die Standard-Passwörter des Softwareherstellers könnten ausprobiert werden. Zudem könnte die Parkhausverwaltung mit Anfragen überhäuft werden (DDoS-Angriff) und damit im schlimmsten Fall das gesamte Parkhaus lahmgelegt werden. Das stellt ein massives Sicherheitsproblem dar.

Offenes Parkhaus, offene Ports

Nicht nur die Parkhaus-Steuerung ist offen, auch die RDP- und SMB-Ports sind über das Internet erreichbar. Das Remote Desktop Protocol (RDP) dient zur Fernwartung von Windows-Computern, während das Protokoll Server Message Block (SMB) Datei- und Druckerdienste bereitstellt und für lokale Netzwerke ausgelegt ist. Microsoft selbst rät, die Dienste nicht im Internet verfügbar zu machen. In RDP wurden im Laufe des vergangenen Jahres zudem schwerwiegende Sicherheitslücken gefunden, auf dem Parkhaus-Server von Microsoft wurden die Sicherheitslücken jedoch gepatcht.

SMB läuft auf dem Server noch in Version 1, von dessen Einsatz Microsoft in einem Blogeintrag sehr deutlich abrät: "Hör auf es zu benutzen!" ist nicht nur die Überschrift, der Satz wird in den ersten Sätzen gleich dreimal wiederholt. In dem Blogeintrag wird eine ganze Liste von Sicherheitsproblemen in SMB 1 aufgeführt. Erstmalig wurde der Blogeintrag 2016 veröffentlicht, auch das US-Cert warnte 2017 deutlich vor dem Einsatz von SMB 1.

Gegenüber Golem.de erklärte Microsoft nach mehreren Hinweisen, dass der Azure-Server von einem Drittanbieter betrieben werde. Zuvor hatte das Unternehmen angegeben, sich um die Probleme zu kümmern - ganz geklappt hat das nicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Microsoft nimmt das Parkhaus offline - und stellt es wieder online 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. (u. a. Sennheiser CX SPORT für 89,99€ inkl. Versand)
  2. mit 77,01€ inkl. Versand neuer Tiefpreis bei Geizhals (MediaMarkt & Saturn)
  3. 77,01€ (Vergleichspreis 101,90€)
  4. 28,75€ + Versand oder kostenlose Marktabholung (Vergleichspreis 45,85€ + Versand)

gaym0r 20. Jan 2020

Man stelle sich die Cloud-Provider vor, die alle Ports dicht machen... :-)

bofhl 17. Jan 2020

Nur wenn man sie bereits vor Langem darüber informierte - mehrfach - und keine echte...


Folgen Sie uns
       


Geforce RTX 3070 - Test

Die Grafikkarte liegt etwa gleichauf mit der Geforce RTX 2080 Ti.

Geforce RTX 3070 - Test Video aufrufen
    •  /