Der Schweizer Hersteller Logitech tauscht verwundbare USB-Empfänger der Logitech-Presenter-Reihe aus. Zudem räumt das Unternehmen ein, dass mehr Geräte von einer gefährlichen Sicherheitslücke im Funkprotokoll betroffen sind als bisher bekannt. Das ergab eine Anfrage des Computermagazins c't.
Logitech Wireless Presenter mit USB-Empfänger
Wie Logitech gegenüber c't erklärte, sind die Presenter-Modelle R400, R700 und R800 durch die Schwachstelle angreifbar. Damit schafft das Unternehmen erstmals Klarheit über ein seit mindestens drei Jahren bekanntes Sicherheitsproblem. Die bisher verfügbaren Informationen über die Anfälligkeit stammten nämlich nicht von Logitech, sondern von unabhängigen Security-Experten der SySS GmbH.
So dokumentierte der SySS-Forscher Matthias Deeg die Lücke im Modell R400 bereits im Jahr 2016, vor kurzem konnte er das Problem auch bei dem Modell R700 nachweisen. Dass auch die Wireless Presenter des Typs R800 betroffen sind, kam erst durch die Anfrage der c't ans Tageslicht.
Logitech tauscht USB-Empfänger aus
Als Workaround rät der Hersteller: "Kunden, die erhöhte Sicherheitsbedenken haben, empfehlen wir, den Receiver von ihrem Computer zu entfernen, wenn das Produkt nicht in Gebrauch ist." Das schützt natürlich nicht vor Angriffen, die während einer laufenden Präsentation stattfinden. Darüber hinaus brachte Logitech erstmals eine Austauschmöglichkeit ins Spiel: "Sie [die Kunden, Anm. der Redaktion] können sich auch an den Logitech-Kundendienst wenden, um einen Ersatzempfänger zu erhalten: logitech.com/contact".
Worum geht es?
In Ausgabe 8/19 berichtete c't im Rahmen der Artikelreihe Hacking Gadgets über einen Angriff auf die weit verbreiteten PowerPoint-Fernbedienungen Logitech Presenter, der schwerwiegende Folgen haben kann. Während der USB-Empfänger der Presenter mit dem Rechner verbunden ist, kann ein Angreifer in Funkreichweite beliebige Befehle auf dem System ausführen. Auf diese Weise können böswillige Personen nicht nur Präsentationen vor großem Publikum sabotieren, sondern auch Schadcode einschleusen.
Denn die Empfänger akzeptieren nicht nur die Steuerbefehle für PowerPoint & Co. ("Bild auf" und "Bild ab"), sondern auch beliebige Tastatureingaben. Und wer Tastenbefehle eingeben kann, der hat die Hoheit über ein System: Ein Angreifer würde typischerweise unter Windows mit Windows+R den Ausführen-Dialog öffnen und anschließend die PowerShell starten. Anschließend kann der Angreifer etwa einen Trojaner-Downloader eintippen und ausführen. Welches Betriebssystem auf dem Rechner läuft, spielt übrigens keine Rolle – der Angriffs-Code muss lediglich dazu passen.
Für den Angriff ist kein teures Laborequipment nötig, sondern lediglich ein USB-Funkmodul namens CrazyRadio PA. Es kostet rund 35 Euro und ist frei verkäuflich. Die nötige Firmware und Angriffssoftware steht auf GitHub zum Download bereit. Wer einen der betroffenen Presenter im Einsatz hat, sollte sich also besser zügig um den Austausch des USB-Empfängers kümmern.
Quelle: Angreifbare Logitech Presenter: Hersteller tauscht gefährliche USB-Empfänger aus | heise online
Update: 30.08.2019
Logitech: Firmware-Update macht Funktastaturen und -mäuse sicherer
Per Firmware-Update hat Logitech zwei Lücken in seinem Unifying-Funkprotokoll geschlossen – und zwei nicht. Daran soll sich auch nichts mehr ändern.
Mit einem Firmware-Update beseitigt Logitech zwei der Schwachstellen seiner Unifying-Funktechnik, die in etlichen Funktastaturen und -mäusen des Schweizer Unternehmens zum Einsatz kommt. Grund zum Aufatmen ist das allerdings noch nicht, da weiterhin Lücken in der Funktechnik klaffen. Und diese wird der Hersteller nach derzeitigem Stand auch nicht schließen.
Anfang Juli sorgte c't mit dem Artikel c't deckt auf: Tastaturen und Mäuse von Logitech weitreichend angreifbar für Wirbel, in dem mehrere Schwachstellen in Logitechs proprietärem Funkprotokoll Unifying offengelegt wurden. Die Sicherheitslücken hatte der Security-Experte Marcus Mengs entdeckt, der c't frühzeitig über seine Funde in Kenntnis setzte. Mengs fand heraus, dass man die Funkverbindung der Logitech-Geräte attackieren kann. Ein Angreifer kann so nicht nur Tasteneingaben belauschen, er kann auch den Rechner seines Opfers in spe aus einiger Distanz mit einem Schädling infizieren.
Das neue Firmware-Update beseitigt ein von Marcus Mengs entdecktes Problem, durch das es dem Angreifer möglich war, den zur Verschlüsselung der Funkverbindung genutzten Krypto-Schlüssel direkt aus dem Unifying-Empfänger auszulesen. Dazu benötigte der Angreifer lediglich kurzzeitig physischen Zugriff auf den Empfänger. Das Sicherheitsproblem trägt die Schwachstellen-Identifikationsnummer CVE-2019-13055 bei den Tastaturen und Mäusen mit Unifying. Logitech hat auch die ähnlich gelagerte Lücke CVE-2019-13054 geschlossen, die das Auslesen des Schlüssels beim Wireless Presenter R500 erlaubt.
Nutzer von Windows und macOS spielen das Sicherheitsupdate einfach über das oben verlinkte "Logitech Firmware Update Tool" ein. Linux-Nutzer sollen das Firmware-Update in Kürze über das herstellerunabhängige Tool fwupd installieren können. Darüber hinaus hat der Hersteller ein Windows-Tool für Unternehmenskunden bereitgestellt, mit dem Admins das Update automatisiert über das Netzwerk verteilen können. Davon will Logitech auch noch eine macOS-Version nachreichen.
Das Problem, dass Logitechs Unifying-Software nicht über verfügbare Firmware-Updates informiert, obwohl eine solche Funktion offensichtlich vorhanden ist, hat der Hersteller indes anscheinend noch nicht in den Griff bekommen. Darauf angesprochen antwortete das Unternehmen ausweichend, dass es kontinuierlich mit allen Kunden, die sich um ihre Sicherheit sorgen, in Kontakt steht. Immerhin ist das Firmware-Update-Tool inzwischen leicht über die Support-Seite auffindbar.
Handeln sollten alle Nutzer von Logitech-Tastaturen -und -Mäusen, welche die Unifying-Funktechnik einsetzen. Darüber hinaus sollten Nutzer der Gaming-Produkte der Lightspeed-Serie sowie der Powerpoint-Fernbedienung R500 das Update einspielen. Da der Funkstandard seit rund zehn Jahren in etlichen Produkten des Herstellers zum Einsatz kommt, dürfte die Anzahl der betroffenen Geräte in die Millionen gehen.
Zwei Lücken bleiben offen
Als wirklich sicher kann man die betroffenen Geräte jedoch noch nicht bezeichnen, denn zwei weitere von Mengs entdeckte Sicherheitslücken klaffen nach wie vor in dem Funkprotokoll. Darunter befindet sich die Lücke mit der Nummer CVE-2019-13052. Durch diese kann der Angreifer den verschlüsselten Funkverkehr der Geräte entschlüsseln und Tastatureingaben mitlesen, wenn er den Pairing-Vorgang mitschneidet.
Das Pairing ist zwar nur zum Koppeln neuer Eingabegeräte mit einem Empfänger nötig – und die Wahrscheinlichkeit, dass ein Angreifer dabei gerade mitlauscht, ist gering. Allerdings kann der Angreifer das Pairing auch einfach selbst auslösen und die nötigen Funkpakete mitschneiden, indem er sich in einem unbeobachteten Moment physischen Zugriff auf den Unifying-Receiver verschafft. Das Mitschnüffeln der Tasteneingaben gelingt anschließend aus sicherer Entfernung.
Auch der Schwachstellte mit der Identifikationsnummer CVE-2019-13053 hat das Firmware-Updates nicht entgegenzusetzen. Durch dieses Sicherheitsloch kann ein Angreifer eigene Tasteneingaben in die Funkverbindung einschleusen. Das ist nicht minder gefährlich, denn wer Tasteneingaben an einen Rechner schicken kann, der kann auch einen Trojaner installieren. So öffnet etwa die Tastenkombination Windows + R den Ausführen-Dialog, über die der Angreifer die Powershell mit dem gleichnamigen Befehl starten kann.
Anschließend kann er den Trojaner einfach in Form eines Powershell-Skripts eintippen und ausführen. Für eine solche Attacke benötigt der Angreifer theoretisch keinen physischen Zugriff, er muss jedoch wissen, zu welcher Zeit welche Tasten gedrückt wurden. Praktisch würde ein Angreifer vermutlich einen unbeobachteten Augenblick ausnutzen, um selbst ein paar Tasten auf der Tastatur zu drücken und währenddessen die ausgesendeten Funkpakete aufzeichnen.
Und was bedeutet das für mich?
Logitech plant derzeit nicht, die beiden noch unbehandelten Sicherheitslücken zu schließen. Das Unternehmen erklärte gegenüber c't, dass es ansonsten die Kompatibilität der Unifying-Geräte untereinander nicht mehr gewährleisten könne. Der Unifying-Standard sieht vor, dass sich bis zu sechs kompatible Eingabegeräte mit einem Empfänger koppeln lassen – ganz gleich, wie alt sie sind.
Wer sich vor Angriffen auf die beiden noch existierenden Sicherheitslücken schützen will, muss sicherstellen, dass keine unbefugten Personen auf die Unifying-Tastaturen und -Mäuse zugreifen können. Wer etwa in einem Büro arbeitet, in dem viele Personen ein und aus gehen, sollte die Logitech-Hardware in der Mittagspause und nach Feierabend besser wegschließen.
In einem Privathaushalt hingegen ist die Wahrscheinlichkeit eines Angriffs eher zu vernachlässigen. Große technische Hürden muss ein Hacker indes nicht überwinden: Die zum Angriff nötige Hardware kostet rund 10 Euro, die passende Software gibt es gratis im Netz.
Quelle: Logitech: Firmware-Update macht Funktastaturen und -mäuse sicherer | heise online
Update: 05.09.2019
Logitech Unifying: Sicherheits-Patch schon ausgetrickst
Den neuen Schutz zur Absicherung der Funktastaturen und -mäuse kann man leicht austricksen, wie Security-Experte Marcus Mengs gegenüber heise Security erklärt.
Die Geschichte der Sicherheitslücken in Logitechs Unifying-Funktechnik ist offenbar noch nicht zu Ende erzählt: Wie der Security-Experte Marcus Mengs gegenüber heise Security erklärte, lässt sich das jüngst von Logitech veröffentlichte Sicherheits-Patch, welches eine der Schwachstellen beseitigen soll, wohl relativ einfach austricksen.
Das Firmware-Update soll verhindern, dass man den zur Verschlüsselung der Funkverbindung genutzten Krypto-Schlüssel einfach per USB aus dem Unifying-Receiver auslesen kann. Das tut es auch. Was es allerdings nicht verhindert ist ein Downgrade auf eine alte, verwundbare Firmware. Anschließend ist der Krypto-Key wieder auslesbar. Um keine Spuren zu hinterlassen, kann der Angreifer den Empfänger danach wieder auf den aktuellen Firmwarestand bringen.
Mit dem Key kann der Angreifer anschließend aus der Distanz die Funkkommunikation der Eingabegeräte in Echtzeit entschlüsseln und nicht nur sensible Tastatureingaben mitlesen, sondern auch eigene Befehle an den Rechner seines Opfers senden. Durch das Einschleusen von Tastenbefehlen kann der Angreifer das System auch mit Schadsoftware infizieren.
Update zögert den Angriff nur heraus
Laut Mengs bewirkt das Firmware-Update lediglich, dass der Angriff länger dauert. Statt zuvor einer Sekunde muss der Angreifer durch das notwendige Downgrade nun etwa 30 Sekunden warten, ehe der Krypto-Schlüssel extrahiert ist. Teil des Problems ist laut Mengs, dass die Empfänger zwar teilweise checken, ob die Signatur der Firmware-Datei gültig ist. Der Bootloader prüfe jedoch nicht, ob die zu installierende Version aktueller als die bereits vorhandene ist.
Deshalb ist ein Downgrade dem Security-Experten zufolge problemlos möglich. Der Angreifer benötigt lediglich eine signierte Firmware-Datei in einer anfälligen Version. Eine solche kann er sich mühelos im Netz besorgen. Betroffen sind neben den Unifying-Geräten auch die drahtlosen Gaming-Produkte der G-Series Lightspeed, wie Mengs gegenüber heise Security erklärt.
Unterm Strich ändert sich für Besitzer drahtloser Eingabegeräte von Logitech wenig: Denn neben der eigentlich durch das Firmware-Update gepatchten Schwachstelle klaffen im Unifying-Funkprotokoll noch zwei weitere bekannte Sicherheitslücken, nämlich CVE-2019-13053 und CVE-2019-13052. Auch darüber kann der Angreifer sowohl Tasteneingaben mitlesen als auch eigene Befehle einschleusen. Diese Lücken wird Logitech nach derzeitiger Planung auch in Zukunft nicht schließen, da der Hersteller ansonsten die Kompatibilität innerhalb der Unifying-Produktreihe nicht länger gewährleisten kann.
Nutzer müssen umdenken
Die meisten der von Marcus Mengs entdeckten Unifying-Schwachstellen erfordern einen kurzzeitigen physischen Zugriff. Das macht sie allerdings nicht weniger problematisch, denn die Angriffe dauern lediglich wenige Sekunden. Der Angreifer muss also nur sehr kurz auf den USB-Funkempfänger oder das Eingabegerät zugreifen, um die Funkverbindung dauerhaft aus der Distanz attackieren zu können. In einem belebten Büro dürfte dies keine größere Hürde sein.
Für die Nutzer bedeuten die Anfälligkeiten ein Umdenken im Umgang mit der Logitech-Hardware. Wer sich vor Funkangriffen über Unifying schützen will, muss sicherstellen, dass sich keine unbefugten Personen der Hardware nähern können. Bestenfalls schließt man sowohl den Funkempfänger als auch das Eingabegerät – also Maus, Tastatur oder Wireless Presenter – ein, sobald man das Büro verlässt.
Quelle: Logitech Unifying: Sicherheits-Patch schon ausgetrickst | heise online