18.03.2013 11:30
Profi-Videokonferenzsysteme als Spion
Moritz Jodeit vom deutschen IT-Sicherheitsspezialisten nruns hat im Lauf von zwei Monaten verschiedene Schwächen in Polycoms HDX-Serie entdeckt. Er präsentierte die Ergebnisse seiner Arbeit während der Sicherheitskonferenz Black Hat Europe. Diese Videokonferenzsysteme sind laut Herstellerwebsite in zahlreichen Großunternehmen auf der ganzen Welt im Einsatz.
Nachdem sich Jodeit mittels eines nicht dokumentierten "Developer"-Modus des Polycom-Systems lokalen root-Zugriff verschaffen konnte, begann er die Analyse der einzelnen Softwarekomponenten. Darunter fand sich das Modul, das sich um die Kommunikation des Systems an sich kümmert und die Protokolle H.323 sowie SIP handhabt. Dabei entdeckte er diverse Bugs – und reichlich Hinweise auf mehr: unter anderem 800 Referenzen auf die gefährliche und deshalb geächteten Funktion strcpy().
Ein konkreter Bug betrifft den Umgang mit dem H.323.Protokoll: Den Aufbau eines Anrufs oder einer Videokonferenz initiiert ein an Port 1720 geschicktes SETUP-Paket. Die Polycom-Systeme verarbeiten diese Pakete automatisch, auch wenn die Funktion zur automatischen Gesprächsannahme deaktiviert ist. Dieses SETUP-Paket enthält unter anderem das Informationselement "Display". Beim Verarbeiten dieses Elements findet sich ein Format-String-Bug, so dass das Element einen beliebigen, vom Angreifer definierten Wert haben kann. Auf diesem Weg legt Moritz Jodeit nach und nach mittels zahlreicher SETUP-Pakete den Shellcode im Speicher des Polycom-Geräts ab und erhält so eine Remote Root-Shell. Schutzmechanismen wie ASLR finden sich in der Firmware nicht, so dass der Code verlässlich abgelegt und danach angesprungen werden kann.
Die Demonstration der Sicherheitslücke war fast schon zirkusreif: Der Hacker lud per wget weiteren Schadcode auf das Linux-basierte Gerät. Danach ertönte Zirkusmusik in einer Endlosschleife, die fernsteuerbare Kamera drehte sich von links nach rechts und auf dem Display zeigte bildschirmfüllend "Pwned!". Ein echter Angriff würde natürlich lautlos ablaufen und das Kamerabild abgreifen oder per Mikrophon den Raum überwachen.
Moritz Jodeit äußerte sich sehr positiv über die Zusammenarbeit mit Polycom, nachdem er dem Unternehmen seine Ergebnisse präsentierte. Resultat der Zusammenarbeit ist eine aktualisierte Firmware (Version 3.1.1.2), die einen Tag vor der Black-Hat-Präsentation online ging. Wie Jodeit im Gespräch mit heise Security erklärte, hat die Konfigurationssoftware der Polycom-Hardware keine Funktion zum automatischen Update. Administratoren müssen also von Hand updaten.
Übrigens: Beim Analysieren der Firmware der Geräte entdeckte Jodeit, dass die Polycom-Entwickler den Schlüssel zum Sichern der Firmware-Files fest in der Datei hinterlegt haben. Er lautet "weAREtheCHAMPIONS".
Update 18.3.2013, 12:50: Beschreibung der Bugs nach Hinweisen von Moritz Jodeit korrigiert. (Uli Ries)
/
(ju)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
