Warnung: gravierende Sicherheitslücke nach Update

  • Die Sicherheitslücke betrifft Netzwerke mit Windows7 oder Vista Clients mit aktivierter UAC (Benutzerkontensteuerung):


    Auswirkung:
    Nach einem Update ist der jeweilige User in der Lage, alle Emailkonten und Verzeichnisse des David Servers einzusehen. Das bedeutet unter Umständen: der Pförtner liest die Emails des Bürgermeisters oder der Azubi hat Zugang zu den Daten der Entwicklungsabteilung.

    Und das bis zum Neustart des David Clients


    Spezielle Voraussetzung für das Eintreten dieses Zustandes:
    Windows Vista oder Windows 7 mit aktivierter UAC und der Administratoraccount des lokalen Clients ist zugleich David-Administrator
    (was ja besonders in mittelständischen Unternehmen oder Behörden eher Standard ist).


    Ursache:
    Ist die UAC aktiviert, werden zur Installation des Updates Administratorrechte erforderlich. Gibt der Administrator seine Kennung ein, wird der gesamte Update-Prozess im Administratorkonto durchgeführt.


    Soweit ist das auch OK. Allerdings startet Tobit nach dem Update den Client und zwar nicht, wie üblich und erforderlich, im Userkonto sondern im Administratorkonto. Die Erhöhung des Userlevels wird also fatalerweise nicht wieder zurückgegeben sondern der weitere Prozess mit Administratorrechten fortgesetzt.


    Dies ist ein absolutes NoGo bei der Programmierung von Anwendungen für Windows Vista oder Windows 7.


    Ich habe Tobit vor einem Monat telefonisch auf diese gravierende Sicherheitslücke hingewiesen. Ich hatte schon beim Gespräch den Eindruck, daß man nicht vesteht, wovon ich rede.

    Das aktuelle Update vom Dezember für David 2011fx weist diesen Programmierfehler leider immer noch aus.


    Hans Lackermeier
    LHSoft GmbH

  • So gravierende ist die Sicherheitslücke jetzt auch nicht, wenn man es weiß. Dann startet der Admin nach der Installation den Client halt einmal neu...

    Aber trotzdem Danke für den Hinweis. ;)
    Werde ich bei gelegenheit mal testen, ob es auch bei mir auftritt.

  • Ja, wenn man es weiß !!

    Sie wissen es anscheinend (noch) nicht, und somit ist es "gravierend".

    Welcher Chef ist schon begeistert, wenn die ganze Firma in seinen Emails liest?

    Das kann man nicht einfach so herunterspielen!


    Und es wird bei Ihnen auch auftreten! Zumindest mit der Dateiversion, die aktuell zum Download angeboten wird.

    Vermutlich wird die aber (hoffentlich) jetzt schnell ersetzt.


    Hans Lackermeier

  • Hab ich auch schon gemerkt, nach dem Update einfach Client schließen und wieder öffnen, dann ist alles wieder wie gewohnt

  • Zitat

    alle Emailkonten und Verzeichnisse des David Servers einzusehen.

    Nene das kann doch gar nicht sein? Wie soll ich das verstehen es greifen doch die NTFS Rechte der Domänencontroller lässt den USER doch gar nicht in die DIRs
    die haben lediglich LOKALE Adminrechte auf ihrer WKST. sonst nirgendswo.


    Zitat

    Gibt der Administrator seine Kennung ein, wird der gesamte Update-Prozess im Administratorkonto durchgeführt.

    die Updates laufen bei uns unter dem jeweiligen USER LOKAL. keine Adminkennnungen.

    09-f9-11-02-9d-74-e3-5b
    MfG Kingcopy seit C16 / C64
    Fachinformatiker / Systemintegration
    IT-Systemadministrator
    David (R) 20 User / 500 GB
    David (R) 200 User / 2,5 TB
    d8-41-56-c5-63-56-88-c0

  • Hallo,

    genau das gleiche Posting gibt es im Online-Forum von Tobit.

    Die Antwort von MasterofPuppets ist passend und da gibt es nichts hinzuzufügen.



    Greetz!

    „Nichts ist dauernd als der Wechsel.“

    Ludwig Börne

  • kingcopy: Ich habe die Voraussetzungen für das Auftreten der Sicherheitslücke beschrieben. Diese Sind dann eben in Ihrem Netzwerk glücklicherweise nicht erfüllt oder Sie haben es noch nicht bemerkt.
    Ziltoid: Da Sie die Antwort von MoP hier ansprechen und absegnen, hier meine Erklärung dazu:

    Die Antwort von MoP ist leider falsch. Sie erweckt den Eindruck, er hat keine Kenntnisse zur UAC in Windows Vista oder Windows 7.
    Erklärung:


    Der Programmierer steuert über sein Programm (egal ob ein Setup oder eine andere Anwendung), wie Windows bei aktivierter UAc reagieren soll. Im Fachbegriff heist das Manifest. Bindet der Programmierer in seine Anwendung ein Admin-Manifest ein, sehen Sie bei aktivierter UAC den "Shield" am Programmicon. Das kommt also nicht von Windows selbst, sondern wird vom Programmierer aktiv so gesetzt, das Programmicon hat dann einen Shield.

    Ist der Shield vorhanden, benötigen Sie Administratorrechte, um das Programm zu starten. Dafür stellt Microsoft den Programmieren den sogenannten Elevator zur Verfügung, der im gleichen Benutzerkonto für einen bestimmten Prozess bei Eingabe der nötigen Anmeldedaten kurzzeitig Administratorrechte zur Verfügung stellt. Dies gilt nur für diesen Prozess, die restliche Benutzerumgebung ist davon nicht betroffen.

    Nun macht ein Programmierer sowas ja nicht aus Jux und Dollerei, um seine Anwender zu ärgern, sondern weil er weiß, daß sein Setup nur mit Administratorrechten ausgeführt werden kann.
    Also haben sich die Programmierer von Tobit aus gutem Grund bewusst dafür entschieden, ihrem Setup Programm ein Administratormanifest beizufügen.


    Somit sind zur Ausführung Administratorrechte erforderlich.

    Was die Programmierer von Tobit aber versäumt haben, ist, diese Rechte nach erfolgter Installation wieder "zurückzugeben". Es gibt dafür mehrere Möglichkeiten, die nicht ganz einfach sind, aber auch mindestens einen primitiven Trick, den auch jeder Anfänger umsetzen kann, wenn er ihn kennt.

    Das beschriebene Vorgehen ist das offizielle Vorgehen, das von Microsoft seit Windows Vista vorgegeben ist. Und das hat einfach jeder Programmierer zu verstehen und zu beherrschen, wenn er seine Programme für Windows Vista oder Windows 7 freigibt, was durch Tobit ja geschehen ist.

    Es ist somit ein grober Fehler, auf den ich Tobit schon vor einem Monat hingewiesen habe.

    Das hat nichts mit "Aufpassen beim Update" zu tun, denn sowohl Microsoft als auch Tobit haben dieses Verhalten bewusst so gesteuert und der User hat keine Alternative dazu.

    Man kann das in keinster Weise mit XP vergleichen.
    Und der Haken bei "David Client jetzt starten" wurde von den Programmierern von Tobit gesetzt und nicht vom User.

    Ich bin ein erfahrener Programmierer, und Spezialist für die Programmierung mit der UAC.

    Aber ich hätte nie daran gedacht, daß ich mit einer Elevation im Setup ein derartiges Sicherheitsleck auslösen könnte. Mit all meinem Fachwissen bin ich natürlich davon ausgegangen, daß das auch und gerade bei Tobit richtig läuft und habe nie daran gedacht, das auch zu kontrollieren. Wenn Sie so wollen: Mein Fehler ist: Vertrauen.

    Das habe ich nur durch einen dummen Zufall entdeckt. Und wenn es mir schon so geht, wievielen Usern mag es dann wohl noch so ergangen sein, ohne daß sie es wissen? Und wievielen wird es künftig noch so ergehen, weil sie entweder nicht in den Foren lesen oder sich für dieses Thema nicht interessieren?

    Alle Versuche, diesen katastrophalen Zustand zu beschönigen (wie von Ziltoid oder MoP), sind jetzt wenig hilfreich. Informieren Sie lieber Ihre Kunden, bis Tobit Abhilfe schafft.

    Hans Lackermeier
    LHSoft GmbH

    Einmal editiert, zuletzt von LHSoft (10. Dezember 2010 um 17:56)

  • Danke für diese ausführliche Erörterung.

    gruß

    ****************
    Wohl bald ehemaliger "Tobit Partner" :cursing: 2001 - bald wären es 20 Jahre...<X So geht man nicht mit seinen Partnern um !! Stichwort _Provisionen_.
    ****************

  • Im Fachbegriff heist das Manifest. Bindet der Programmierer in seine Anwendung ein Admin-Manifest ein, sehen Sie bei aktivierter UAC den "Shield" am Programmicon.



    servus hans lackermeier,

    das wollen wir doch mal sehen. schreiben sie mir doch bitte kurz per email, mit wem sie sich bei tobit mittels welcher kontaktmöglichkeit und wann
    dazu ausgetauscht haben. ich kläre das dann nach möglichkeit direkt. die information zur sicherheitslücke, wenn sie stimmt, ist für tobit
    allemal bestimmt sehr interessant.

    kommunikation ist, was der andere versteht ^^ wenn sie hier etwas posten, erreichen sie von vorne herein garantiert niemanden, der in der sache
    weiter helfen kann. nobody is perfect, aber das offizielle hersteller-forum ist der richtige ort, neben den anderen offiziellen hersteller-kontaktmöglichkeiten.
    auch hier hat man sie nicht auf anhieb verstanden, wie sie feststellen mussten. ergänzen und erläutern sie beim hersteller ihre bisher gemachten
    angaben zum besseren verständnis. das wird dort nicht vergeblich sein.

    hth

    "Programming today is a race between software engineers striving to
    build bigger and better idiot-proof programs, and the Universe trying
    to produce bigger and better idiots. So far, the Universe is winning."

  • Hallo Jockel,

    Warum soll ich das per Email schreiben? Die Diskussion hier ist öffentlich.

    Mitte November habe ich bei Tobit angerufen. Die ganz normale Telefonnummer, die man im Internet von Tobit Ahaus findet. In der Nacht zuvor hatte ich das Problem entdeckt. Ich wurde weiterverbunden, nachdem ich kurz geschildert habe, um was es geht und daß ich ein ernsthaftes Sicherheitsproblem melden möchte. Dem 2. Mitarbeiter am Telefon habe ich die Problematik genau so ausführlich geschildert wie hier im Forum. Telefonisch geht das auch schneller und präziser. Vielleicht war der Mitarbeiter auch etwas überfordert, weil ich natürlich erst mal dachte, ich wäre mit einem Kollegen verbunden worden und mich etwas fachspezifischer ausgedrückt habe als hier.

    Als der Mitarbeiter antwortete, dass da vermutlich meine David Konfiguration falsch sein müsste, habe ich dann gemerkt, daß ich nicht mit einem Kollegen spreche. Also habe ich mich nochmal von vorne bemüht, allgemeinverständlich zu sein.

    Aber das half alles nichts, der Mitarbeiter von Tobit versuchte mich zu überreden, Geld zu investieren, damit mir der Support weiterhelfen kann. Ich antwortete, daß ich jetzt keinen Support mehr dazu brauche, weil ich das Problem erkannt habe und eine Lösung für mich weiß und betonte, daß vor allem Tobit ein Interesse an dieser Information haben sollte, ohne von mir Geld für Support zu verlangen. Er nannte mein Verhalten "unsportlich" (was das bedeuten sollte, frage ich mich heute immer noch). Ich habe meinen Gesprächspartner dann gebeten, doch innerhalb seiner Firma seinen Kollegen aus der Entwicklungsabteilung unser Gespräch zu schildern, und zeigte mich am Telefon sicher, daß die dann sofort wissen, was ich meine und auch sofort Korrekturmaßnahmen einleiten werden.

    Ich habe ihm das auch an praktischen Beispielen geschildert, wie die Auswirkungen sind. Ich stehe viel in Emailkontakt mit Behörden, die ebenfalls David nutzen. Ich versuchte ihm zu erklären, daß der SPD-Bürgermeister bestimmt begeistert ist, wenn der Mitarbeiter im Einwohnermeldeamt, Ortsvorsitzender der CSU, in seinen Emails liest. (Parteizugehörigkeit ist jetzt hier frei erfunden!). Hat aber alles nichts genutzt. Am Ende des Gespräches war ich ziemlich frustriert und habe ihm gesagt, daß ich nichts sagen werde, wenn das nächste Update fehlerfrei ist. Wenn nicht, sehe ich mich gezwungen, die User zu warnen. Nun ja, das Update habe ich am Mittwoch entdeckt, ausprobiert vor Zeugen, den Zustand der Rechner vorher gesichert und dann vor Zeugen das Update eingespielt (zu diesem Zeitpunkt wusste ich selber noch nicht, was passiert). Dann mussten die Zeugen sehen, daß sie nach dem Update uneingeschränkten Zugang zu vertraulichen Unterlagen hatten, der vorher noch gesperrt war. Ich kann wegen der Sicherung also jetzt jederzeit jedem immer wieder den Nachweis bingen, daß meine Schilderungen stimmen.

    Wenn Sie glauben, daß ich durch Postings hier und im offiziellen David Forum nichts erreicht habe, irren Sie sich. Die Mitarbeiter von Tobit haben sich schon mit mir in Verbindung gesetzt, mich aber heute nicht erreicht, weil meine Telefone geglüht haben. Können Sie sich ja denken. Wir werden aber am Montag Kontakt aufnehmen.

    Im Übrigen brauchen mich die Leute von Tobit sicher nicht zur Problemlösung, das können die selber. Und genauer kann ich das jetzt beim besten Willen auch nicht mehr schildern :)

    Sicherlich ist das Tobit-Forum "ein" richtiger Ort für diese Informationen, aber hier ist ein mindest ebenso richtiger Ort, denn es geht darum, die User zu schützen. Da habe ich als Programmierer meine eigene Ethik. User geht vor Firma, noch dazu ich der Firma ja großzügig alle Zeit der Welt gelassen habe, etwas daran zu ändern und jetzt auch nicht wie ein Geier auf das nächste Update gewartet habe (das war nämlich schon am 1.12., aber ich hab ja auch manchmal was anderes zu tun).

    Ich bin jedenfalls darauf aus, dass die Firma Tobit künftig einen anderen Umgang bei solchen Vorgängen pflegt und etwas sensibler wird, denn ich habe David schon seit langem vielen, auch sicherheitskritischen Unternehmen, z.B. Notaren etc. empfohlen und blamiere mich nur ungern mit unseriösen Empfehlungen.

    Und last not least denke ich auch an mich, ich nutze David jetzt seit 15 jahren, finde das Programm von je her Klasse, habe beileibe genügend vertrauliche Daten am Server, muss daher auch penibel auf die Zugriffsrechte achten und möchte David auch weiterhin mit gutem Gefühl einsetzen können. Ich bin kein Tobit Händler, sondern auch nur stinknormaler User, der bei weitem nicht alle Möglichkeiten nutzt.

    Hans Lackermeier
    LHSoft GmbH

    2 Mal editiert, zuletzt von LHSoft (11. Dezember 2010 um 00:02)

  • Hallo Hans,

    ich sehe das ganz genauso wie Du und bin ähnlich aufgestellt. Nur sind hier im Forum nicht nur User
    und Endanwender unterwegs, sondern eben auch Händler und vielleicht der ein- oder andere getarnte
    Azubi aus Ahaus würde ich mal sagen (warum eigentlich, wenn doch alles so problemlos funktioniert?)

    Jemand hier im Forum hat mir gegenüber mal geäußert, man müsse eine David-Installation, die Tobit
    mittlerweile auch an mehr oder weniger "Home-User" verteilt, mit einem "SAP rollout" verglichen. Mir
    persönlich fehlt bei solch bescheuerten Aussagen irgendwie die Spucke, denn kein "normal" denkender
    Mensch vergleicht eine Scheibe Mettwurst mit einem Mastschwein. Sei's drum...

    Was ich damit sagen möchte, ist, dass man selten etwas erreichen kann, ohne diese "Fehler" publik
    und andere darauf aufmerksam zu machen. Von daher finde ich Deine Vorgehensweise richtig und sage
    erstmal Danke für die Info.

    Es bringt nämlich nichts, wenn man sich die offensichtlichen Fehler einfach nur nicht eingestehen will
    und dann mit solchen eher dümmlichen Vergleichen argumentiert. Damit ist weder dem Anwender noch
    dem Verkäufer geholfen, aber einige hier im Forum haben wohl eher Angst um ihre Umsätze und Gewinne
    statt reproduzierbare Fehler auch mal öffentlich zuzugeben.


    Zitat

    das wollen wir doch mal sehen. schreiben sie mir doch bitte kurz per email, mit wem sie sich bei tobit mittels welcher kontaktmöglichkeit und wann
    dazu ausgetauscht haben. ich kläre das dann nach möglichkeit direkt.


    Außerdem muss sich hier im Forum auch niemand künstlich als "Anwalt" aufführen. Wenn Hans
    sagt, dass er Tobit kontaktiert hat, dann wird er das wohl in seinem eigenem Interesse getan haben.
    Ich hoffe, dass das jetzt nicht auch noch angezweifelt werden muss. Und das er sich sachlich nüchtern
    artikulieren kann, steht hoffentlich nicht zur Diskussion.

    Es ist sein persönliches Interesse, dass der Fehler schnellstmöglich behoben wird und Tobit's
    absolut "non" technischer Support ist meiner Meinung nach EXAKT so aufgestellt, wie Hans das
    sehr sehr richtig beschrieben hat!


    Gruß, McDoyle

  • Guten Morgen McDoyle,

    vielen Dank für die Unterstützung.
    Den Vogel diesbezüglich abgeschossen hat gestern ein "Biko2" im Tobit Forum.
    Herr, wirf Hirn vom Himmel.

    Hans Lackermeier
    LHSoft GmbH

  • Zitat

    Warum
    soll der Anwender gestört werden in dem der Administrator, an seinem
    Rechner ein Passwort eingibt? Warum, kommt der Administrator extra um
    ein Passwort einzugeben, bleibt dann aber nicht um die Installation
    durchzuführen?

    ich stimme hier eigentlich im Tobitforum Biko2 zu wenn der Administrator seine Kennung eingibt und eine Clientinstallation vornimmt muss dieser nach Abschluss die Workstation neu starten
    um die Clientrechte auf den jeweiligen User zurückzusetzen.

    09-f9-11-02-9d-74-e3-5b
    MfG Kingcopy seit C16 / C64
    Fachinformatiker / Systemintegration
    IT-Systemadministrator
    David (R) 20 User / 500 GB
    David (R) 200 User / 2,5 TB
    d8-41-56-c5-63-56-88-c0

  • Hallo Kingcopy,

    nein, muss er nicht, denn die Elevation gilt nur für den Prozess, für den sie angefordert wurde und nicht für die restliche Userumgebung. Das ist die UAC. Ohne UAC geht das natürlich nicht, da muss sich der Admin richtig am Konto anmelden.

    Nach einem Installationsprozess mit Adminrechten kann bei UAC ohne Probleme im Userkonto ohne Neustart weitergearbeitet werden.

    Mach das Update von Tobit mit Adminrechten, starte das Programm neu und Du befindest Dich im Userkonto mit Userrechten.

    Mach ein Update mit einem korrekt programmiertem Setup, das die Anwendung automatisch startet, und Du befindest Dich zum Schluss ebenfalls im Userkonto.


    Hans Lackermeier

    LHSoft GmbH

  • Da magst Du ja recht haben,
    aber eigentlich (also ich spreche mal für 90% der Admins) kann ich die UAC überhaupt nicht ausstehen,
    die UAC steht auf minimum (ganz unten unter WIN7) unter Vista war diese derart nervig das sie ABGESCHALTET wurde und Microsoft Vista ganz schnell
    vom Mark geschmissen hat, also warum steigerst Du Dich in die UAC derart hinein.

    Es stimmt das Tobit in manchen Dingen ganz schlecht Programmiert die haben es einfach nicht so drauf (evtl wie Du)
    also was bezweckst Du damit, willst Du einen job in Ahaus?

    THEMA2: DIe UAC haben wir nun diskutiert, was ist mit der DATENAUSFÜHRUNGSVERHINDERUNG Tobit macht hier so einen Murks
    und will sogar das die Datenausführungsverhinderung im terminalserver komplett deaktiviert wird, was meiner Meinung nach NOCH gravierender ist.

    09-f9-11-02-9d-74-e3-5b
    MfG Kingcopy seit C16 / C64
    Fachinformatiker / Systemintegration
    IT-Systemadministrator
    David (R) 20 User / 500 GB
    David (R) 200 User / 2,5 TB
    d8-41-56-c5-63-56-88-c0

  • Hi kingcopy,
    da hast Du natürlich recht, die UAC ist nicht sehr beliebt, weil sie nervt.
    Aber überleg mal, was nervt denn eigentlich an der UAC? Das sind die unzähligen Programme, liebgewordenen Programme aus der XP-Zeit und natürlich auch neue Programme, die nicht Win7 konform programmiert wurden. Denn die verursachen, daß der Admin dauernd mit seinem Passwort im Einsatz ist.
    Ein korrekt strukturiertes Programm verlangt nur ein einziges mal nach Adminrechten, und zwar bei der Installation. Ist das Setup mit Adminrechten ausgestattet, muss und kann es alles so vorbereiten, daß spätere Updates auch mit Userrechten eingespielt werden können. Wäre dies überall der Fall, wärst Du kein Gegner sondern Fan der UAC, denn sie würde Dich nicht nerven sondern nur verhindern, daß die User jeden möglichen Scheiß installieren.
    Solange aber sogar Programme wie Java im Update Eingaben verlangen, wird es mit der Akzeptanz schwierig bleiben.

    Hans Lackermeier
    LHSoft GmbH

  • Zitat

    Ein korrekt strukturiertes Programm verlangt nur ein einziges mal nach
    Adminrechten, und zwar bei der Installation. Ist das Setup mit
    Adminrechten ausgestattet, muss und kann es alles so vorbereiten, daß
    spätere Updates auch mit Userrechten eingespielt werden können.

    Da hast Du vollkommen recht.

    Aber Tobit kommt doch noch aus der alt-Filesystem Zeit, die machen doch Geld damit das sie alte kamellen immer wieder verbuggen und neu aufrollen.
    Quasi denselben fehler immer wieder machen und sich für den selben Fix immer wieder loben lassen.

    Also kannst Du nicht hoffen das sie die UAC verstehen.
    Bzw Ahaus besteht fast nur aus Azubis.... und die müssen erst lernen, ab und an ist mal ein krasser dabei , dann merkt man gleich das ein Patch mal
    funktioniert, bzw ein neuer Code einfliesst.

    09-f9-11-02-9d-74-e3-5b
    MfG Kingcopy seit C16 / C64
    Fachinformatiker / Systemintegration
    IT-Systemadministrator
    David (R) 20 User / 500 GB
    David (R) 200 User / 2,5 TB
    d8-41-56-c5-63-56-88-c0

  • Warten wirs ab, ich bin da optimistisch, daß beim nächten Update dieses Problem behoben ist.

    Tobit hat jetzt ein paar mal mit mir telefoniert und ich denke, das wird sich ändern. Auch ändern müssen, denn bei solchen Problemen mit der Kundenstruktur kann eine einzige Schadenersatzforderung die ganze Firma in den Abgrund reißen. Und dessen sind sie sich bewusst.

    Ich bekomme Bescheid, wenn sie das Problem beseitigt haben, und werde das nächste Update im Auge behalten und das Ergebnis hier posten.


    Im übrigen haben einige hier empfohlen, das Update einfach per msi zu verteilen. Schön und gut, das entbindt vielleicht von der Pflicht sein Passwort eingeben zu müssen, aber ob hinterher der Client mit Userrechten läuft, sollte man zumindest überprüfen.


    So long

    Hans Lackermeier

    LHSoft GmbH

  • Zitat

    Und dessen sind sie sich bewusst.

    ...wohl nicht alle ;) naja mal sehen.

    09-f9-11-02-9d-74-e3-5b
    MfG Kingcopy seit C16 / C64
    Fachinformatiker / Systemintegration
    IT-Systemadministrator
    David (R) 20 User / 500 GB
    David (R) 200 User / 2,5 TB
    d8-41-56-c5-63-56-88-c0

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!