SYSS-2018-033: Keystroke Injection-Schwachstelle in Fujitsu Wireless Keyboard Set LX901

Ein Security Advisory von Expert IT Security Consultant Matthias Deeg

SySS-IT-Sicherheitsexperte Matthias Deeg fand im Rahmen eines Forschungsprojekts eine Keystroke Injection-Schwachstelle im Fujitsu Wireless Keyboard Set LX901.

Diese Sicherheitsschwachstelle erlaubt es einem Angreifer, mittels Funkkommunikation aus der Ferne (Funkreichweite 2.4 GHz) beliebige Tastatureingaben an ein Computersystem zu senden, welches mit einem Fujitsu Wireless Keyboard Set LX901 betrieben wird. Auf diese Weise kann ein Angreifer beispielsweise aus der Ferne die Kontrolle über ein Opfersystem übernehmen.

Die Keystroke Injection-Schwachstelle wird in unserem SySS Proof-of-Concept Video: Fujitsu Wireless Keyboard Set LX901 Keystroke Injection Attack demonstriert.

In Kombination mit der Replay-Schwachstelle des Fujitsu Wireless Keyboard Set LX901, die wir in unserem Security Advisory SYSS-2016-068 Ende 2016 veröffentlicht haben, ermöglicht ein Ausnutzen der Keystroke Injection-Schwachstelle auch Angriffe gegen Computersysteme mit einer aktiven Bildschirmsperre (Screen Lock), beispielsweise um Schadsoftware zu installieren, wenn das Zielsystem gerade nicht genutzt und unbeaufsichtigt ist.

 

 

Detaillierte Informationen zur gefundenen Keystroke Injection-Schwachstelle finden Sie in unserem Security Advisory/You will find detailed information about these security issues in our Security Advisory: 

SYSS-2018-033

Weitere Informationen über unsere Responsible Disclosure Policy bei der Veröffentlichung von Security Advisories finden Sie hier.

You will find further information about our Responsible Disclosure Policy concerning the publishing process of SySS Security Advisories here.

Die beiden IT-Sicherheitsexperten der SySS, Matthias Deeg und Gerhard Klostermeier, werden diese und weitere Sicherheitsschwachstellen in verschiedenen drahtlosen Eingabegeräten in ihrem Vortrag New Tales of Wireless Input Devices auf der diesjährigen IT-Sicherheitskonferenz CONFidence in Krakau am 04.06.2019 präsentieren.

Weitere Informationen zu diesem Vortrag finden Sie auf der Webseite der CONFidence IT-Sicherheitskonferenz.


Termine

02.07.2019 - 04.07.2019
Secu2: Incident Response
09.07.2019 - 10.07.2019
Hack5: Exploit Development
11.07.2019
Secu5: Planung und Durchführung von Penetrationstests
16.07.2019 - 17.07.2019
Hack7: Sicherheit und Einfallstore bei Webapplikationen