Skyfall – ein wichtiger SAP Exploit

Vor kurzem hat die Heidelberger SAP-Sicherheitsfirma Virtual Forge in einem Beitrag mit der Süddeutschen Zeitung einen neuen SAP Exploit öffentlich gemacht, der den dramatischen Namen „Skyfall“ bekommen hat, nach dem gleichnamigen James Bond Film.
Es geht hier um die Kombination mehrerer Sicherheitsprobleme, die sich aus einer ungesicherten Verbindung (http vs https), einem zentralen Download-Server in Walldorf, der Verwendung von Check-Summen bei Downloads und einer Problematik im Bereich Zertifikate und TLS zusammen setzen. Jede einzelne Problematik ist kritisch, aber das Zusammenspiel mehrerer Lücken ist hier der Brandbeschleuniger bei der Kritikalität.

Hinzu kommt, dass solch ein Angriff nicht nur technisch komplex ist, sondern auch Zugriff auf zentrale Infrastrukturen des WWW benötigt. Während ein einsamer Hacker dies nicht hat, können große Player im Cyber-Crime diese Lücken ausnutzen, seien es geopolitische Angreifer oder gut ausgestattete Cyber-Kriminelle.

Die Kombination von Kritikalität, Gelegenheit und technologische Fähigkeiten zeigen, dass – wenn dieses Scenario ausgenutzt wird – man hier es mit sehr ernst zu nehmenden Gegnern und Qualitäten des Angriffs zu tun hat.

Die ersten Meldungen zu einer größeren Sicherheitslücke im Bereich SAP-Security kamen zum 1. April, so dass man zweimal hinsehen musste, um zu erkennen, dass die Veröffentlichung in der Süddeutschen Zeitung schon einen Tag vorher war.

Skyfall – Originaltext aus Süddeutscher Zeitung

Andreas Wiegenstein, CTO von Virtual Forge, hat diese Sicherheitslücke zusammen mit Forschern der Fachhochschule Münster in die Öffentlichkeit gebracht.
Ich habe Andreas Wiegenstein ein paar Tage später in Heidelberg getroffen, nicht nur wegen diesem Artikel, sondern auch, weil meine Firma log(2) Partner der Virtual Forge im Bereich SAP Sicherheit ist.
Das ganze sollte weder den Charakter eines Interviews noch eines hinter vorgehaltener Hand weitergegebenes Zero-Day-Exploits sein. Es ist wichtig, das man solche Lücken objektiv betrachtet, gewichtet und an SAP-Kunden weiter gibt. Und es ist auch wichtig, das man die Aufregung, den Hype aus diesen Themen nimmt, um einen sachlichen Blick auf effektive Gefährdung und gegebener Dringlichkeit zu erhalten.
Auf der einen Seite nehmen Kunden wichtige Sicherheitslücken gar nicht mehr war oder haben Schwierigkeiten, diese in einem Kontext einzuordnen. Auf der Jagd nach Aufmerksamkeit und Ehrgeiz, auf die monatlichen Top-10 der gefundenen SAP-Exploits zu kommen, schießen einige Security Researcher über das Ziel hinaus und es wird jede auch noch so kleine Lücke aufgebauscht.

Ich sehe die Aufgabe – und damit bin ich mir mit Andreas Wiegenstein einig – die Aufregung aus heraus zu nehmen, aber auf der anderen Seite auf wirkliche Probleme aufmerksam zu machen und diese eben nicht in der allgemeinen SAP-Security-Hype untergehen zu lassen.
Technisch gesehen wurde der Exploit schon auf der Troopers-Konferenz 2016 in Heidelberg beschrieben. Die Materialien zu diesem Vortrag sind unter diesem Link „Patch me if you can“ einsehbar.

Trooper Event PPT : Patch me if you can

Damian Poddebniak, Forschungsassistent an der FH Münster, Prof. Dr. Sebastian Schinzel, Professor für Computersicherheit an der FH Münster und Andreas Wiegenstein, CTO der Virtual Forge GmbH haben dieses Thema gemeinsam erarbeitet.
Wen es technisch interessiert, der sollte sich diesen Vortrag sehr genau ansehen. Für den technisch versierten Sicherheits-Spezialisten wird es schnell klar sein, wie das alles zusammen spielt. Um nicht unnötig Begehrlichkeiten zu wecken, sehe ich hier von einer detaillierten Beschreibung und Erklärung ab, die auch sicherlich den Rahmen eines Blogs sprengen würde. Wer es detaillierter erklärt haben möchte, kann gerne mich direkt kontaktieren und wir können einen Termin machen.
Interessant sind vor allem zwei Aspekte, bei denen ich auch zugeben muss, das ich darauf herein gefallen wäre: (Seite 25 im Vortrag)

skyfall_1ppt

Gerade der Verbindungsaufbau (und wenn es auch nur initial ist) mit http ist immer ein Problem. Und doch – aus Bequemlichkeit – macht jeder von uns diesen Fehler. Bei einer Wifi-Man-In-The-Middle-Attack (MITM) kompromittiere ich unter Umständen mein Passwort (bei amazon oder meiner Bank), in einem Unternehmen öffne ich damit eine komplette Flanke .
Zum anderen die Arbeit mit SAPCAR nach einem solchen Download – Welcher SAP-Administrator hat jemals nach einem Download aus dem SAP Marketplace das Paket auf Konsistenz und Integrität mit der Checksum-Methode geprüft?

skyfall_2ppt

Bei „Skyfall gibt es noch sehr viel mehr Themen zu diskutieren und in dieser Vulnerability zeigt sich, wie viele Fehler aus Bequemlichkeit, aus Historie oder aus Nicht-Wissen sich aufsummieren zu einer sehr kritischen Sicherheitslücke.
Beheben lässt diese Lücke sich vielfältig. Das beginnt mit der obligatorischen Sicherstellung, dass nur https und eine sichere Zertifikatsfolge in jeglicher Kommunikation verwendet wird. Häufiges Ändern des Passwortes und verschiedene Passwörter für verschiedene Systeme sind eine weitere Selbstverständlichkeit. Und auch die Auseinandersetzung mit dem Thema Verschlüsselung und Zertifikate im Bereich https sind immer wiederkehrende Elemente, die eine Grundsicherheit gewährleisten. Auch ein allgemeines Misstrauen gegenüber „alteingesessenen“ Prozeduren und z.B. ein Überprüfen aller Downloads mit einer Quersumme sind weitere Bausteine in der Erhöhung von Sicherheit. .
Alleine schon durch das Schließen dieser Lücken hat man nicht nur mehr Sicherheit geschaffen, sondern verringert auch die Wahrscheinlichkeit eines Angriffs. Denn ein Angreifer wird sich erst einmal die Unternehmen heraus suchen, die gar keine Sicherheitsmaßnahmen haben. Denn die machen es dem Angreifer am einfachsten.

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen