Bankomat mit Windows XP ließ sich kinderleicht knacken

    21. Dezember 2017, 09:44
    47 Postings

    Fataler Fehler bei russischer Bank – Kunden konnten auf Systemeinstellungen zugreifen

    Obwohl Windows XP mittlerweile schon seit mehreren Jahren keinerlei Updates mehr erhält, ist es nicht recht tot zu bekommen. Weltweit gesehen läuft die 16 Jahre alte Betriebssystemversion noch immer auf knapp 6 Prozent aller Geräte. Besonders unerfreulich: Zum Teil findet XP auch noch in sicherheitsrelevanten Bereichen seinen Einsatz. Die Betreiber betonen dabei gerne, dass dies irrelevant sei, da es sich hier ohnehin um geschlossene Netze handle. Aus einer Sicherheitsperspektive eine zweifelhafte Argumentation, die aber endgültig absurd wird, wenn man bei der Umsetzung so grob patzt wie eine russische Bank.

    Zugriff gewährt

    Nutzer der russischen Webseite Habrahabr haben einen fatalen Fehler in der Bankomat-Software von Sberbank gefunden. Reicht es hier doch die Shift-Taste fünfmal hintereinander zu drücken, um den "Sticky Keys Dialog" von Windows XP angezeigt zu bekommen. Dieser ist eigentlich dazu gedacht, um das Verhalten bei wiederholtem Drücken dieser Taste zu konfigurieren, etwa um dann in Folge alle Eingaben in Großbuchstaben darzustellen. Gleichzeitig lassen sich über diese Stelle aber auch die Windows-Einstellungen aufrufen, wobei dann Teile des klassischen XP-Systems angezeigt werden, darunter etwa der Taskbar.

    akito iwakura

    Manipulation

    In weiterer Folge besteht dann ein recht weitreichender Zugriff auf das auf dem Bankomaten befindliche System. Angreifer können also beispielsweise die Startskripte für XP verändern oder auch die laufende Software deaktivieren.

    Das Sicherheitsdefizit wurde der Sberbank laut einem Bericht von Winfuture mittlerweile vor rund zwei Wochen gemeldet. Damals hieß es, dass eine Fehlerbereinigung umgehend erfolgen soll, bisher lässt sich dieser Trick auf den betreffenden Bankomaten aber weiter nutzen. (red, 21.12.2017)

    • Artikelbild
      foto: akito iwakura / youtube
    Share if you care.