Teils kritische Schwachstellen in AES-verschlüsselten, funkbasierten Maus-Tastatur-Kombinationen

Im Jahr 2015 starteten die beiden SySS-Mitarbeiter Matthias Deeg und Gerhard Klostermeier ein Forschungsprojekt zum Thema "Modern Wireless Desktop Sets" (moderne funkbasierte Maus-Tastatur-Kombinationen), da keine öffentlich zugänglichen Informationen bezüglich Sicherheitsschwachstellen in aktuellen funkbasierten Mäusen und Tastaturen verfügbar waren.

In den vergangenen Monaten untersuchten die beiden IT-Security Consultants daher moderne Wireless Desktop Sets mit AES-Verschlüsselung der Hersteller Microsoft, Cherry, Logitech, Fujitsu und Perixx auf mögliche Schwachstellen hin.

Bis heute konnten im Rahmen dieses Forschungsprojekts mehrere, teils kritische Schwachstellen gefunden werden, die im Rahmen des Responsible Disclosure Programms der SySS GmbH an die betroffenen Hersteller gemeldet wurden.

Die gefundenen Schwachstellen lassen sich dabei in unterschiedlichen Angriffsszenarien aus verschiedenen Angreiferperspektiven ausnutzen. Auf der einen Seite gibt es Sicherheitsschwachstellen, die einen einmaligen physischen Zugriff auf eine Funktastatur oder einen USB-Dongle voraussetzen, beispielsweise um kryptografisches Schlüsselmaterial zu extrahieren, das für weitere Angriffe genutzt werden kann, oder um Firmware betroffener Gerät auf nicht autorisierte Weise zu manipulieren. Auf der anderen Seite wurden Schwachstellen gefunden, die sich aus der Ferne mittels Funkkommunikation ausnutzen lassen, etwa Replay- oder Keystroke Injection-Angriffe (Senden von beliebigen Tastatureingaben), die ihre Ursache in unsicheren Implementierungen AES-verschlüsselter Datenkommunikation haben, wie auch die Neue Zürcher Zeitung berichtet.

Im Rahmen des Forschungsprojekts entstand unter anderem ein Hardware-Prototyp, mit dem sich Computersysteme, die unter Verwendung eines anfälliges Wireless Desktop Set bedient werden, mittels Funkkommunikation aus der Ferne angreifen lassen. Durch die Kombination von Replay- und Keystroke Injection-Angriff kann ein Angreifer aus sicherer Entfernung beispielsweise mittels Bildschirmsperre (Screen Lock) gesperrte Computersysteme entsperren und beliebigen Befehle auf dem Zielsystem ausführen, etwa um Schadsoftware zu installieren.

In den 14 bisher versandten Security Advisories zu untersuchten modernen Wireless Desktop Sets mit beworbener AES-Verschlüsselung verschiedener Hersteller werden die folgenden Schwachstellentypen behandelt:

• Unverschlüsselte Datenkommunikation
• Unzureichender Schutz von Code (Firmware) und Daten (kryptografisches Schlüsselmaterial)
• Fehlender Schutz vor Replay-Angriffen
• Unzureichender Schutz vor Replay-Angriffen
• Kryptografische Schwachstellen, die Keystroke Injection-Angriffe ermöglichen

Der Responsible Disclosure-Prozess von acht der bisher vierzehn gemeldeten Schwachstellen ist gemäß unserer Responsible Disclosure Policy abgeschlossen, weshalb wir heute die ersten Ergebnisse unserer Forschungsarbeit in Form dieser acht Security Advisories für Wireless Desktop Sets der Hersteller Microsoft, Cherry, Logitech und Perixx veröffentlichen:

• SYSS-2016-031: CHERRY B.UNLIMITED AES - Cryptographic Issues (CWE-310), Missing Protection against Replay Attacks
• SYSS-2016-032: CHERRY B.UNLIMITED AES - Insufficient Protection of Code (Firmware) and Data (Cryptographic Key)
• SYSS-2016-038: CHERRY B.UNLIMITED AES - Cryptographic Issues (CWE-310), Keystroke Injection Vulnerability
• SYSS-2016-044: Logitech K520 (Keyboard of Wireless Combo MK520) - Cryptographic Issues (CWE-310), Missing Protection against Replay Attacks
• SYSS-2016-045: Perixx PERIDUO-710W - Insufficient Protection of Code (Firmware) and Data (Cryptographic Key)
• SYSS-2016-046: Perixx PERIDUO-710W - Cryptographic Issues (CWE-310), Missing Protection against Replay Attacks
• SYSS-2016-047: Perixx PERIDUO-710W - Cryptographic Issues (CWE-310), Keystroke Injection Vulnerability
• SYSS-2016-059: Microsoft Wireless Desktop 2000 - Insufficient Verification of Data Authenticity (CWE-345), Mouse Spoofing Attack

Die sechs Security Advisories, die unter anderem auch Produkte des Herstellers Fujitsu betreffen, werden im August und September veröffentlicht werden. Weitere Ergebnisse und technische Details unserer Forschungsarbeit werden wir darüber hinaus auf der IT-Sicherheitskonferenz Ruxcon (22./23. Oktober 2016) und der der Handelsblatt Jahrestagung Cybersecurity 2016 (21./22. November 2016) präsentieren.

Aktuell rät die SySS GmbH davon ab, Wireless Desktop Sets in sicherheitskritischen Umgebungen zu verwenden.