Sicherheitsforscher haben in den Anwendungen Western Digital SSD Dashboard und Sandisk SSD Dashboard zwei Sicherheitslücken gefunden,mit denen Angreifer ihren Code auf fremden Rechnern ausführen können und damit Zugriff auf die Daten von Benutzern der entsprechenden SSDs bekommen. Beide Dashboard-Anwendungen sind Utility-Programme, mit denen Anwender die Performance ihrer SSDs überwachen und gegebenenfalls Probleme mit den SSDs aufspüren können.
Lücke 1: Laut den Sicherheitsforschern können Angreifer den beiden Utilities mit einer Man-in-the-Middle-Attacke zu Leibe rücken. Gelingt der Angriff, dann kann der Hacker Systeminformationen lesen und seinen Code auf dem fremden Rechner einschleusen, indem er ein Update für die Anwendungen startet.
Die Schwachstelle kommt dadurch zustande, weil die beiden Dashboard-Anwendungen mit ihrem jeweiligen Webdienst über eine unverschlüsselte http-Verbindung kommunizieren. Wenn die Dashboard-Anwendung auf der http-Webseite nachfragt, ob ein Update vorliegt, erhält sie die Antwort in Form einer unverschlüsselten XML-Datei. Darin steht die Versionsnummer der aktuellen Version der Dashboard-Anwendung. Ist diese Versionsnummer höher als die Versionsnummer der auf dem Rechner installierten Dashboard-Version, dann lädt das Tool die neue Version über den Downloadlink im XML herunter, ohne dessen Authentizität zu überprüfen.
Fängt der Angreifer über eine Man-in-the-Middle-Attacke diese erste Anfrage ab, kann er die Versionsnummer im XML künstlich erhöhen, um den Download einer angeblich neuen Version zu starten und dabei über eine manipulierte Download-Adresse seine eigene Malware statt des originalen Updates unterschieben. Wird diese manipulierte Variante dann auf dem Rechner installiert, hat der Angreifer Zugriff auf die fremde Maschine.
Die gemeldete Schwachstelle trägt die Nummer CVE-2019-13467. Sie betrifft sowohl die Western Digital-Version als auch die Sandisk-Version der SSD Dashboard Applications vor der Versionsnummer 2.5.1.0. Erst mit der Version 2.5.1.0 stellten Western Digital und SanDisk die Kommunikation auf eine verschlüsselte HTTPS-Verbindung um.
Lücke 2: Die Sicherheitsforscher fanden in den beiden SSD-Tools noch eine weitere Schwachstelle, die sie aber als nicht ganz so schwerwiegend einstufen. Sie trägt die Bezeichnung CVE-2019-13466: Demnach ist das Passwort zum Verschlüsseln der Anwenderberichte an das Supportteam hartcodiert in den Code von SanDiskSSDDashboard.exe hineingeschrieben. Wenn ein Angreifer es also einmal herausgefunden hat, kann er die Anwenderberichte lesen.
Western Digital teilte dazu mit, dass dieses Problem bereits durch eine Änderung des Supportablaufs gelöst wurde.
Download: Hier können Sie sich die aktuelle Version 2.5.1.0 von Western Digital SSD Dashboard und von Sandisk SSD Dashboard herunterladen. In dieser sind beide oben beschriebenen Schwachstellen behoben.