Original-URL des Artikels: https://www.golem.de/news/medizin-updateprozess-bei-aerztesoftware-quincy-war-ungeschuetzt-1912-145428.html    Veröffentlicht: 10.12.2019 14:40    Kurz-URL: https://glm.io/145428

Medizin

Updateprozess bei Ärztesoftware Quincy war ungeschützt

In einer Software für Arztpraxen ist der Updateprozess ungeschützt über eine Rsync-Verbindung erfolgt. Der Hersteller der Software versucht, Berichterstattung darüber zu verhindern.

Eine Software namens Quincy, die in vielen Arztpraxen zur Verwaltung von Patientendaten eingesetzt wird, hat massive Sicherheitsprobleme durch einen ungeschützten Updateprozess gehabt. Der Hersteller bestritt zunächst, dass die Sicherheitslücken überhaupt existierten. Die Zeitschrift Medical Tribune, die zuerst über die Probleme berichtet hatte, hat ihren Artikel wieder entfernt. Golem.de konnte die Sicherheitsprobleme des Updateprozesses selbst nachvollziehen. Inzwischen ist die Software aktualisiert worden.

Die IT-Sicherheitsfirma X41 D-Sec hatte im Auftrag einer Arztpraxis die Sicherheit der dortigen Software geprüft. Dabei fand X41 mehrere Probleme in der dort verwendeten Software Quincy. Die kritischste Lücke: Der Updateprozess erfolgte über eine komplett ungeschützte Rsync-Verbindung, ein Netzwerkangreifer hätte somit einen Man-in-the-Middle-Angriff durchführen und die Updatedateien durch Schadcode austauschen können. Ein Angreifer hätte damit beispielsweise Patientendaten stehlen können. Diese Resultate stellte X41 sowohl Golem.de als auch der Zeitschrift Medical Tribune zur Verfügung.

Hersteller bestreitet Problem

Golem.de informierte daraufhin den Hersteller von Quincy, die Firma Frey, über die Lücken und bat um eine Stellungnahme. Zunächst erhielten wir keine Antwort, auf nochmalige Nachfrage bestritt der Geschäftsführer von Frey, Lars Wichmann, dass die Probleme überhaupt existierten. "Die angeblichen Sicherheitslücken können wir nicht bestätigen", schrieb Wichman in der Antwort an Golem.de. "Die aufgeworfenen Punkte und/oder deren Interpretation im Hinblick auf eine konstruierte Bedrohungslage sind nicht zutreffend und entsprechen nicht den Tatsachen."

Zu diesem Zeitpunkt hatte die Medizin-Fachzeitschrift Medical Tribune bereits über die Sicherheitslücken berichtet. Der Geschäftsführer von Frey teilte uns mit, dass die Firma gegen diese Berichterstattung bereits juristisch vorzugehen versuchte: "Wegen der erfolgten Falschdarstellungen haben wir bereits entsprechende rechtliche Schritte eingeleitet." Die Medical Tribune entfernte zwischenzeitlich den Artikel, der sowohl in der Printausgabe als auch Online erschienen war, wieder von ihrer Webseite.

Für unsere Berichterstattung war die Sache daher nicht ganz unproblematisch. Golem.de hatte bereits in der Vergangenheit über Funde der Firma X41 berichtet und wir hielten die Darstellung für vertrauenswürdig. Aber der Hersteller bestritt alle Probleme. Daher versuchten wir, selbst die Sicherheitsprobleme nachzuvollziehen. Wir konzentrierten uns dabei auf die unserer Ansicht nach kritischste Sicherheitslücke, den ungeschützten Updateprozess. In unseren eigenen Tests konnten wir die Beschreibung der Lücke nachvollziehen und einen entsprechenden Angriff in einem Testsystem nachstellen.



Update über ungeschützte Rsync-Verbindung

Wenn man in der Quincy-Software ein Online-Update durchführen wollte, konnte zunächst über das Optionsmenü der Menüpunkt "Online-Update holen" aufgerufen werden. Die Quincy-Software lud anschließend über das Rsync-Protokoll die Updatedateien von einem Server, der unter dem Hostnamen ftp.gusbox.de erreichbar ist.

Rsync ist ein Dateiübertragungsprotokoll, das von sich aus keinerlei Authentifizierungsmechanismen beinhaltet. Es war daher für einen Netzwerkangreifer möglich, auf dieser Verbindung einen Man-in-the-Middle-Angriff durchzuführen. Das ging beispielsweise, indem DNS-Anfragen auf einen vom Angreifer kontrollierten Server umgeleitet oder direkt die IP-Verbindungen mit einem ARP-Spoofing-Angriff manipuliert wurden.

Netzwerkangreifer konnten Update-Daten austauschen

Ein solcher Angriff hätte beispielsweise von einem anderen Gerät im Netzwerk des Arztes durchgeführt werden können. Ebenfalls denkbar wäre ein Angriff durch einen böswilligen Mitarbeiter bei einem Internet-Zugangsprovider oder einem Internet-Knotenpunkt gewesen, über den die Datenverbindung abgewickelt wird.

Das Update konnte anschließend auf mehrere Arten ausgelöst werden. Über einen weiteren Menüpunkt in der Quincy-Software, "Letztes Online-Update einspielen", konnte der Nutzer das Update sofort auslösen. Alternativ wurde, falls eine neue Version vorhanden war, das Update beim nächsten Start der Quincy-Software ausgeführt. Als dritte Möglichkeit wurden Nutzer darauf hingewiesen, dass sie auch selbst die setup.exe im entsprechenden Unterverzeichnis ausführen konnten.

Am einfachsten anzugreifen war die dritte Variante: Da die Datei setup.exe ungeschützt von einem Rsync-Server kam, konnte der Angreifer diese schlicht austauschen. Bei den anderen beiden Varianten wurde zunächst von der Quincy-Software eine Prüfung vorgenommen.

Leeres Hash-Feld reichte, um Prüfung auszutricksen

Dabei wurde ein Hash berechnet, der in der Datei version.ini mit übertragen wird. Zudem ist in der Datei version.ini eine Versionsnummer und ein Datum sowohl der Software als auch des Hashs zu finden. Daran erkannte Quincy, ob überhaupt ein Update vorlag.

Ein Angreifer hätte nun versuchen können, diesen Hash selbst zu berechnen. Aber das war gar nicht notwendig. In unseren Tests reichte es bereits, den entsprechenden Eintrag namens "dirhash" leer zu lassen. Einen leeren Wert akzeptierte Quincy als gültig und führte anschließend die von uns manipulierte setup.exe aus. Der Angriff funktionierte auf diese Weise mit der Version von Quincy, die zum Zeitpunkt unserer Tests Ende Oktober aktuell war.

Hersteller lässt Anwaltskanzlei antworten

Diese Funde teilten wir erneut der Firma Frey mit. Daraufhin erhielten wir ein Schreiben der Anwaltskanzlei des Unternehmens. Darin wurde uns mitgeteilt, dass Frey weiterhin unsere Einschätzung, dass irgendeine Gefährdung für die Sicherheit einer Arztpraxis durch die Software Quincy vorliege, nicht teile. Allerdings plane das Unternehmen sowieso bereits, den Updateprozess zu überarbeiten. Hier komme ein "gänzlich anderes Sicherheitskonzept" zum Einsatz.

Wir haben daraufhin die jüngste Version von Quincy geprüft. Tatsächlich findet sich in der Datei version.ini inzwischen ein zusätzlicher Eintrag namens "fullhash". Eine Manipulation durch einen leeren Wert funktioniert nicht mehr, das Update wird dann nicht ausgeführt. Weiterhin möglich ist ein Angriff aber, wenn ein Nutzer, wie von Quincy selbst vorgeschlagen, die heruntergeladene Setup-Datei manuell ausführt.

Wie genau der neue Schutzmechanismus funktioniert, konnten wir nicht herausfinden. Dafür wäre zunächst ein umfangreiches Reverse-Engineering der Updatefunktion notwendig gewesen.

Wir haben den Hersteller gebeten zu erläutern, wie Angriffe durch den neuen Update-Prozess verhindert werden. Die Antwort blieb vage: "Die vorgenommenen Änderungen sind umfassender und werden sich auch umfassender auswirken. In den nächsten Wochen werden zudem weitere Änderungen im Rahmen unseres neuen Konzepts zum Online-Update-Prozesses ausgeliefert", schreibt dazu der Frey-Geschäftsführer Lars Wichmann in einer Mail an Golem.de.

Wie diese genau aussehen, will der Hersteller aber nicht verraten: "Wir bitten um Verständnis, dass wir zu den bereits umgesetzten und zukünftig noch auszuliefernden Änderungen des Online-Update-Prozesses sowie den implementierten Sicherungsmechanismen gegenüber Außenstehenden aus Sicherheitsgründen keine näheren Angaben machen werden und diese auch nicht veröffentlichen werden."

 (hab)


Verwandte Artikel:
Sicherheitsprobleme: Schlechte Passwörter bei Ärzten   
(08.04.2019, https://glm.io/140542 )
Tracking: TK arbeitet nicht mehr mit Ada zusammen   
(05.12.2019, https://glm.io/145371 )
Unix-artige Systeme: Sicherheitslücke ermöglicht Übernahme von VPN-Verbindung   
(06.12.2019, https://glm.io/145403 )
Schwachstellen: Über Rsync in das Hotelnetzwerk einbrechen   
(27.03.2015, https://glm.io/113202 )
Überwachungskameras: Geld gegen Polizeizugriff   
(05.12.2019, https://glm.io/145381 )

© 1997–2020 Golem.de, https://www.golem.de/