- Hackern auf der jährlichen Sicherheitskonferenz in Las Vegas gelingt es immer wieder, Geldautomaten zu manipulieren und Nutzerdaten zu stehlen. Matt Burch präsentierte Schwachstellen in der weitverbreiteten Sicherheitslösung Vynamic Security Suite (VSS) von Diebold Nixdorf, die potenziell die vollständige Kontrolle über Geldautomaten erlauben könnten. Das System VSS verwendet eine Dual-Boot-Konfiguration mit einem unverschlüsselten Linux-Integritätscheck, der von Burch ausgenutzt werden konnte. Diebold Nixdorf behauptet, die entdeckten Schwachstellen mit Patches behoben zu haben, warnt jedoch, dass eine vollständige Implementierung der Sicherheitsupdates in der Praxis schwierig ist. Bei der Durchführung eines Angriffs ist physischer Zugang erforderlich, was die Angriffe komplizierter, aber nicht unmöglich macht.
Es existiert eine lange Tradition auf der jährlichen Sicherheitskonferenz in Las Vegas, Geldautomaten zu hacken. Durch Safecracking-Techniken werden Nutzerdaten und PINs gestohlen und natürlich auch Geldautomaten manipuliert. Viele dieser Projekte richteten sich gegen sogenannte Einzelhandels-Geldautomaten, freistehende Geräte wie jene, die man an Tankstellen oder in Kneipen findet. Aber am Freitag präsentierte der unabhängige Forscher Matt Burch seine Erkenntnisse zu Angriffen auf „finanzielle“ oder „unternehmerische“ Geldautomaten, die in Banken und anderen großen Einrichtungen verwendet werden.
Burch demonstrierte sechs Schwachstellen in der weitverbreiteten Sicherheitslösung von Diebold Nixdorf, bekannt als Vynamic Security Suite (VSS). Diese Schwachstellen, welche die Firma laut eigenen Angaben alle behoben hat, könnten von Angreifern ausgenutzt werden, um die Festplattenverschlüsselung eines ungepatchten Geldautomaten zu umgehen und die vollständige Kontrolle über das Gerät zu übernehmen.
Bedeutung der Schwachstellen
Obwohl es Lösungen für die Fehler gibt, warnt Burch, dass die Patches in der Praxis möglicherweise nicht weit verbreitet angewendet werden, was einige Geldautomaten und Auszahlungssysteme potenziell ungeschützt lassen könnte. „Vynamic Security Suite bietet viele Funktionen – von Endpunkt-Schutz über USB-Filterung bis hin zu delegiertem Zugriff und vielem mehr“, sagt Burch. „Aber die spezifische Angriffsfläche, die ich ausnutze, ist das Festplattenverschlüsselungsmodul.“
Die Schwachstellen, die Burch entdeckt hat, betreffen die Funktionalität von VSS zur Aktivierung der Festplattenverschlüsselung für die Geldautomatenfestplatten. Burch erklärt, dass die meisten Geldautomatenhersteller auf Microsofts BitLocker Windows-Verschlüsselung für diesen Zweck setzen, aber Diebold Nixdorf’s VSS eine Drittanbieter-Integration zur Ausführung eines Integritätschecks nutzt.
Implementierungsprobleme
Das System ist in einer Dual-Boot-Konfiguration eingerichtet, die sowohl Linux- als auch Windows-Partitionen enthält. Bevor das Betriebssystem startet, führt die Linux-Partition einen Signatur-Integritätscheck durch, um zu validieren, dass der Geldautomat nicht kompromittiert wurde, und startet dann Windows für den normalen Betrieb. „Das Problem ist, dass sie das System entschlüsseln müssen, um all das auszuführen, was eine Möglichkeit bietet“, bemerkt Burch. „Die Kernmängel, die ich ausnutze, liegen darin, dass die Linux-Partition nicht verschlüsselt war.“
Burch fand heraus, dass er den Standort wichtiger Systemvalidierungsdateien manipulieren konnte, um die Codeausführung umzuleiten; mit anderen Worten: sich selbst die Kontrolle über den Geldautomaten zu verschaffen. Diebold Nixdorf-Sprecher Michael Jacobsen erklärte, dass Burch die Erkenntnisse erstmals im Jahr 2022 offengelegt habe und dass das Unternehmen im Kontakt mit Burch bezüglich seines Defcon-Vortrags stehe. Die Firma sagt, dass alle von Burch vorgestellten Schwachstellen mit Patches im Jahr 2022 behoben worden seien.
Trotz Fixes weitere Gefahren
Burch merkt jedoch an, dass, als er dem Unternehmen in den letzten Jahren neue Versionen der Schwachstellen meldete, die Firma weiterhin einige der Erkenntnisse mit Patches bis 2023 adressierte. Und er fügt hinzu, dass er glaubt, dass Diebold Nixdorf die Schwachstellen auf einer grundlegenderen Ebene im April mit VSS Version 4.4 behoben habe, die die Linux-Partition verschlüsselt. Trotz dieser Maßnahmen, warnt Burch, könnte es dennoch möglich sein, Wege zu finden, ähnliche Schwachstellen auszunutzen, aber „es ist jetzt erheblich schwieriger“. Wichtiger ist jedoch, dass er anmerkt, dass es beträchtlicher Infrastrukturinitiativen bedarf, um wirklich die unternehmerischen Geldautomaten zu aktualisieren.
„Wir arbeiten derzeit daran, sicherzustellen, dass unsere Kunden auf dem neuesten Stand sind und die aktuelle Version verwenden, die für ihre Umgebung geeignet ist“, sagt Jacobsen. Er fügt hinzu, dass die Kunden von Diebold Nixdorf nicht davon ausgehen sollten, dass die Implementierung einer anderen Festplattenverschlüsselung wie Microsoft BitLocker machbar wäre. „Eine von Matt empfohlene Umstellung auf ein Unternehmens-Festplattenverschlüsselungsprodukt, insbesondere Bitlocker, ist in unseren Umgebungen anfällig“, sagt Jacobsen.
Diese Ereignisse illustrieren, dass es sehr reale Bedenken hinsichtlich der Ausnutzung von Schwachstellen in Geldautomaten gibt, auch wenn die meisten Angriffe physische Zielsetzung der Geldautomaten erfordern und nicht aus der Ferne ausgeführt werden können. „Um den Angriff durchzuführen, ist physischer Zugang erforderlich, bei dem das obere Teil des Geldautomaten geöffnet, die Festplatte herausgezogen und dann die Inhalte der Festplatte gepatcht werden müssen“, erklärt Burch. „Eine unausgeführte Durchführung wäre nicht einfach zu realisieren. Aber es ist absolut machbar, wenn man weiß, worauf man achten muss.“
Solange Angreifer Erfolg haben und Geld aus Geldautomaten-Abzugsangriffen machen, wird es Defcon-Vorträge über die nächsten Grenzen des Geldautomaten-Hackens geben.
