[English]Triviale Bugs in Tools zur Verwaltung von SSDs von Western Digital und SanDisk gefährden die Sicherheit von Nutzern unter Windows. Das haben Sicherheitsforscher offen gelegt. Von den Herstellern gibt es aber ein Update.
Anzeige
Sicherheitsforscher von Trustwave haben das Ganze in diesem Blog-Beitrag mit dem Titel 'SanDisk SSD Dashboard Vulnerabilities: CVE-2019-13466 & CVE-2019-13467' öffentlich gemacht – Bleeping Computer berichtet hier darüber.
Verschlüsselung im Dashboard
Es geht um die SSD Dashboard-Anwendung, die von Western Digital- und SanDisk zur Verwaltung der Laufwerke verwendet wird. Beide Anwendungen sind Utility-Kits, mit denen Benutzer die Leistung ihrer SSDs überwachen, Probleme diagnostizieren und Informationen zur Fehlerbehebung sammeln können. Die Pakete enthalten Tools für SSD-Firmware-Updates und zum Lesen von Laufwerksdetails (Modell, Kapazität, SMART-Attribute).
Sicherheitsforscher haben sich die Tools vorgenommen, als sie eine SSD installierten. Ein String-Dump offenbarte dann die Schwachstelle CVE-2019-13466 in der Anwendung SanDiskSSDDashboard.exe. Dem Sicherheitsforscher fiel ein String im Code auf, den er dann bei der Verwendung des Tools im Prozess Monitor überwachen ließ. Beim Aufruf der Funktion "Generate Report File" zum Erzeugen einer Protokolldatei kam dann folgender Aufruf zum Tragen.
"C:/Program Files (x86)/SanDisk/SSD Dashboard/7za.exe" a -tzip "C:/SSD_Dashboard_Report.zip" "C:/Users/martin/Desktop/SSD_Dashboard_Report_msinfo.txt" "C:/SSD_Dashboard_Report_msinfo.txt" -pS@nD!sk.1
Anzeige
7za.exe ist die Kommandozeilenversion von 7-zip und der Schalter –p gibt eine Verschlüsselung vor. Der Sicherheitsforscher schreibt, dass die Anwendung ein festes Passwort verwendet, um die Daten des Berichts zu schützen. Dieser Bericht soll dann zur Überprüfung an SanDisk gesendet werden. In diesem Kontext ist die "Verschlüsselung" wertlos. Ein besserer Ansatz wäre die Verwendung eines öffentlichen Schlüssels anstelle des Passworts, so dass nur SanDisk mit einem entsprechenden privaten Schlüssel die Nachricht entschlüsseln kann. Inzwischen hat sich der Hersteller entschieden die Verschlüsselung ganz aufzugeben. Stattdessen empfehlen sie Kunden, die Support benötigen, solche Berichte manuell mit ihren Kundendienstteams zu teilen.
Unverschlüsselt übertragene Updates
Der Hammer liegt aber in der unverschlüsselten Übertragung von Updates für dieses Utility, dem die Schwachstellenbezeichnung CVE-2019-13467 zugeordnet wurde. Wenn die Dashboard-Anwendung eine Anfrage nach verfügbaren Updates stellt, erhält diese eine XML-Datei mit der neuesten Versionsnummer, die für das Dienstprogramm verfügbar ist, zurückgeliefert.
<?xml version="1.0"?>
<lista xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:xsd="http://www.w3.org/2001/XMLSchema">
<Application_Installer>
<version>2.3.3.0</version>
<create_date>10/12/2018</create_date>
<url>SanDiskSSDDashboardSetup.exe</url>
</Application_Installer>
</lista>
Wenn die in der xml angegebene Programmversion größer als die aktuelle Version ist, lädt die App die im URL-Element angegebene ausführbare Datei herunter und führt sie aus. Die Anweisung dazu lautet:
http://wddashboarddownloads.wdc.com/Dashboard/config/lista_updater.xml
Es wird eine http-Übertragung verwendet, so dass es trivial ist, Benutzer anzugreifen, die diese Anwendung in nicht vertrauenswürdigen Umgebungen (z.B. über einen öffentlichen Internet-Hotspot) ausführen, schreibt der Sicherheitsforscher. Insbesondere kann ein bösartiger Benutzer einen präparierten Hotspot erstellen, in den sich der Computer einwählt. Dann ließe sich einn Man-in-the-Middle-Angriff starten und dann können bösartige Inhalte anstelle der von der Anwendung angeforderten Updates ausgeliefert werden. Ob es eine Prüfung auf digitale Signaturen gibt, Daten bereitstellen.
Die Hersteller haben mit Updates reagiert
Nachdem der Sicherheitsforscher die Informationen an die Hersteller weiter gereicht hat, wurde von Sandisk das Problem durch den Wechsel zu HTTPS behoben. Benutzern des Western Digital und des SanDisk SSD Dashboards wird empfohlen, so schnell wie möglich auf mindestens Version 2.5.1.0 zu aktualisieren, um diese Probleme zu lösen. Weitere Informationen finden sich auf der Webseite von Western Digital.
Ähnliche Artikel
Sicherheitslücken in Intels Rapid Storage Technology
Intel VISA ermöglicht Zugriff auf Computerdaten
Lenovo Service Engine (LSE) – Superfish reloaded II
Neuer Keylogger in HP-Notebook-Synaptics Treibern gefunden
Schwere Sicherheitslücke in Dells PC-Doctor-Assistant
Dell-Rechner: RCE-Sicherheitslücke im SupportAssist Client
Anzeige
Bis auf die leider oft einzige Möglichkeit des Firmwareupdates, verwende ich SSD-Herstellertools nie und es wird dann auch direkt nach dem Einsatz wieder deinstalliert mit Überprüfung des Autostarts, damit da auch nichts zurückbleibt. Es ist Schlangenöl, wenn ein Tool versucht, das System zu optimieren und danach läuft irgendetwas nicht mehr oder Windows reagiert ungewohnt.
Für Smart gibt es Tools, die nicht installiert werden müssen und Benchmarks macht man auch mit einem Standardtool, wie AS SSD Benchmark oder Crystal Disk Mark und nicht mit einem Herstellertool, das sich damit ereifert, die Leistung der ach so tollen SSD in beeindruckender Weise zu zeigen. Dreist ist, dass die SSD-Software immer installiert werden muss, wo es sicher auch anders geht. Diese besitzergreifende Methode über den PC erweckt in mir immer mein Misstrauen.
"Diese besitzergreifende Methode über den PC erweckt in mir immer mein Misstrauen."
Sehe ich ähnlich.
Das Tool von SanDisk ist schlappe 210 MB groß.
Da kann man viele schicke Sachen einbauen.
Hallo,
Also bei mir ist nach dem Download eine Datei "SanDiskSSDDashboardSetup.exe" mit 559 KB (572.624 Bytes) auf der Festplatte gelandet. Dabei scheint es sich um einen Downloader zu handeln.
Nach dem Start zeigt dieser die Fehlermeldung "Downloaderror 800c0006" an und tut nix mehr. Diesselbe Fehlermeldung habe ich auch erhalten, wenn ich die Version 2.3.2.0 der Dashbord-Software mittels der eingebauten Updatefunktion updaten wollte.
Auch war meine Vorgängerversion deutschsprachig, während es das aktuelle Update wohl nur englischsprachig gibt.
Ich würde sagen Füße stillhalten und beobachten. Und falls da nix weiter kommt, vergessen das Ganze. Die Ersteinrichtung und Überprüfung der SSD habe ich ja damals durchgeführt und für eine weitere regelmäßige Nutzung des Dashboard-Tools sehe ich eigentlich keinen Grund. Ich glaube nicht, das für meine SSD noch Firmwareupdates kommen und eine SMART-Status-Prüfung etc. kann man auch mit Tools von Drittanbietern durchführen.
Freundliche Grüße
P.B.
Natürlich sollten solche Fehler behoben werden und ärgerlich, dass es solche mitunter auch trivialen Fehler gibt, aber…
mal ehrlich: kein Tag (egal wo), wo es keine Meldungen über Sicherheitslöcher in irgendeinem Produkt gibt. Dann gibt es ein Update, dann die nächsten Löcher, dann ein Update – ein endloser Zyklus und man fragt sich eigentlich, wann Produkte endlich mal keine Sicherheitslöcher mehr haben und ist das überhaupt möglich? Scheinbar wohl nicht, von daher bietet auch ein Fix keine Sicherheit, außer eventuell für das letzte Problem. Auch mit der suggerierten https – Sicherheit soll es ja nicht so dolle sein, aber Hauptsache Google und andere haben alle Webmaster quasi zum Einsatz genötigt. Bis man natürlich Sicherheitslücken findet, dann brauchen wir https2, https3…
Der einzige Weg sicher vor Internet Risiken zu sein, scheint mir daher in einer Rückkehr zu Papier und Bleistift zu liegen, vielleicht geht noch ein einfacher Taschenrechner (ohne WLAN natürlich) durch, eine mechanische Schreibmaschine, aber ansonsten werden wir halt einfach weiter Löcher stopfen. Tag für Tag…