{"id":208145,"date":"2018-08-20T00:38:00","date_gmt":"2018-08-19T22:38:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=208145"},"modified":"2024-03-26T20:14:18","modified_gmt":"2024-03-26T19:14:18","slug":"windows-10-sicherheits-alptraum-onedrive-teil-2","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/08\/20\/windows-10-sicherheits-alptraum-onedrive-teil-2\/","title":{"rendered":"Windows 10 und die OneDrive-Sicherheitslücken – Teil 2"},"content":{"rendered":"

[English<\/a>]In Teil 1<\/a> des Beitrags zum Thema Sicherheit des OneDrive-Clients ging es um die Lage der Programmdateien im ungesch\u00fctzten Profilordner. Aber die Microsoft-Entwickler haben sich weitere Schnitzer wie die Verwendung veralteter OpenSource-Bibliotheken mit Sicherheitsl\u00fccken geleistet.<\/p>\n

<\/p>\n

Unsichere OpenSSL-Bibliotheken verwendet<\/h2>\n

\"\"Stefan Kanthak machte mich in seiner Mail dann noch auf einen Sachverhalt aufmerksam, den ich zuerst kaum glauben konnte. Stefan schrieb mir:<\/p>\n

Die Frickler dieses SONDERMUELLs sind anscheinend Gruenschnaebel aus
\nder OpenSource-Szene, die offensichtlich KEINERLEI Ahnung von Windows und von Software-Entwicklung haben!<\/p>\n

Das aktuelle OneDriveSetup.exe, veroeffentlicht am 18.7.2018 um
\n16:56:01 GMT, verfuegbar via
\n<https:\/\/onedrive.live.com\/about\/en-us\/download\/> von
\n<https:\/\/go.microsoft.com\/fwlink\/p\/?LinkId=248256<\/a>> alias
\n<https:\/\/g.live.com\/1rewlive5skydrive\/skydrivesetup<\/a>> alias
\n<https:\/\/oneclient.sfx.ms\/Win\/Prod\/18.111.0603.0006\/OneDriveSetup.exe<\/a>>
\ninstalliert die veraltete (vom 28.8.2017) und UNSICHERE Version
\n1.0.2k des als OpenSSL beruechtigten OpenSource-Schrotts!<\/p><\/blockquote>\n

Nein, so etwas macht Microsoft nicht, das sind Profis, die mit Windows 10 am sichersten Windows aller Zeiten schnitzen. Das muss ich mir mal selbst anschauen. Also habe ich bei Stefan Kanthak nachgefragt, wie ich feststellen k\u00f6nne, ob OpenSSL installiert wird. Gut, jeder Entwickler, der das einsetzt, kennt die Bibliotheken. Stefan Kanthak schrieb dann, ich m\u00f6ge nach folgenden Dateien schauen.<\/p>\n

DIR \/A\/S \"%USERPROFILE%\\???eay32.dll\"
\nDIR \/A\/S \"%ProgramFiles%\\???eay32.dll\"
\nDIR \/A\/S \"%ProgramFiles(x86)%\\???eay32.dll\"
\nDIR \/A\/S \"%ProgramData%\\???eay32.dll\"
\nDIR \/A\/S \"%SystemRoot%\\???eay32.dll\"<\/p>\n

Die beiden DLLs hei\u00dfen ssleay32.dll <\/em>und libeay32.dll<\/em> \u2013 ich habe Dateien mit diesem Namen auch sofort im Profilordner einer aktuellen Windows 10 V1803 mit installierten August 2018-Updates gefunden.<\/p>\n

\"OpenSSL-DLL<\/a>
\n(Zum Vergr\u00f6\u00dfern klicken<\/a>)<\/p>\n

Stefan Kanthak schrieb dann noch: Weitere solchen Kandidaten sind libcurl.dll, libz*.dll alias zlib*.dll, *7z*.dll und viele mehr.<\/em> Bei Dateinamen wie *7z*.dll<\/em> klingelt selbst mir was (siehe mein Blog-Beitrag Warnung: Auf 7-Zip verzichten<\/a>). Aber es gibt ja noch das OpenSSL-Thema.<\/p>\n

\"OpenSSL<\/p>\n

Die Entwickler haben offenbar OpenSSL-Bibliotheken beim OneDrive-Client verwendet, ackern dabei aber auch noch am 18. August 2018 (als ich den Blog-Beitrag verfasst habe) mit der Version 1.0.2k, wie obiger Screenshot zeigt \u2013 ich habe die Datei ssleay32.dll <\/em>per Rechtsklick angew\u00e4hlt und auf Eigenschaften<\/em> geklickt. Stefan Kanthak hatte mir den Link auf folgende Webseite mitgeschickt:<\/p>\n

https:\/\/www.openssl.org\/news\/vulnerabilities-1.0.2.html<\/a><\/p>\n

Diese Webseite dokumentiert Schwachstellen in der OpenSSL-Bibliothek. Geht man die Seite durch, finden sich zwar einige Fundstellen zur Version 1.0.2k. Mir ist dort aber keine Textstelle bei der Suche aufgefallen, wo eine Schwachstelle f\u00fcr diese Version dokumentiert wurde. Aber ich habe zur Kenntnis genommen, dass Version 1.0.2k so irgendwann Januar 2017 aktuell war. F\u00fcr Juni 2018 wird Version 1.0.2p in den letzten Fixes erw\u00e4hnt. Sucht man aber gezielt nach den Begriffen 'OpenSSL 1.0.2k vulnerabilities', sollte man auf der Seite CVE-Details eine Menge Treffer finden. Es ist zwar keine kritische Schwachstelle dabei (der Level geht nur bis 5, Maximum w\u00e4re 10). Aber unter dem Strich setzen Microsofts Entwickler eine veraltete Open Source OpenSSL-Bibliothek ein.<\/p>\n

Windows hat ein CryptoAPI \u2026<\/h2>\n

Stefan Kanthak merkt in einer Mail s\u00fcffisant an: Windows bringt seit 22+ Jahren ein CryptoAPI samt SChannel mit und braucht solchen Schrott NICHT!<\/em> und erg\u00e4nzt:<\/p>\n

Microsofts Mantra \"Keep your PC up-to-date!\", das sie allen ihren Kunden regelmaessigst predigen, wird innerhalb dieser Klitsche mal wieder ignoriert!<\/p><\/blockquote>\n

Wo er Recht hat, hat er Recht \u2013 k\u00f6pft jetzt blo\u00df nicht den Boten der schlechten Nachricht. Es w\u00e4re Microsoft, was sich erkl\u00e4ren m\u00fcsste. Aber es liegen noch mehr Leichen im Keller, wie Stefan Kanthak ausf\u00fchrt.<\/p>\n

zusaetzlich zu diesem ersten Griff ins Kl** sind diese Frickler entweder UNFAEHIG oder UNWILLENS (ich argwoehne: beides), eine Windows-Anwendung (genauer: eine \"shell extension\" fuer den Explorer) mit den Schnittstellen des Win32-API der Windows-GUI zu schreiben.<\/p><\/blockquote>\n

Hintergrund f\u00fcr diesen Wutausbruch: Die Entwickler des OneDrive-Clients verwenden statt der wohl dokumentierten und per Update gepflegten Windows API die Qt5-Bibliothek. Stefan Kanthak schreibt:<\/p>\n

\u00a0\u00a0 Stattdessen verwursten diese ANFAENGER (eine selbstverstaendlich
\nauch VERALTETE Version) des OpenSource-Ungetuems Qt5; dessen
\nLaufzeitumgebung Qt5*.dll belegt auf der Festplatte \"nur\" 20MB.
\nIm RAM sind es ETWAS mehr.<\/p><\/blockquote>\n

Das Ganze hat zwei Ebenen. Einmal kritisiert Kanthak die Verwendung einer veralteten (und 'fetten') Version von Qt5. Dort gelten im Grunde die gleichen Ausf\u00fchrungen wie oben zur veralteten OpenSSL-Bibliothek.<\/p>\n

Ich postuliere mal, dass Microsoft in gewissen Sachzw\u00e4ngen steckt und die veralteten Open Source-Bibliotheken nicht als 'extrem gravierende Sicherheitsrisiken' eingestuft werden. Kann man teilen oder aus Anwendersicht kritisch sehen. Ich neige zu letzterem, gilt doch Microsofts Credo 'die Angriffe nehmen zu, aber wir entwickeln mit Windows 10 das sicherste aller Windows-Betriebssysteme'. Mit dem Material, was ich oben skizziert habe, f\u00e4llt mir nur der Status zur Ausr\u00fcstung der Bundeswehr mit 'bedingt einsatzf\u00e4hig' ein<\/p>\n

Der zweite Punkt, den Kanthak kritisiert, ist die Verwendung von Qt5. Die Verwendung von Qt5 ist auf den ersten Blick unverst\u00e4ndlich. Mir ist beim Schreiben dieses Blog-Beitrags aber einiges klar geworden. Diese Gedanken, sowie eine Stellungnahme Microsoft zum OneDrive-Client folgt in Teil 3<\/a>.<\/p>\n

Artikelreihe:
\n<\/strong>Windows 10 und die OneDrive-Sicherheitsl\u00fccken<\/a> \u2013 Teil 1
\nWindows 10 und die OneDrive-Sicherheitsl\u00fccken<\/a> \u2013 Teil 2
\nWindows 10 und die OneDrive-Sicherheitsl\u00fccken<\/a> \u2013 Teil 3<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nMicrosoft und die Office 20xx-Sicherheitsl\u00fccke in ose.exe<\/a>
\nSicherheitsl\u00fccken in InfoZips UnZip-Programm<\/a>
\nWarnung: Auf 7-Zip verzichten<\/a>
\nF-Secure Sicherheitsupdates f\u00fcr 7-Zip-Schwachstellen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]In Teil 1 des Beitrags zum Thema Sicherheit des OneDrive-Clients ging es um die Lage der Programmdateien im ungesch\u00fctzten Profilordner. Aber die Microsoft-Entwickler haben sich weitere Schnitzer wie die Verwendung veralteter OpenSource-Bibliotheken mit Sicherheitsl\u00fccken geleistet.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2033,426,3694],"tags":[3163,4328,4378],"class_list":["post-208145","post","type-post","status-publish","format-standard","hentry","category-onlinespeicher","category-sicherheit","category-windows-10","tag-onedrive","tag-sicherheit","tag-windows-10"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/208145","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=208145"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/208145\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=208145"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=208145"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=208145"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}