Geldautomat mit Windows XP per Shift-Taste gehackt

SicherheitEs klingt wie eine Räuberpistole: Ein Bankautomat in Russland konnte durch 5 maliges Drücken der Shift-Taste gehackt werden. Windows XP Embedded in Kombination mit der Unfähigkeit des russischen Administrators machten es möglich.


Anzeige

Wir wissen schon seit einiger Zeit, dass Geldautomaten mit Windows XP (Embedded-Version oder nicht) Angriffen ausgesetzt sind. Kommen aber fehlende Updates mit einer schlechten Konfiguration von IT-Administratoren zusammen, gibt es eine Schwachstelle, die beunruhigend leicht auszunutzen ist. Der aktuelle Fall wurde durch den russischen Blog habrahabr öffentlich, wie Softpedia hier schreibt.

Die Blogger hatten entdeckt, dass ein Geldautomat, der von der staatlichen Bank Sberbank betrieben wird, unter Windows XP läuft und unter einer Sicherheitslücke leidet, die es so ziemlich jedem ermöglicht, das Betriebssystem zu hacken. Normalerweise verhindert die Benutzeroberfläche des Geldautomaten den Zugriff auf das Betriebssystem. Diese Funktion von Windows XP lässt sich (sofern nicht deaktiviert) durch fünfmaliges Drücken der Umschalttaste aushebeln. Dann erhält man Zugriff auf den sogenannten Sticky Keys Dialog (Einrastfunktion der Tastatur zum Aufruf der erleichterten Bedienung). Dies ermöglicht aber den Aufruf der Windows-Einstellungen, den Zugriff auf die Taskleiste und das Startmenü. In den verlinkten Beiträgen findet sich noch ein Video, welches den Hack zeigt.

WinFuture berichtet, dass die Schwachstelle bereits seit 2 Wochen gemeldet war. Die Bank versprach einen Notfall-Fix, aber der Hack funktionierte auch Tage später noch.


Anzeige

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Geldautomat mit Windows XP per Shift-Taste gehackt

  1. Martin Feuerstein sagt:

    Das funktioniert standardmäßig auch in Windows 10 noch, da kannst du der konkreten Windows-Version heute ausnahmsweise mal keine Schuld geben, egal ob XP oder 10 – nur dem Administrator. Aber warum sollte ein Geldautomat auch eine Shifttaste haben? Das Numpad reicht für einen Ein-/Auszahlautomaten (zumindest bei den Sparkassen), wenn nicht auch Überweisungen möglich sein sollen.

    Vielleicht gab es ja auch eine offene PS/2-, USB- oder Bluetooth-Schnittstelle, mit der sich eine Tastatur anschließen lässt.

    • Nils sagt:

      klarer Fehler der Admins…. weil zumindest die Einrastfunktion hätte man deaktivieren können, wenn man schon nicht fähig ist, das System ordentlich abzusichern

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.