Contact
QR code for the current URL

Story Box-ID: 915891

secuvera GmbH Siedlerstr.22-24 71126 Gäufelden/Stuttgart, Germany https://www.secuvera.de
Contact Tobias Glemser 07032/9758-15
Company logo of secuvera GmbH

Mehrere Schwachstellen im Microsoft Wireless Display Adapter entdeckt

Eine Schwachstelle durch Microsoft behoben, andere sind prinzipbedingt vorhanden

(PresseBox) (Stuttgart/Gäufelden, )
Mit dem Microsoft Wireless Display Adapter lassen sich Bild und Ton auf sehr einfache Weise auf Monitore mit HDMI-Eingang übertragen. Die Adapter können ohne Zusatzsoftware von aktuellen Windowssystemen genutzt werden, die Qualität ist sehr ordentlich, die Einbindung in eine IT-Infrastruktur ist nicht notwendig. In Summe ein ideales Produkt z. B. für den Einsatz in Besprechungsräumen.

Als Sicherheitselement gibt es die Möglichkeit, vor dem erstmaligen Verbinden eines neuen Geräts eine PIN anzuzeigen, die dann am Endgerät eingegeben werden muss. Zumindest für diesen Fall muss der Adapter aktiv und der entsprechende Bildschirm in Sichtweite sein.

Während eines Researchprojekts haben Mitarbeiter der secuvera GmbH den Adapter näher angesehen und dabei diverse Schwachstellen entdeckt. Microsoft wurde im März über die Schwachstellen informiert und hat zumindest eine Schwachstelle Anfang Juli durch ein Firmwareupdates behoben (CVE-2018-8306). Andere Schwachstellen sind grundsätzlicher Natur und bestehen prinzipbedingt weiterhin.

Die Schwachstellen erlauben es
  • beliebige Befehle auf dem Microsoft Wireless Display Adapter auszuführen,
  • Authentisierungsmerkmale umgehen und
  • eine „Evil-Twin“ Attack. D.h. ein Angreifer „gaukelt“ einem Nutzer den Microsoft Wireless Display Adapter vor und leitet die Bild- und Ton-Daten über sein eigenes Gerät auf den Bildschirm. Dabei kann er alle Inhalte sehen und mitschneiden. Das Opfer merkt davon nichts.
Alle technischen Details finden sich im Advisory secuvera-SA-2018-03.

Website Promotion

Website Promotion
secuvera Webseite

secuvera GmbH

Seit 1992 ist secuvera vom Bundesamt für Sicherheit in der Informationstechnik zertifizierte Prüfstelle. Gleichzeitig wurde die Beratung bei der Einführung und Aufrechterhaltung von Informationssicherheitsmanagementsystemen auf Basis von Standards ein wichtiges Standbein. Dies mündete in der erfolgreichen Prüfung zum BSI-zertifizierten Sicherheitsdienstleister IS-Revision/ Grundschutz.

Penetrationstests führt secuvera seit dem Jahr 2000 erfolgreich durch. Als zweites Unternehmen überhaupt ist secuvera für diesen Bereich ebenfalls BSI-zertifizierter IT-Sicherheitsdienstleister und unterstützt das OWASP German Chapter.

Bei den Zertifizierungen überprüft das BSI unabhängig die Zuverlässigkeit und Unabhängigkeit der Firma, als auch die Fachkompetenz der Mitarbeiter.

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.