Sicherheits-Hinweis - Schwachstelle

Die Bereitstellung der Datei ci-oof.exe über ein Netzwerkfreigabe schließt die Datei ci-oof.xml ein, die Benutzernamen und Passwörter in verschlüsselter Form enthält. Da es sich um eine Desktop-Software handelt, ist es unvermeidlich, dass die Software, trotz Verschlüsselung und Verwischung der Daten (Obfuscation), letztendlich unerlaubt dekompiliert und analysiert werden kann. Dies ermöglicht den Zugriff auf den Lese-, Verschlüsselungs- und Schreibprozess.

Wir empfehlen stattdessen die Nutzung einer Web-Schnittstelle für die Terminplanung durch die Benutzer, sodass die Netzwerkfreigabe nicht allgemein zugänglich gemacht werden muss und nur administrative Konten Zugang zur Konfigurationsdatei haben.

Zur weiteren Risikominimierung schlagen wir folgende Maßnahmen vor:

Einschränkung der Benutzerrechte:

Benutzer ohne Administratorrechte können keine direkten Änderungen im Active Directory (AD) vornehmen. Änderungen sollten über das AD von Berechtigten durchgeführt werden. Wir werden das Handbuch entsprechend anpassen, um dies zu reflektieren.

img

  1. Die ci-oof.exe funktioniert als Service, der durch Aufgaben automatisiert wird und in einem geschützten Bereich des Netzwerks operiert, der für normale Benutzer unzugänglich ist. Zusammen mit der Web-Schnittstelle können Benutzer Termine über einen Webserver planen und verwalten. Weitere Informationen zur CI-Out-of-Office Web-Schnittstelle finden Sie auf unserer Webseite hier. Dies stellt sicher, dass normale Benutzer keinen Zugang zur ci-oof.xml-Datei haben.

  2. Zusätzlich bieten wir unsere Dienste als Cloud-Lösung an, die Mailboxen von unseren Servern aus (auch in einer Hybrid-Konfiguration) verwalten kann. Derzeit benötigt dies mindestens einen Microsoft Tenant und ein Konto, aber wir planen, unsere Dienste so anzupassen, dass sie vollständig von unserer CI-Cloud aus verwaltet werden können. Wir müssen jedoch die Bedenken von Kunden berücksichtigen, die sich gegen eine Cloud-Lösung entschieden haben.

  3. Viele unserer Kunden scheinen Schwierigkeiten mit lokalen Client-Server-Lösungen zu haben. Daher überlege ich vorsichtig, ob und wann wir solche Lösungen implementieren sollten. Ich sehe eine mögliche Lösung in einer Kombination aus der bestehenden Desktop-Software und einem von uns gehosteten Service, der auch hybrid funktioniert.

    Ich empfehle derzeit die Implementierung des zweiten Punktes, da ich glaube, dass dadurch das Sicherheitsrisiko signifikant reduziert wird.

Wir weisen zusätzlich auf diesen Artikel hin: SYSS-2024-013