Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

Jetzt updaten

Sicherheitslücken in SSD-Tools von Western Digital und Sandisk

Seine erste Berührung mit Informatik erfolgte an einem C64 samt Floppy VC 1541. Von Anfang an nutzte er diesen faszinierenden Heimcomputer nicht nur zum Daddeln, sondern auch für die Basic-Programmierung. Unter anderem half er seinen damals etwas müden Kopfrechnen-Fähigkeiten auf die Sprünge, indem er ein Programm schrieb, das immer zwei zufällig ausgewählte Zahlen zur Multiplikation stellte. Im Hintergrund lief ein Timer. Nur wenn er das Ergebnis innerhalb des vorgegebenen Zeitraums, der leider manchmal zu knapp bemessen war, richtig eintippte, bekam er einen Punkt gutgeschrieben. Seine Highscore-Ergebnisse waren durchwachsen, seine Programmierkenntnisse dafür umso besser. Der Lehrstuhl, an dem er als studentische Hilfskraft angestellt war, gehörte seinerzeit zu den Vorreitern in Sachen IT. Man übersetzte damals die griechischen Inschriften der antiken Stadt Hierapolis – heute ist dieses türkische Pamukkale bekannt durch seine Kalksinter-Terrassen. Die wissenschaftlich korrekt erfassten und kommentierten Inschriften bearbeiteten Dirscherl und Kollegen zunächst in Wordperfect. Anschließend landeten die Texte in einer Datenbank, die auf CD gepresst und für sündhaft viel Geld weltweit verkauft wurde. Über dieses epigraphische Datenbankprojekt, diverse C-Programmierereien auf Unix-Systemen und seine ersten Experimente mit Linux landete er schließlich professionell bei der IT. Seit den späten 1990-ern nutzt er Linux als Produktivsystem, seit Anfang der 2000-er Jahre ist Linux sein hauptsächliches OS. Nach vielen Jahren mit Suse Linux und Open Suse und zwischendurch Ausflügen zu Red Hat und Debian landete er bei Ubuntu und erledigt damit alle Arbeiten. Linux und C ist er bis heute treu geblieben – nach einem Ausflug zu PHP und MySQL. Mittlerweile bastelt er auch mit Arduino. Bei pcwelt.de betreut er vor allem Business-IT-Themen und hat den Auto & Technik-Bereich von Null beginnend aufgebaut. Seine Tests der Infotainmentsysteme in modernen Fahrzeugen gehören zu den ausführlichsten Tests, die man dazu überhaupt finden kann. Daneben schreibt er zudem fast täglich aktuelle Meldungen aus der IT-Welt.
In den SSD-Tools von Western Digital und Sandisk stecken Sicherheitslücken. Anwender sollten sofort die Updates installieren.

Sicherheitsforscher haben in den Anwendungen Western Digital SSD Dashboard und Sandisk SSD Dashboard zwei Sicherheitslücken gefunden,mit denen Angreifer ihren Code auf fremden Rechnern ausführen können und damit Zugriff auf die Daten von Benutzern der entsprechenden SSDs bekommen. Beide Dashboard-Anwendungen sind Utility-Programme, mit denen Anwender die Performance ihrer SSDs überwachen und gegebenenfalls Probleme mit den SSDs aufspüren können.

Lücke 1: Laut den Sicherheitsforschern können Angreifer den beiden Utilities mit einer Man-in-the-Middle-Attacke zu Leibe rücken. Gelingt der Angriff, dann kann der Hacker Systeminformationen lesen und seinen Code auf dem fremden Rechner einschleusen, indem er ein Update für die Anwendungen startet.

Die Schwachstelle kommt dadurch zustande, weil die beiden Dashboard-Anwendungen mit ihrem jeweiligen Webdienst über eine unverschlüsselte http-Verbindung kommunizieren. Wenn die Dashboard-Anwendung auf der http-Webseite nachfragt, ob ein Update vorliegt, erhält sie die Antwort in Form einer unverschlüsselten XML-Datei. Darin steht die Versionsnummer der aktuellen Version der Dashboard-Anwendung. Ist diese Versionsnummer höher als die Versionsnummer der auf dem Rechner installierten Dashboard-Version, dann lädt das Tool die neue Version über den Downloadlink im XML herunter, ohne dessen Authentizität zu überprüfen.

Fängt der Angreifer über eine Man-in-the-Middle-Attacke diese erste Anfrage ab, kann er die Versionsnummer im XML künstlich erhöhen, um den Download einer angeblich neuen Version zu starten und dabei über eine manipulierte Download-Adresse seine eigene Malware statt des originalen Updates unterschieben. Wird diese manipulierte Variante dann auf dem Rechner installiert, hat der Angreifer Zugriff auf die fremde Maschine.

Die gemeldete Schwachstelle trägt die Nummer CVE-2019-13467. Sie betrifft sowohl die Western Digital-Version als auch die Sandisk-Version der SSD Dashboard Applications vor der Versionsnummer 2.5.1.0. Erst mit der Version 2.5.1.0 stellten Western Digital und SanDisk die Kommunikation auf eine verschlüsselte HTTPS-Verbindung um.

Lücke 2: Die Sicherheitsforscher fanden in den beiden SSD-Tools noch eine weitere Schwachstelle, die sie aber als nicht ganz so schwerwiegend einstufen. Sie trägt die Bezeichnung CVE-2019-13466: Demnach ist das Passwort zum Verschlüsseln der Anwenderberichte an das Supportteam hartcodiert in den Code von SanDiskSSDDashboard.exe hineingeschrieben. Wenn ein Angreifer es also einmal herausgefunden hat, kann er die Anwenderberichte lesen.

Western Digital teilte dazu mit, dass dieses Problem bereits durch eine Änderung des Supportablaufs gelöst wurde.

Download: Hier können Sie sich die aktuelle Version 2.5.1.0 von Western Digital SSD Dashboard und von Sandisk SSD Dashboard herunterladen. In dieser sind beide oben beschriebenen Schwachstellen behoben.