Berater des finnischen IT-Security-Unternehmens F-Secure haben in einem beliebten drahtlosen Präsentationssystem mehrere Sicherheitslücken entdeckt, die es ermöglichen, das System in weniger als 60 Sekunden zu hacken. Angreifer können so die Informationen, die präsentiert werden, abfangen und manipulieren, Passwörter und andere vertrauliche Daten stehlen oder Backdoors und andere Malware einrichten.
„ClickShare“ von Barco ist ein drahtloses Kollaborations- und Präsentationssystem, das es Gruppen von zusammenarbeitenden Menschen ermöglicht, Inhalte von verschiedenen Geräten aus zu präsentieren. Clickshare ist mit 29 Prozent Marktanteil – laut dem Futuresource-Consulting-Report „Global Wireless Presentation Solutions 2019“ – im Geschäftsleben weit verbreitet. Laut Dmitry Janushkevich, Hardware Security Consultant bei F-Secure, macht gerade die Beliebtheit solche benutzerfreundlichen Tools zum logischen Ziel von Attacken. Aus diesem Grund hat sich sein Team die Anwendung auch genau angesehen.
„Dieses System ist so praktisch und einfach zu bedienen, dass die Nutzer keinen Grund sehen, warum sie misstrauisch sein sollten. Aber hinter der vermeintlichen Einfachheit verbergen sich extrem komplexe Vorgänge – was die Sicherheit zur Herausforderung macht“, erläutert Janushkevich. „Diese alltäglich eingesetzten Objekte, an die der Nutzer keine zwei Gedanken verschwendet, sind das beste Ziel für Angreifer. Und weil sie bei Unternehmen so beliebt sind, haben wir entschieden, sie einmal genauer zu analysieren und zu sehen, was wir herausfinden können.“
Janushkevich und seine Kollegen bei F-Secure haben das Clickshare-System über einige Monate hinweg immer wieder untersucht, nachdem sie bei ihren Red-Team-Einsätzen auf seine Beliebtheit aufmerksam geworden waren. Sie entdeckten mehrfach verwertbare Sicherheitslücken; zehn von ihnen sind CVE-Schwachstelle (Common Vulnerabilites and Exposures; Verzeichnis für bekannte Schwachstellen und Sicherheitsrisiken von Computersystemen). Die entdeckten Schwachstellen ermöglichen eine Vielzahl von Angriffen, so etwa das Abfangen der geteilten Informationen, die Nutzung des Systems zum Installieren von Backdoors oder anderer Malware auf dem Computer der Nutzer sowie den Diebstahl von Passwörtern und anderen Daten.
Während einige Exploits den physischen Zugang zum Gerät erfordern, können andere aus der Ferne durchgeführt werden, wenn das Gerät die Standardeinstellungen nutzt. Darüber hinaus hat Janushkevich entdeckt, dass manche Exploits in wenigen Sekunden durchgeführt werden können, was es Angreifern besonders leicht macht, die sich als Reinigungskraft oder Angestellter getarnt Zugang zum Gerät verschaffen.
„Der Schwerpunkt unserer Untersuchung lag darauf, über Backdoors Zugang zum System zu bekommen, so dass wir die Präsentierenden kompromittieren konnten, und Informationen zu stehlen, während sie präsentiert wurden. Obwohl es nicht leicht war, in den geschützten Bereich einzudringen, konnten wir dann, als wir drin waren, gleich mehrere Probleme aufdecken. Weil wir dann mehr über das System wussten, war es einfach, die Schwachstellen auszunutzen“, so Janushkevich. „Für einen Angreifer ist dies ein schneller und praktischer Weg, um ein Unternehmen zu kompromittieren. Unternehmen müssen sich über die damit verbundenen Risiken im Klaren sein.“
Am 9. Oktober 2019 haben die Berater von F-Secure ihre Erkenntnisse dem Unternehmen Barco bekanntgegeben. Die beiden Unternehmen arbeiteten in einer koordinierten Offenlegung der Schwachstellen zusammen. Heute hat Barco eine Firmware-Version auf seiner Website veröffentlicht, um die kritischsten Schwachstellen zu beheben. Jedoch betreffen mehrere der Schwachstellen auch Hardware-Komponenten des Systems und sind so nicht ohne physikalische Präsenz zu beheben. Es ist daher unwahrscheinlich, dass die Schwachstellen behoben werden.
„Dieser Fall zeigt, wie schwierig es ist, ‚smarte‘ Geräte abzusichern. Bugs auf der Platine, im Design oder in der eingebetteten Software können sowohl für den Verkäufer als auch für den Nutzer langfristig negative Auswirkungen haben und das Vertrauen in die Geräte erschüttern“, so Janushkevich.
#Netzpalaver #Fsecure