Warnung: gravierende Sicherheitslücke nach Update

Die Sicherheitslücke betrifft Netzwerke mit Windows7 oder Vista Clients mit aktivierter UAC (Benutzerkontensteuerung):

Auswirkung:
Nach einem Update ist der jeweilige User in der Lage, alle Emailkonten und Verzeichnisse des David Servers einzusehen. Das bedeutet unter Umständen: der Pförtner liest die Emails des Bürgermeisters oder der Azubi hat Zugang zu den Daten der Entwicklungsabteilung.

Und das bis zum Neustart des David Clients

Spezielle Voraussetzung für das Eintreten dieses Zustandes:
Windows Vista oder Windows 7 mit aktivierter UAC und der Administratoraccount des lokalen Clients ist zugleich David-Administrator
(was ja besonders in mittelständischen Unternehmen oder Behörden eher Standard ist).

Ursache:
Ist die UAC aktiviert, werden zur Installation des Updates Administratorrechte erforderlich. Gibt der Administrator seine Kennung ein, wird der gesamte Update-Prozess im Administratorkonto durchgeführt.

Soweit ist das auch OK. Allerdings startet Tobit nach dem Update den Client und zwar nicht, wie üblich und erforderlich, im Userkonto sondern im Administratorkonto. Die Erhöhung des Userlevels wird also fatalerweise nicht wieder zurückgegeben sondern der weitere Prozess mit Administratorrechten fortgesetzt.

Dies ist ein absolutes NoGo bei der Programmierung von Anwendungen für Windows Vista oder Windows 7.

Ich habe Tobit vor einem Monat telefonisch auf diese gravierende Sicherheitslücke hingewiesen. Ich hatte schon beim Gespräch den Eindruck, daß man nicht vesteht, wovon ich rede.

Das aktuelle Update vom Dezember für David 2011fx weist diesen Programmierfehler leider immer noch aus.

Hans Lackermeier
LHSoft GmbH

Ja, wenn man es weiß !!

Sie wissen es anscheinend (noch) nicht, und somit ist es "gravierend".

Welcher Chef ist schon begeistert, wenn die ganze Firma in seinen Emails liest?

Das kann man nicht einfach so herunterspielen!

Und es wird bei Ihnen auch auftreten! Zumindest mit der Dateiversion, die aktuell zum Download angeboten wird.

Vermutlich wird die aber (hoffentlich) jetzt schnell ersetzt.

Hans Lackermeier

Hab ich auch schon gemerkt, nach dem Update einfach Client schließen und wieder öffnen, dann ist alles wieder wie gewohnt

kingcopy: Ich habe die Voraussetzungen für das Auftreten der Sicherheitslücke beschrieben. Diese Sind dann eben in Ihrem Netzwerk glücklicherweise nicht erfüllt oder Sie haben es noch nicht bemerkt.
Ziltoid: Da Sie die Antwort von MoP hier ansprechen und absegnen, hier meine Erklärung dazu:

Die Antwort von MoP ist leider falsch. Sie erweckt den Eindruck, er hat keine Kenntnisse zur UAC in Windows Vista oder Windows 7.
Erklärung:

Der Programmierer steuert über sein Programm (egal ob ein Setup oder eine andere Anwendung), wie Windows bei aktivierter UAc reagieren soll. Im Fachbegriff heist das Manifest. Bindet der Programmierer in seine Anwendung ein Admin-Manifest ein, sehen Sie bei aktivierter UAC den "Shield" am Programmicon. Das kommt also nicht von Windows selbst, sondern wird vom Programmierer aktiv so gesetzt, das Programmicon hat dann einen Shield.

Ist der Shield vorhanden, benötigen Sie Administratorrechte, um das Programm zu starten. Dafür stellt Microsoft den Programmieren den sogenannten Elevator zur Verfügung, der im gleichen Benutzerkonto für einen bestimmten Prozess bei Eingabe der nötigen Anmeldedaten kurzzeitig Administratorrechte zur Verfügung stellt. Dies gilt nur für diesen Prozess, die restliche Benutzerumgebung ist davon nicht betroffen.

Nun macht ein Programmierer sowas ja nicht aus Jux und Dollerei, um seine Anwender zu ärgern, sondern weil er weiß, daß sein Setup nur mit Administratorrechten ausgeführt werden kann.
Also haben sich die Programmierer von Tobit aus gutem Grund bewusst dafür entschieden, ihrem Setup Programm ein Administratormanifest beizufügen.

Somit sind zur Ausführung Administratorrechte erforderlich.

Was die Programmierer von Tobit aber versäumt haben, ist, diese Rechte nach erfolgter Installation wieder "zurückzugeben". Es gibt dafür mehrere Möglichkeiten, die nicht ganz einfach sind, aber auch mindestens einen primitiven Trick, den auch jeder Anfänger umsetzen kann, wenn er ihn kennt.

Das beschriebene Vorgehen ist das offizielle Vorgehen, das von Microsoft seit Windows Vista vorgegeben ist. Und das hat einfach jeder Programmierer zu verstehen und zu beherrschen, wenn er seine Programme für Windows Vista oder Windows 7 freigibt, was durch Tobit ja geschehen ist.

Es ist somit ein grober Fehler, auf den ich Tobit schon vor einem Monat hingewiesen habe.

Das hat nichts mit "Aufpassen beim Update" zu tun, denn sowohl Microsoft als auch Tobit haben dieses Verhalten bewusst so gesteuert und der User hat keine Alternative dazu.

Man kann das in keinster Weise mit XP vergleichen.
Und der Haken bei "David Client jetzt starten" wurde von den Programmierern von Tobit gesetzt und nicht vom User.

Ich bin ein erfahrener Programmierer, und Spezialist für die Programmierung mit der UAC.

Aber ich hätte nie daran gedacht, daß ich mit einer Elevation im Setup ein derartiges Sicherheitsleck auslösen könnte. Mit all meinem Fachwissen bin ich natürlich davon ausgegangen, daß das auch und gerade bei Tobit richtig läuft und habe nie daran gedacht, das auch zu kontrollieren. Wenn Sie so wollen: Mein Fehler ist: Vertrauen.

Das habe ich nur durch einen dummen Zufall entdeckt. Und wenn es mir schon so geht, wievielen Usern mag es dann wohl noch so ergangen sein, ohne daß sie es wissen? Und wievielen wird es künftig noch so ergehen, weil sie entweder nicht in den Foren lesen oder sich für dieses Thema nicht interessieren?

Alle Versuche, diesen katastrophalen Zustand zu beschönigen (wie von Ziltoid oder MoP), sind jetzt wenig hilfreich. Informieren Sie lieber Ihre Kunden, bis Tobit Abhilfe schafft.

Hans Lackermeier
LHSoft GmbH

Hallo Jockel,

Warum soll ich das per Email schreiben? Die Diskussion hier ist öffentlich.

Mitte November habe ich bei Tobit angerufen. Die ganz normale Telefonnummer, die man im Internet von Tobit Ahaus findet. In der Nacht zuvor hatte ich das Problem entdeckt. Ich wurde weiterverbunden, nachdem ich kurz geschildert habe, um was es geht und daß ich ein ernsthaftes Sicherheitsproblem melden möchte. Dem 2. Mitarbeiter am Telefon habe ich die Problematik genau so ausführlich geschildert wie hier im Forum. Telefonisch geht das auch schneller und präziser. Vielleicht war der Mitarbeiter auch etwas überfordert, weil ich natürlich erst mal dachte, ich wäre mit einem Kollegen verbunden worden und mich etwas fachspezifischer ausgedrückt habe als hier.

Als der Mitarbeiter antwortete, dass da vermutlich meine David Konfiguration falsch sein müsste, habe ich dann gemerkt, daß ich nicht mit einem Kollegen spreche. Also habe ich mich nochmal von vorne bemüht, allgemeinverständlich zu sein.

Aber das half alles nichts, der Mitarbeiter von Tobit versuchte mich zu überreden, Geld zu investieren, damit mir der Support weiterhelfen kann. Ich antwortete, daß ich jetzt keinen Support mehr dazu brauche, weil ich das Problem erkannt habe und eine Lösung für mich weiß und betonte, daß vor allem Tobit ein Interesse an dieser Information haben sollte, ohne von mir Geld für Support zu verlangen. Er nannte mein Verhalten "unsportlich" (was das bedeuten sollte, frage ich mich heute immer noch). Ich habe meinen Gesprächspartner dann gebeten, doch innerhalb seiner Firma seinen Kollegen aus der Entwicklungsabteilung unser Gespräch zu schildern, und zeigte mich am Telefon sicher, daß die dann sofort wissen, was ich meine und auch sofort Korrekturmaßnahmen einleiten werden.

Ich habe ihm das auch an praktischen Beispielen geschildert, wie die Auswirkungen sind. Ich stehe viel in Emailkontakt mit Behörden, die ebenfalls David nutzen. Ich versuchte ihm zu erklären, daß der SPD-Bürgermeister bestimmt begeistert ist, wenn der Mitarbeiter im Einwohnermeldeamt, Ortsvorsitzender der CSU, in seinen Emails liest. (Parteizugehörigkeit ist jetzt hier frei erfunden!). Hat aber alles nichts genutzt. Am Ende des Gespräches war ich ziemlich frustriert und habe ihm gesagt, daß ich nichts sagen werde, wenn das nächste Update fehlerfrei ist. Wenn nicht, sehe ich mich gezwungen, die User zu warnen. Nun ja, das Update habe ich am Mittwoch entdeckt, ausprobiert vor Zeugen, den Zustand der Rechner vorher gesichert und dann vor Zeugen das Update eingespielt (zu diesem Zeitpunkt wusste ich selber noch nicht, was passiert). Dann mussten die Zeugen sehen, daß sie nach dem Update uneingeschränkten Zugang zu vertraulichen Unterlagen hatten, der vorher noch gesperrt war. Ich kann wegen der Sicherung also jetzt jederzeit jedem immer wieder den Nachweis bingen, daß meine Schilderungen stimmen.

Wenn Sie glauben, daß ich durch Postings hier und im offiziellen David Forum nichts erreicht habe, irren Sie sich. Die Mitarbeiter von Tobit haben sich schon mit mir in Verbindung gesetzt, mich aber heute nicht erreicht, weil meine Telefone geglüht haben. Können Sie sich ja denken. Wir werden aber am Montag Kontakt aufnehmen.

Im Übrigen brauchen mich die Leute von Tobit sicher nicht zur Problemlösung, das können die selber. Und genauer kann ich das jetzt beim besten Willen auch nicht mehr schildern

Sicherlich ist das Tobit-Forum "ein" richtiger Ort für diese Informationen, aber hier ist ein mindest ebenso richtiger Ort, denn es geht darum, die User zu schützen. Da habe ich als Programmierer meine eigene Ethik. User geht vor Firma, noch dazu ich der Firma ja großzügig alle Zeit der Welt gelassen habe, etwas daran zu ändern und jetzt auch nicht wie ein Geier auf das nächste Update gewartet habe (das war nämlich schon am 1.12., aber ich hab ja auch manchmal was anderes zu tun).

Ich bin jedenfalls darauf aus, dass die Firma Tobit künftig einen anderen Umgang bei solchen Vorgängen pflegt und etwas sensibler wird, denn ich habe David schon seit langem vielen, auch sicherheitskritischen Unternehmen, z.B. Notaren etc. empfohlen und blamiere mich nur ungern mit unseriösen Empfehlungen.

Und last not least denke ich auch an mich, ich nutze David jetzt seit 15 jahren, finde das Programm von je her Klasse, habe beileibe genügend vertrauliche Daten am Server, muss daher auch penibel auf die Zugriffsrechte achten und möchte David auch weiterhin mit gutem Gefühl einsetzen können. Ich bin kein Tobit Händler, sondern auch nur stinknormaler User, der bei weitem nicht alle Möglichkeiten nutzt.

Hans Lackermeier
LHSoft GmbH

Hallo Hans,

ich sehe das ganz genauso wie Du und bin ähnlich aufgestellt. Nur sind hier im Forum nicht nur User
und Endanwender unterwegs, sondern eben auch Händler und vielleicht der ein- oder andere getarnte
Azubi aus Ahaus würde ich mal sagen (warum eigentlich, wenn doch alles so problemlos funktioniert?)

Jemand hier im Forum hat mir gegenüber mal geäußert, man müsse eine David-Installation, die Tobit
mittlerweile auch an mehr oder weniger "Home-User" verteilt, mit einem "SAP rollout" verglichen. Mir
persönlich fehlt bei solch bescheuerten Aussagen irgendwie die Spucke, denn kein "normal" denkender
Mensch vergleicht eine Scheibe Mettwurst mit einem Mastschwein. Sei's drum...

Was ich damit sagen möchte, ist, dass man selten etwas erreichen kann, ohne diese "Fehler" publik
und andere darauf aufmerksam zu machen. Von daher finde ich Deine Vorgehensweise richtig und sage
erstmal Danke für die Info.

Es bringt nämlich nichts, wenn man sich die offensichtlichen Fehler einfach nur nicht eingestehen will
und dann mit solchen eher dümmlichen Vergleichen argumentiert. Damit ist weder dem Anwender noch
dem Verkäufer geholfen, aber einige hier im Forum haben wohl eher Angst um ihre Umsätze und Gewinne
statt reproduzierbare Fehler auch mal öffentlich zuzugeben.

Zitat

das wollen wir doch mal sehen. schreiben sie mir doch bitte kurz per email, mit wem sie sich bei tobit mittels welcher kontaktmöglichkeit und wann
dazu ausgetauscht haben. ich kläre das dann nach möglichkeit direkt.

Außerdem muss sich hier im Forum auch niemand künstlich als "Anwalt" aufführen. Wenn Hans
sagt, dass er Tobit kontaktiert hat, dann wird er das wohl in seinem eigenem Interesse getan haben.
Ich hoffe, dass das jetzt nicht auch noch angezweifelt werden muss. Und das er sich sachlich nüchtern
artikulieren kann, steht hoffentlich nicht zur Diskussion.

Es ist sein persönliches Interesse, dass der Fehler schnellstmöglich behoben wird und Tobit's
absolut "non" technischer Support ist meiner Meinung nach EXAKT so aufgestellt, wie Hans das
sehr sehr richtig beschrieben hat!

Gruß, McDoyle

Guten Morgen McDoyle,

vielen Dank für die Unterstützung.
Den Vogel diesbezüglich abgeschossen hat gestern ein "Biko2" im Tobit Forum.
Herr, wirf Hirn vom Himmel.

Hans Lackermeier
LHSoft GmbH

Zitat von LHSoft

Herr, wirf Hirn vom Himmel.

Und außerdem ist bald Weihnachten, also sei bitte nicht so geizig damit!

Hallo Kingcopy,

nein, muss er nicht, denn die Elevation gilt nur für den Prozess, für den sie angefordert wurde und nicht für die restliche Userumgebung. Das ist die UAC. Ohne UAC geht das natürlich nicht, da muss sich der Admin richtig am Konto anmelden.

Nach einem Installationsprozess mit Adminrechten kann bei UAC ohne Probleme im Userkonto ohne Neustart weitergearbeitet werden.

Mach das Update von Tobit mit Adminrechten, starte das Programm neu und Du befindest Dich im Userkonto mit Userrechten.

Mach ein Update mit einem korrekt programmiertem Setup, das die Anwendung automatisch startet, und Du befindest Dich zum Schluss ebenfalls im Userkonto.

Hans Lackermeier

LHSoft GmbH

Hi kingcopy,
da hast Du natürlich recht, die UAC ist nicht sehr beliebt, weil sie nervt.
Aber überleg mal, was nervt denn eigentlich an der UAC? Das sind die unzähligen Programme, liebgewordenen Programme aus der XP-Zeit und natürlich auch neue Programme, die nicht Win7 konform programmiert wurden. Denn die verursachen, daß der Admin dauernd mit seinem Passwort im Einsatz ist.
Ein korrekt strukturiertes Programm verlangt nur ein einziges mal nach Adminrechten, und zwar bei der Installation. Ist das Setup mit Adminrechten ausgestattet, muss und kann es alles so vorbereiten, daß spätere Updates auch mit Userrechten eingespielt werden können. Wäre dies überall der Fall, wärst Du kein Gegner sondern Fan der UAC, denn sie würde Dich nicht nerven sondern nur verhindern, daß die User jeden möglichen Scheiß installieren.
Solange aber sogar Programme wie Java im Update Eingaben verlangen, wird es mit der Akzeptanz schwierig bleiben.

Hans Lackermeier
LHSoft GmbH

Warten wirs ab, ich bin da optimistisch, daß beim nächten Update dieses Problem behoben ist.

Tobit hat jetzt ein paar mal mit mir telefoniert und ich denke, das wird sich ändern. Auch ändern müssen, denn bei solchen Problemen mit der Kundenstruktur kann eine einzige Schadenersatzforderung die ganze Firma in den Abgrund reißen. Und dessen sind sie sich bewusst.

Ich bekomme Bescheid, wenn sie das Problem beseitigt haben, und werde das nächste Update im Auge behalten und das Ergebnis hier posten.

Im übrigen haben einige hier empfohlen, das Update einfach per msi zu verteilen. Schön und gut, das entbindt vielleicht von der Pflicht sein Passwort eingeben zu müssen, aber ob hinterher der Client mit Userrechten läuft, sollte man zumindest überprüfen.

So long

Hans Lackermeier

LHSoft GmbH