{"id":208141,"date":"2018-08-20T00:37:00","date_gmt":"2018-08-19T22:37:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=208141"},"modified":"2018-08-20T00:52:22","modified_gmt":"2018-08-19T22:52:22","slug":"windows-10-sicherheits-alptraum-onedrive-teil-1","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/08\/20\/windows-10-sicherheits-alptraum-onedrive-teil-1\/","title":{"rendered":"Windows 10 und die OneDrive-Sicherheitslücken – Teil 1"},"content":{"rendered":"

[English<\/a>]Im Beitrag geht es um den OneDrive-Client, den Microsoft mit Windows 10 liefert. Wie schaut es 'unter der Haube' mit der Implementierung, insbesondere in Bezug auf Sicherheit aus? Wenn es von Microsoft kommt, muss dass ja gut sein, oder? Ich habe mal wieder die 'Nadel im Heuhaufen' gesucht \u2026<\/p>\n

<\/p>\n

Am Anfang war das Wort \u2026<\/h2>\n

\"\"In Windows 10 liefert Microsoft ja einen OneDrive-Client mit. Dieser soll m\u00f6glichst \u00fcberall mit dem gleichnamigen Cloud-Dienst genutzt werden, wenn es nach Microsoft geht – alles andere ist irgendwie 'old school'. Wer sich kritisch ob 'der Daten in der Cloud' \u00e4u\u00dfert, wird oft schr\u00e4g angesehen oder als Aluhut-Tr\u00e4ger abgestempelt.<\/p>\n

Sp\u00e4testens nachdem ich diesen Artikel<\/a> gelesen habe (plane noch eine separaten Beitrag dazu), kam auch die Idee f\u00fcr einen Beitrag mit 'Blick unter die Haube'. Denn ich hatte vom Stefan Kanthak, der sich viel mit Sicherheitsfragen besch\u00e4ftigt, einige Fragmente mit Informationen zu OneDrive und Sicherheitsproblemen vorliegen. Es war eine dieser (mir \u00fcber cc zugegangenen) Mails von Stefan Kanthak, die ganz harmlos begann und den Stein ans Rollen brachte:<\/p>\n

> Eine Freundin hat unter Windows 10 OneDrive deaktiviert, weil sie den
\n> Dienst nicht mehr nutzen wollte.<\/p>\n

Wieso hat sie diesen UEBLEN UNSICHEREN Schrott ueberhaupt aktiviert?<\/p><\/blockquote>\n

Und dann folgte auf die Frage im letzten Satz eine Salve an Aussagen zum OneDrive-Client und dessen Schwachstellen von Stefan Kanthak, die ich nachfolgend schrittweise aufbereiten werde.<\/p>\n

Anmerkung: Es gibt noch OneDrive for Business aus dem Office-Umfeld, was faktisch ein anderer Client ist. Ich habe diesen Client nicht untersucht. Aber der Verdacht liegt zumindest nahe, dass es dort nicht anders ausschaut. Das Ganze wird im Verlauf der folgenden Ausf\u00fchrungen klarer.<\/p><\/blockquote>\n

Unbekannt: \"Designed for Windows\"-Richtlinien<\/h2>\n

Ich hatte es schon mal in dem einen oder anderen Blog-Beitrag angerissen: Wenn ich mir die Windows-Entwicklung ab Windows 8 so ansehe, h\u00e4nge ich den Design-Grundlagen nach, die Microsoft mal in den Fr\u00fchzeiten von Windows 95 ver\u00f6ffentlicht hatte (siehe meinen Blog-Beitrag Nostalgie: Blick auf das Design von Windows 95<\/a>).<\/p>\n

Es gibt noch viele weitere Dokumente, die Microsoft seinerzeit f\u00fcr Software-Entwickler zusammen getragen hat. Auch wenn ich l\u00e4ngst aus der Entwicklung raus bin, fand ich diese Richtlinien sehr sinnvoll. Ziehen diese doch Leitplanken ein, an denen sich ein Entwickler orientieren kann, um halbwegs passable Software zu stricken. Dieses Wissen scheint aber in Redmond entweder verloren gegangen, oder ins Firmenmuseum ausgelagert worden zu sein, oder nicht mehr in die heutigen Entwicklungsprozesse zu passen. Stefan Kanthak umschreibt es etwas direkter:<\/p>\n

Die VOLL***, die diesen Schrott [gemeint ist der OneDrive-Client unter Windows] gefrickelt haben, ignorieren die MINIMAL-Vorgaben der inzwischen 23 Jahre alten \"Designed for Windows\"-Richtlinien.<\/p>\n

Sie installieren diesen SCHROTT nicht unter %ProgramFiles%, wo er vor Schreibzugriffen durch Benutzer sicher ist, sondern in das Benutzerprofil JEDES Benutzers.<\/p><\/blockquote>\n

Das war etwas, was mir auch schon aufgefallen war, wo ich mir aber keinen Reim drauf machen konnte. Es ist in der Tat so, dass der OneDrive-Client in jedem Benutzerprofil unter<\/p>\n

C:\\Users\\%USERNAME%\\AppData\\Local\\Microsoft\\OneDrive<\/em><\/p>\n

mit allen Dateien zu finden ist. Neben den .exe-Dateien samt Updates sind dort auch Konfigurationsdateien zu finden.<\/p>\n

\"OneDrive-Dateien\"<\/a>
\n(Zum Vergr\u00f6\u00dfern klicken<\/a>)<\/p>\n

Es ist in der Tat so, dass ein Benutzer (aber auch Malware) auf diesem Ordner Schreibrechte besitzt, also die OneDrive-Dateien nach Belieben manipulieren kann. Ein Ansatz, der gem\u00e4\u00df den \"Designed for Windows\"-Richtlinien seit 23 Jahren verp\u00f6nt ist. Aber so alte Sachen liest man in Redmond bei den Entwicklern wohl nicht mehr \u2013 und die alten Hasen sind l\u00e4ngst gegangen oder gegangen worden. Eine weitere m\u00f6gliche Erkl\u00e4rung findet sich in Teil 3 der Artikelreihe \u2013 dann w\u00fcrde Microsoft schlechte Kompromisse eingehen und als Windows-Nutzer sollte man seine Schl\u00fcsse ziehen.<\/p>\n

Leider geht die Geschichte noch weiter, und das keineswegs positiver. Die Microsoft-Entwickler haben sich weitere Schnitzer wie die Verwendung veralteter OpenSource-Bibliotheken mit Sicherheitsl\u00fccken geleistet. Das ist aber Bestandteil von Teil 2<\/a> dieser Artikelreihe<\/p>\n

Artikelreihe:<\/strong>
\nWindows 10 und die OneDrive-Sicherheitsl\u00fccken<\/a> \u2013 Teil 1
\nWindows 10 und die OneDrive-Sicherheitsl\u00fccken<\/a> \u2013 Teil 2
\nWindows 10 und die OneDrive-Sicherheitsl\u00fccken<\/a> \u2013 Teil 3<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nMicrosoft und die Office 20xx-Sicherheitsl\u00fccke in ose.exe<\/a>
\nSicherheitsl\u00fccken in InfoZips UnZip-Programm<\/a>
\nWarnung: Auf 7-Zip verzichten<\/a>
\nF-Secure Sicherheitsupdates f\u00fcr 7-Zip-Schwachstellen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Im Beitrag geht es um den OneDrive-Client, den Microsoft mit Windows 10 liefert. Wie schaut es 'unter der Haube' mit der Implementierung, insbesondere in Bezug auf Sicherheit aus? Wenn es von Microsoft kommt, muss dass ja gut sein, oder? Ich … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2033,426,3694],"tags":[3163,4328,4378],"class_list":["post-208141","post","type-post","status-publish","format-standard","hentry","category-onlinespeicher","category-sicherheit","category-windows-10","tag-onedrive","tag-sicherheit","tag-windows-10"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/208141","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=208141"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/208141\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=208141"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=208141"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=208141"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}