20C3: SAP verstÀrkt im Visier der Sicherheitstester
Die Gruppe "Phenoelit" demonstrierte auf dem Hackertreff in Berlin umfassende Schwachstellen in Internet-Servern der Walldorfer in Verbindung mit Windows-Systemen.
Sicherheitsexperten der Gruppe Phenoelit [1] fĂŒhrten auf dem Hackertreff 20C3 [2] in Berlin umfangreiche Schwachstellen im Internet Transaction Server und im Web Application Server von SAP [3] in Verbindung mit gĂ€ngigen Windows-Betriebssystemen vor. Die Programmierer haben dazu auch einen Exploit, eine Demo-Software der SicherheitslĂŒcken, auf ihrer Website veröffentlicht [4]. Das Programm nutzt ferngesteuert vier Buffer Overflows in einem unter Windows laufenden SAP-Server.
Dabei wird beispielsweise das Eingabefeld fĂŒr Inhalte im gĂ€ngigen Webprotokoll http kompromittiert und in einem zweiten Schritt auch der als Middleware fungierende AGAte-Dienst von SAP fernsteuerbar. Der wiederum kommuniziert mit dem komplexen Warenwirtschaftssystem R/3 der Walldorfer im Hintergrund. "Man kann dann einfach Mitarbeiter feuern", malte das unter dem Pseudonym "FX" auftretende Mitglied von Phenoelit eine der möglichen Folgen aus.
Vergleichbare Verwundbarkeiten weist der Applikations-Server von SAP auf, sodass Angreifer auch die fĂŒr zahlreiche Webshops eingesetzte Lösung mySAP [5] attackieren können. Es sei möglich, erlĂ€uterte FX, den gesamten Mittelbau von darauf beruhenden Online-GeschĂ€ften zu kontrollieren: "Euch gehört die gesamte Maschine", stellte der Programmierer der staunenden Sicherheitsgemeinde vor Augen. Die Angreifer könnten damit "alles machen, was ihr wollt". Also etwa dem Lieblingspolizisten Tausende von Luxusartikeln bestellen oder sich einfach unbemerkt umfangreiches Material fĂŒrs eigene Data Mining verschaffen. Die Angreifbarkeit der SAP-Systeme beruht unter anderem auf SchwĂ€chen in Microsoft Windows. Unter Linux laufende Server-Versionen der Walldorfer sind bisher nicht von den Sicherheitsproblemen betroffen.
FX hat auch beim AufspĂŒren und Demonstrieren der auch auf Buffer Overflows beruhenden Windows-Verwundbarkeiten [6] ganze Arbeit geleistet und in 379 Zeilen Perl ein Skript geschrieben, das Unicode-Adressraumprobleme in Microsoft-Systemen sowie darauf basierende Möglichkeiten zum Produzieren "kontrollierter" AbstĂŒrze von Windows-Applikationen nutzt. Vorgearbeitet hatten dem Hacker vor allem die amerikanischen Sicherheitsexperten Chris Anley und Dave Aitel, die anhand von Unicode-Fehlern in Windows dem System einen so genannten Jalousien-Code unterjubeln. FX hat die vorliegenden und beispielsweise von Anley im Web veröffentlichten AnsĂ€tze (PDF-Datei [7]) durch die Ăberarbeitung einiger Befehle deutlich raffinierter gemacht, sodass die Programmroutine nach seinen Angaben auf einer Maschine mit einem Gigabyte Arbeitsspeicher nur 30 Sekunden in Anspruch nimmt und somit keinen Alarm bei Systemadministratoren auslösen sollte.
Auf SAP dĂŒrften im kommenden Jahr noch einige andere Sicherheitsprobleme zukommen. Die gewisse Schonzeit, welche den Walldorfern die KomplexitĂ€t und Intransparenz ihrer R/3-Standardsoftware gebracht hat, ist vorbei, sind sich die Sicherheitsexperten einig. Neben Phenoelit "basteln auch einige andere Gruppen daran", die sich aus der VerknĂŒpfung von immer mehr Warenwirtschaftssystemen mit dem Internet ergebenden "saftigen Ziele" intensiven SicherheitsprĂŒfungen zu unterziehen, betont Frank Rieger vom Chaos Computer Club (CCC [8]). Das lĂ€ge auch daran, dass viele Informatiker angesichts der Branchenflaute Fortbildungen fĂŒr SAP-Systeme absolviert hĂ€tten. Es sei beispielsweise durchaus auch denkbar, dass die R/3-Sprache ABAP (Advanced Business Application Programming) 2004 verstĂ€rkt von Virenschreibern genutzt werde. SAP werde wohl oder ĂŒbel seine SicherheitsbemĂŒhungen [9] und vor allem seine Informationspolitik verbessern mĂŒssen. FĂŒr FX ist die Lehre aus dem SAP-Exploit jedenfalls klar: "Nur weil eine Plattform obskur ist und eine Menge undokumentierter Sachen benutzt, bedeutet das nicht, dass sie nicht kompromittierbar ist."
Zum 20. Chaos Communication Congress siehe auch:
- Wahlmaschinen-Massaker und Blinkenlights mit Kontinenten [10]
- "Lesemaschine" fĂŒrs Parlament [11]
- Unfreiwillige Neujahrs- und Friedensbotschaften im Web [12]
- Trusted Computing soll Farbe bekennen [13]
- Proteste gegen Funkchips in PĂ€ssen [14]
- JubilÀums-Hackertreff startet mit Bugs [15]
- 20 Jahre Chaos, Kommunikation und Hackermythen [16] in Telepolis
- Not A Number [17] -- Website des 20C3
(Stefan Krempl) / (jk [18])
URL dieses Artikels:
https://www.heise.de/-90923
Links in diesem Artikel:
[1] http://www.phenoelit.de/
[2] http://www.ccc.de/congress/2003/
[3] http://www.sap.de/
[4] http://www.phenoelit.de/whatSAP/
[5] http://www.sap.com/germany/solutions/erp/
[6] http://www.phenoelit.de/stuff/Phenoelit20c3.pdf
[7] http://www.nextgenss.com/papers/unicodebo.pdf
[8] http://www.ccc.de/
[9] https://www.heise.de/news/Softwarefirmen-betreten-Neuland-bei-IT-Sicherheit-71495.html
[10] https://www.heise.de/news/20C3-Wahlmaschinen-Massaker-und-Blinkenlights-mit-Kontinenten-90911.html
[11] https://www.heise.de/news/20C3-Lesemaschine-fuers-Parlament-90895.html
[12] https://www.heise.de/news/20C3-Unfreiwillige-Neujahrs-und-Friedensbotschaften-im-Web-90879.html
[13] https://www.heise.de/news/20C3-Trusted-Computing-soll-Farbe-bekennen-90873.html
[14] https://www.heise.de/news/20C3-Proteste-gegen-Funkchips-in-Paessen-90855.html
[15] https://www.heise.de/news/20C3-Jubilaeums-Hackertreff-startet-mit-Bugs-90851.html
[16] http://www.heise.de/tp/deutsch/inhalt/konf/16412/1.html
[17] http://www.ccc.de/congress/2003/
[18] mailto:jk@heise.de
Copyright © 2003 Heise Medien