Abo
  • Services:
Anzeige
Amazon-Chef Jeff Bezos
Amazon-Chef Jeff Bezos (Bild: Shannon Stapleton/Reuters)

XML Signature Wrapping: Bochumer Forscher finden Lücke in Amazon Web Services

Amazon-Chef Jeff Bezos
Amazon-Chef Jeff Bezos (Bild: Shannon Stapleton/Reuters)

Forscher der Ruhr-Universität Bochum konnten sich in Accounts der Amazon Web Services hacken, um Images anzulegen und zu löschen. Auch der Amazon-Shop sei für Cross-Site-Scripting-Angriffe anfällig gewesen.

Forscher der Ruhr-Uni wollen bei den Amazon-Cloud-Diensten eine "massive Sicherheitslücke" gefunden haben. Als Angriffsmethoden wurden Signature Wrapping und Cross Site Scripting eingesetzt. "Anhand unserer Forschungsergebnisse bestätigte Amazon die Sicherheitslücken und schloss sie umgehend", erklärte Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit der Ruhr-Universität.

Anzeige

"Mit verschiedenen Varianten von XML-Signature-Wrapping-Angriffen ist es uns gelungen, die administrativen Rechte eines beliebigen Cloud-Kunden komplett zu übernehmen", so Juraj Somorovsky, ein Mitarbeiter Schwenks. "Somit konnten wir etwa in der Cloud des Opfers neue Instanzen anlegen, Images erstellen oder auch löschen." Die Forscher vermuten, dass viele Cloud-Angebote anfällig gegen Signature-Wrapping-Attacken sind.

Darüber hinaus erklären die Forscher, Lücken im AWS Interface und im Amazon-Shop gefunden zu haben, die dafür geeignet seien, ausführbaren Skriptcode einzuschleusen, um Cross-Site-Scripting-Angriffe auszuführen. "Wir hatten ungehinderten Zugang zu allen Daten des Kunden, darunter Authentifizierungsdaten, Tokens und selbst Passwörter im Klartext", erklärte Mario Heiderich, der ebenfalls zu der Forschergruppe gehört. Das gemeinsame Login berge ein komplexes Gefahrenpotenzial: "Es ist eine Kettenreaktion: Denn eine Sicherheitslücke im komplexen Amazon Shop verursacht immer direkt auch eine Lücke in der Amazon Cloud."

Auch in Eucalyptus, einer Open-Source-Infrastruktur zur Nutzung von Clouds auf Clustern, fanden sich laut Schwenk ähnliche Schwachstellen. "Auf unseren Hinweis bestätigten Amazon und Eucalyptus die Sicherheitslücken und schlossen sie umgehend", sagte er.


eye home zur Startseite
Der ohne Name 25. Okt 2011

...im Amazon-Shop? Wer sowas macht gehört verprügelt.



Anzeige

Stellenmarkt
  1. sonnen GmbH, Wildpoldsried
  2. hmmh multimediahaus AG, Berlin
  3. Unitymedia GmbH, Köln
  4. Robert Bosch GmbH, Ludwigsburg und Tamm


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. ab 219,90€
  3. und Gears of War 4 gratis erhalten

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  2. Sicherheitskonzeption für das App-getriebene Geschäft
  3. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Amazon

    Fire TV erhält neuartigen Startbildschirm

  2. Musikstreaming

    Soundcloud könnte bald Spotify gehören

  3. Online- oder Handyfahrschein

    Ausweiszwang bei der Bahn

  4. Elektroauto

    Volkswagen ID soll bis zu 600 km elektrisch fahren

  5. Sicherheitsrisiko Baustellenampeln

    Grüne Welle auf Knopfdruck

  6. Altiscale

    SAP kauft US-Startup für 125 Millionen US-Dollar

  7. Stiftung Warentest

    Mailbox und Posteo gewinnen Mailprovidertest

  8. Ausrüster

    Kein 5G-Supermobilfunk ohne Glasfasernetz

  9. SpaceX

    Warum Elon Musks Marsplan keine Science-Fiction ist

  10. Blau

    Prepaid-Kunden bekommen deutlich mehr Datenvolumen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Fitbit Charge 2 im Test: Fitness mit Herzschlag und Klopfgehäuse
Fitbit Charge 2 im Test
Fitness mit Herzschlag und Klopfgehäuse
  1. Fitbit Ausatmen mit dem Charge 2
  2. Polar M600 Sechs LEDs für eine Pulsmessung
  3. Fitnessportale Die Spielifizierung des Sports

Forza Horizon 3 im Test: Autoparadies Australien
Forza Horizon 3 im Test
Autoparadies Australien
  1. Die Woche im Video Schneewittchen und das iPhone 7
  2. Forza Motorsport 6 PC-Rennspiel Apex fährt aus der Beta
  3. Microsoft Play Anywhere gilt für alle Spiele der Microsoft Studios

Interview mit Insider: Facebook hackt Staat und Gemeinschaft
Interview mit Insider
Facebook hackt Staat und Gemeinschaft
  1. Systemüberwachung Facebook veröffentlicht Osquery für Windows
  2. Facebook 100.000 Hassinhalte in einem Monat gelöscht
  3. Nach Whatsapp-Datentausch Facebook und Oculus werden enger zusammengeführt

  1. Re: Kein Fire TV 3 dieses Jahr? KwT

    Sybok | 10:15

  2. Re: warum?

    quineloe | 10:15

  3. Re: Tja, das war's dann mit den meisten Bahnfahrten

    My1 | 10:14

  4. Re: Gibt es endlich einen guten Clone der GMAIL...

    dakira | 10:13

  5. Re: Preis

    Epaminaidos | 10:12


  1. 09:17

  2. 07:45

  3. 07:26

  4. 07:12

  5. 07:00

  6. 19:10

  7. 18:10

  8. 16:36


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel