IXP Data og EasyInstall omtalt i Version 2

/in /by

Version 2 omtaler EasyInstall med kæmpe hul, hvilket vi mener er lidt af en overdrivelse.

EasyInstall blev udsat for en grundig sikkerhedsgennemgang i november 2019 af Improsec, og der blev fundet 6 sikkerhedssårbarheder.

IXP Data blev via e-mail gjort opmærksom på sikkerhedssårbarheden d. 11. november 2019, og blot 4 dage efter d. 15. november 2019 frigav vi en ny version af EasyInstall 6.3.101, hvor alle nedenstående punkter var rettet.

Disse rettelser blev samme dag, dvs. 15. november 2019 offentliggjort i vores produkt change log som er tilgængelig på vores hjemmeside for alle kunder.

Disse sikkerhedssårbarheder var som følger:

1)
Hvis EasyInstall er installeret i et workgroup miljø (som kun 2 af vores kunder anvender), skal EasyInstall-administratoren logge ind i EasyInstall Administratorkonsollen med sit eget brugernavn og password (og ikke som omtalt med en Administrator konto). I denne situation blev password desværre sendt i klar tekst til serveren.

Dette er selvfølgelig løst, alle login kontoinformationer sendes fremover altid krypteret.

Alle andre kunder har deres EasyInstall miljø i et Microsoft Active Directory domain, og her anvendes single sign-on og ingen form for passwords sendes til serveren.

2)
Man kunne med en special browser, bevæge sig udenfor EasyInstalls arbejdeområde på selve EasyInstall serveren men kun inden for samme fysiske disk.
EasyInstall installeres altid på en dedikeret disk kun tiltænkt EasyInstall, så derfor har man aldrig med denne teknik kunne komme til andre systemer.

Problemet er løst, det er nu ikke længere muligt at bevæge sig uden for EasyInstalls arbejdsområde.

3)
EasyInstall have en indbygget konfigurationsindstilling til at disable og enable UAC (User Access Control) på kundes IT-arbejdsplads, da mange af vores kunder ønskede denne funktionalitet i forbindelse med Windows Vista og Window7. Som standard var denne konfigurationsindstilling ikke aktiveret.

Vi har nu helt fjernet denne konfigurationsindstilling, da vi ikke ønsker at opfordre til at UAC disables. Vi har ligeledes indbygger en ny alarm type – hvis UAC disables på brugernes IT-arbejdspladser.

4)
Brugergruppen ’Users’ havde fuld share rettigheder til EasyInstalls hoved share, men hele EasyInstall systemet var og er fuldt beskyttet med korrekt NTFS-fil rettigheder, som automatisk vedligeholdes af EasyInstall selv. Så længe Users ikke har rettigheder på fil niveau udgør det i sig selv ingen sikkerhedsrisiko.

Det ser selvfølge ikke pænt ud med Users og fulde share rettigheder, det har vi ændret, så det kun er en navngiver EasyInstall system bruger der har fuld adgang på share niveau.

5)
Det var muligt for en almindelig bruger på en Windows klient at ændre i software pakkers lokale brugerscripts. Disse scripts afvikles kun i brugerens sikkerhedskontekst, og kan derfor ikke foretage systemændringer eller lignede.

Det er er ændret, så det kun er EasyInstall der kan fortage ændringer i disse filer, hverken brugere eller lokale administratorer kan foretage ændringer. Derudover vil EasyInstall automatisk slette tidligere user scripts som ikke er oprettet af EasyInstall.

6)
Det var muligt via en hel special designet tcp/ip pakke at sende en kommando til EasyInstall Agenten uden Windows firewall, som så ville udføre denne kommando under LocalSystem. Dette kunne selvfølgelig udgøre en sikkerhedsrisiko.

Problemet er løst, det er ikke længere muligt at sende en kommando direkte til klienterne, alle kommandoer hentes fra og verificeret af EasyInstall serveren.

ooo00ooo

Vi er selvfølgelig glade for, at EasyInstall er blevet gennemgået og gennemtestet af et professionelt IT-sikkerhedsfirma. Vi er meget tilfredse med, at der kun blev fundet 6 sikkerhedsårbarheder, når man tænker på, at det er et produktet der har snart 20 år på bagen.

Vi har ikke modtaget oplysninger om kunder – der har fået udnyttet disse sårbarheder.

Vi siger tak til Improsec for deres professionelle tilgang.

Vi frigiver løbende opdateringer til EasyInstall med forbedringer, sikkerhedsopdateringer og nye funktioner, og vi anbefaler at man altid opdaterer til seneste version som et hvert andet softwareprogram anbefaler.

Vi vil understrege, at vores kunder kan være helt sikre og trygge ved at benytte EasyInstall.

Har du nogle spørgsmål er du velkommen til at kontakte os.

Med venlig hilsen

Jan F. Jakobsen
CEO

IXP Data