![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
L\u00e4sst das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) IT-Sicherheitsprodukte zu, die durch eklatante Programmierfehler potentielle Sicherheitsprobleme aufwerfen k\u00f6nnen? Dieser Verdacht ist bei mir zumindest aufgetaucht und ich dokumentiere im Blog-Beitrag den bisher bekannten Sachverhalt.<\/p>\n
<\/p>\n
Vom Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) werden IT-Sicherheitsprodukte und ganze IT-Sicherheitssysteme zertifiziert. Das ist in meinen Augen eigentlich eine gute Sache, gibt die Zulassung Endanwendern und IT-Verantwortlichen (speziell in Bereichen, wo Verschlusssachen zu handhaben sind) doch eine Leitlinie an der Hand, welche Sicherheitsprodukte man 'guten Gewissens', da BSI-gepr\u00fcft, einsetzen kann.<\/p>\n Die Liste dieser Produkte kann z.B. in der BSI-Schrift 7164: Liste der zugelassenen IT-Sicherheitsprodukte und \u2013systeme<\/a> eingesehen werden. Eine FAQ des BSI gibt umfassend Auskunft, was sich hinter der Liste der zugelassenen Produkte verbirg. Interessant finde ich den Punkt F\u00fcr welche IT-Sicherheitsprodukte wird eine Zulassung gefordert?<\/em>:<\/p>\n Grunds\u00e4tzlich sind alle IT-Sicherheitsprodukte, die f\u00fcr die Verarbeitung und \u00dcbertragung von Verschlusssachen eingesetzt werden, einer Pr\u00fcfung und Sicherheitsbeurteilung zu unterziehen. \u00a737 der VSA legt die Details hierzu fest. Es wird unterschieden zwischen IT-Sicherheitsprodukten, die vom BSI zugelassen sein m\u00fcssen, und IT-Sicherheitsprodukten, die zugelassen sein sollen. Die zweite Gruppe l\u00e4sst Ausnahmen zu, falls keine geeigneten zugelassenen Produkte zur Verf\u00fcgung stehen. Hierbei sind immer die Belange der nationalen Sicherheit zu ber\u00fccksichtigen. In der Regel kommen dabei IT-Sicherheitsprodukte zum Einsatz, die nach Common Criteria mit nationalem Schutzprofil durch das BSI zertifiziert wurden.<\/p><\/blockquote>\n Es geht also um IT-Sicherheitsprodukte zur Verarbeitung und \u00dcbertragen von Verschlusssachen, die einer Pr\u00fcfung und Sicherheitsbeurteilung zu unterziehen sind.<\/p>\n Zum weiteren Verst\u00e4ndnis der Problemstellung nun ein kleiner Schlenker. Zum Wochenende habe ich den Beitrag Classic Shell hei\u00dft jetzt Open-Shell-Men\u00fc<\/a> ver\u00f6ffentlicht. Im Blog-Beitrag werden auch einige sicherheitsrelevante Schwachstellen durch Programmierfehler im Installationsprogramm dieser Software angesprochen. Solche leicht vermeidbaren Programmierfehler kommen leider h\u00e4ufiger vor. Auf diesen Sachverhalt wurde ich von dem Sicherheitsexperten Stefan Kanthak bereits vor l\u00e4ngerer Zeit aufmerksam gemacht.<\/p>\n Diese Programmierfehler f\u00fchren dazu, dass sich Malware in den Installationsvorgang einer Software einklinken kann, um auf diese Weise administrative Berechtigungen zu erlangen. Zudem k\u00f6nnten Installationsdateien modifiziert werden, so dass sich eine Malware in einem Produkt einnisten kann. Bestimme Fehler erm\u00f6glichen es auch in den sp\u00e4teren Betrieb einer Software durch Schadsoftware einzugreifen. Stichwort ist u.a. 'DLL search order hijacking', ein Sicherheitsproblem, welches lange bekannt ist und welches es in der Implementierung von Programmen zu vermeiden gilt.<\/p>\n Sicherheitsexperte Stefan Kanthak stellt f\u00fcr Tests eine Art 'sicherheitstechnisches Minenfeld' bereit (die Tools k\u00f6nnen von seiner Homepage<\/a> frei abgerufen werden). Diese Test-Tools decken potentielle Schwachstellen beim Aufruf eines Installers oder beim Betrieb einer Software auf. Nachfolgender Screenshot zeigt das Ergebnis eines solchen Tests mit der im obigen Blog-Beitrag erw\u00e4hnten Software ClassicStartSetup<\/em>.<\/p>\n Im konkreten Fall schl\u00e4gt ein Modul aus dem Minenfeld bereits beim Aufruf der Hilfefunktion des Installers f\u00fcr das oben erw\u00e4hnte Programm an. Gut, zur\u00fcck zum Kernproblem, welches in diesem Beitrag umrissen werden soll.<\/p>\n Bisher bin ich davon ausgegangen, dass vom BSI zugelassenen IT-Sicherheitsprodukte und \u2013systeme vorher einer umfassenden Pr\u00fcfung unterzogen werden (vielleicht bin ich da naiv). Dieses Bild hat aber jetzt Risse bekommen, oder ich habe was falsch verstanden, was die BSI-Zulassung konkret bedeutet. Oder das Problem kann vom BSI nicht best\u00e4tigt werden \u2013 alles ist m\u00f6glich.<\/p>\n Im Rahmen des Blog-Beitrags Classic Shell hei\u00dft jetzt Open-Shell-Men\u00fc<\/a> hat sich ein Blog-Leser mit folgendem Kommentar<\/a> gemeldet:<\/p>\n Ich m\u00f6chte (hierzu halbwegs passend) mitteilen, dass selbst vom BSI explizit f\u00fcr die Verarbeitung von VS-NfD-eingestuften Daten zugelassene Programme (siehe hier<\/a>) diese Probleme aufweisen. Ich nutze sowohl Ecos SBS als auch Sirrix\/Rohde und Schwarz Trusted Disk. Der Sentinel von Herrn Kanthak schl\u00e4gt sowohl beim Enrollment von Ecos an, als auch beim Verwenden der Trusted Disk Hilfskomponente CardOS API von ATOS.<\/p>\n Man sollte meinen, dass das BSI solche Dinge in seinen Pr\u00fcfungen finden sollte. Ich habe dies auch vor l\u00e4ngerer Zeit dem Support von ATOS mitgeteilt, erhielt aber keine Antwort.<\/p><\/blockquote>\n [G\u00fcnter Born]Kurze Anmerkung f\u00fcr nicht so erfahrene Blog-Leser\/innen: Enrollment meint die Installation der Software. Aber auch beim Betrieb der Software meldet eine Testkomponente potentielle Sicherheitsprobleme in einer Trusted Disk-Hilfskomponente.<\/p><\/blockquote>\n Ich habe nat\u00fcrlich sofort die betreffende Liste in der BSI-Schrift 7164: Liste der zugelassenen IT-Sicherheitsprodukte und \u2013systeme<\/a>\u00a0 eingesehen und ein erw\u00e4hntes Produkt gefunden.<\/p>\n Vom BSI wurde z.B. Trusted Disk in verschiedenen Versionen zugelassen. Ich selbst verf\u00fcge nicht \u00fcber diese Produkte, kann also nichts testen. Der Kommentator gibt aber an, dass in seiner Umgebung das Testprogramm Sentinel von Stefan Kanthak anschl\u00e4gt und Probleme meldet. Lie\u00df bei mir s\u00e4mtliche Alarmglocken l\u00e4uten.<\/p>\n Im Kommentarbereich stellt Stefan Kanthak einige Vermutungen an und stellt einige Fragen<\/a>. Unter anderem, ob ein Registrierungseintrag der Art:<\/p>\n [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] mit Anf\u00fchrungszeichen versehen sei. Hintergrund ist, dass Programmpfade, die Leerzeichen enthalten, in Windows zwingend in Anf\u00fchrungszeichen zu stellen sind. Nur dann kann der Programmpfad zur angegebenen Datei durch Windows korrekt aufgel\u00f6st werden. Fehlen die Anf\u00fchrungszeichen, schl\u00e4gt die Pfadangabe fehlt \u2013 Windows kann die angegebene Datei nicht finden und beginnt mit einer Suche nach einer passenden Datei.<\/p>\n Dies erm\u00f6glicht Schadsoftware, entsprechende Dateien im Windows-Suchpfad zu platzieren. Statt der erwarteten Komponente l\u00e4dt Windows dann die von der Schadsoftware manipulierten Programmdateien. Diese Programmierfalle ist seit langem in der Common Weakness Enumeration unter dem Titel CWE-428: Unquoted Search Path or Element beschrieben. Die Einstufung lautet: Abstraction Basic, Structure Simple \u2013 sprich, das ist Basiswissen und die Ausnutzung ist einfach. Jeder Software-Entwickler sollte das im Schlaf drauf haben \u2013 und eine Qualit\u00e4tskontrolle muss solche Fehler aufdecken. In diesem Kommentar<\/a> schreibt der Nutzer der Software:<\/p>\n Du hast Recht bez\u00fcglich der Anf\u00fchrungszeichen.<\/p>\n Noch mehr: Ausgabe von Sentinel: Kurz erkl\u00e4rt: Die Anf\u00fchrungszeichen fehlen in einem in der Registrierung vorgenommenen Programmaufruf im Schl\u00fcssel Run. <\/em>Dieser (oben erw\u00e4hnte) Schl\u00fcssel dient dazu, Programme systemweit als automatisch bei jedem Windows-Start auszuf\u00fchrend einzutragen. Sprich: Die fehlenden Anf\u00fchrungszeichen er\u00f6ffnen einer Malware die M\u00f6glichkeit, eine im Suchpfad platzierte Schadsoftware bei jedem Windows-Start auszuf\u00fchren. Weiterhin wird die 'digitale Mine' Sentinel bei der Ausf\u00fchrung des Programmes Program.exe <\/em>von einer Hilfskomponente aufgerufen.<\/p>\n Mein vorl\u00e4ufiger Schluss: Es gibt starke Anhaltspunkte, dass es dort m\u00f6glicherweise Sicherheitsprobleme in zugelassenen Produkten gibt. Die Relativierung deshalb, weil mir weder die betreffende Software noch Informationen \u00fcber die in obigem Kommentaren getestete Softwareversion vorliegen.<\/p>\n Ich sehe es auch nicht als meine origin\u00e4re Aufgabe an, essentielle Sicherheitsforschung in diesem Bereich zu betreiben. Vielleicht halten der betroffene Nutzer und Stefan Kanthak mich bzw. uns diesbez\u00fcglich auf dem Laufenden.<\/p><\/blockquote>\n Ich habe den Sachverhalt als Blogger zum Anlass genommen, die wichtigsten Eckpunkte in diesem Blog-Beitrag \u00f6ffentlich zu dokumentieren \u2013 und einige Hinweise auf Implikationen f\u00fcr Leser\/innen unterzubringen, die nicht so tief 'in der Technik' drin sind. Gleichzeitig habe ich eine Anfrage an die Presseabteilung des BSI geschickt. Dort verweise ich auf diesen Beitrag und bitte um Kl\u00e4rung sowie Stellungnahme zum Sachverhalt. Aus meiner Sicht gibt es nun folgende Szenarien.<\/p>\n Den vierten Fall: Das Problem wird best\u00e4tigt, aber nichts tut sich, mag ich erst gar nicht ins Auge fassen. \u00dcber weitere Erkenntnisse werde ich meine Blog-Leserschaft auf dem Laufenden halten.<\/p>\n \u00c4hnliche Artikel:<\/strong> L\u00e4sst das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) IT-Sicherheitsprodukte zu, die durch eklatante Programmierfehler potentielle Sicherheitsprobleme aufwerfen k\u00f6nnen? Dieser Verdacht ist bei mir zumindest aufgetaucht und ich dokumentiere im Blog-Beitrag den bisher bekannten Sachverhalt.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-207837","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/207837","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=207837"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/207837\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=207837"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=207837"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=207837"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Anmerkung:<\/strong> Aktuell kann ich die im Titel gestellte Frage final nicht beantworten und habe das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) \u00fcber deren Presseabteilung um Kl\u00e4rung und Stellungnahme gebeten. Jetzt geht es erst einmal darum, den Sachstand, wie er sich mir momentan darstellt, festzuhalten.<\/p>\n
Vom BSI zugelassene IT-Sicherheitsprodukte und \u2013systeme<\/h2>\n
Sicherheitstechnische Programmierfallen<\/h2>\n
![\"Warnung](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2023\/05\/DLL-Hijack01.jpg\" "\\"Warnung")
<\/a>
\n(Zum Vergr\u00f6\u00dfern klicken<\/a>)<\/p>\nHat Software mit BSI-Zulassung diese Schwachstellen?<\/h2>\n
Worum geht es?<\/h3>\n
![](\"https:\/\/web.archive.org\/web\/20230507120741\/https:\/\/i.imgur.com\/Dzq6rbv.jpg\")
<\/a>
\n(Zum Vergr\u00f6\u00dfern klicken<\/a>)<\/p>\nOh mein Gott: Es geht weiter \u2026<\/h3>\n
\n\"CardOS API\"=\"C:\\Program Files\\\u2026\\cardoscp.exe\"<\/p>\n
\nATTENTION!
\nThis might have been the call and the execution of a malicious executable (worm, virus, trojan horse)!
\nExecuted process: C:\\Program.exe
\nExecuted command: C:\\Program Files\\CardOS API\\bin\\chkscreg.exe
\nCalling process: cardoscp.exe
\nCurrent directory: C:\\WINDOWS\\System32
\n\u2014
\nund ein zweites Mal:
\nExecuted process: C:\\Program.exe
\nExecuted command: C:\\Program Files\\CardOS API\\bin\\chkscreg64.exe
\nCalling process: cardoscp.exe
\nCurrent directory: C:\\WINDOWS\\System32<\/p><\/blockquote>\nFazit: Anfrage an das BSI<\/h2>\n
\n
\nClassic Shell hei\u00dft jetzt Open-Shell-Men\u00fc<\/a>
\nMicrosoft und die Office 20xx-Sicherheitsl\u00fccke in ose.exe<\/a>
\nSkype-Sicherheitsl\u00fccke angeblich seit Oktober 2017 gefixt<\/a>
\nWarnung: Auf 7-Zip verzichten<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"