Abo
  • Services:
Anzeige
Amazon-Chef Jeff Bezos
Amazon-Chef Jeff Bezos (Bild: Shannon Stapleton/Reuters)

XML Signature Wrapping: Bochumer Forscher finden Lücke in Amazon Web Services

Amazon-Chef Jeff Bezos
Amazon-Chef Jeff Bezos (Bild: Shannon Stapleton/Reuters)

Forscher der Ruhr-Universität Bochum konnten sich in Accounts der Amazon Web Services hacken, um Images anzulegen und zu löschen. Auch der Amazon-Shop sei für Cross-Site-Scripting-Angriffe anfällig gewesen.

Forscher der Ruhr-Uni wollen bei den Amazon-Cloud-Diensten eine "massive Sicherheitslücke" gefunden haben. Als Angriffsmethoden wurden Signature Wrapping und Cross Site Scripting eingesetzt. "Anhand unserer Forschungsergebnisse bestätigte Amazon die Sicherheitslücken und schloss sie umgehend", erklärte Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit der Ruhr-Universität.

Anzeige

"Mit verschiedenen Varianten von XML-Signature-Wrapping-Angriffen ist es uns gelungen, die administrativen Rechte eines beliebigen Cloud-Kunden komplett zu übernehmen", so Juraj Somorovsky, ein Mitarbeiter Schwenks. "Somit konnten wir etwa in der Cloud des Opfers neue Instanzen anlegen, Images erstellen oder auch löschen." Die Forscher vermuten, dass viele Cloud-Angebote anfällig gegen Signature-Wrapping-Attacken sind.

Darüber hinaus erklären die Forscher, Lücken im AWS Interface und im Amazon-Shop gefunden zu haben, die dafür geeignet seien, ausführbaren Skriptcode einzuschleusen, um Cross-Site-Scripting-Angriffe auszuführen. "Wir hatten ungehinderten Zugang zu allen Daten des Kunden, darunter Authentifizierungsdaten, Tokens und selbst Passwörter im Klartext", erklärte Mario Heiderich, der ebenfalls zu der Forschergruppe gehört. Das gemeinsame Login berge ein komplexes Gefahrenpotenzial: "Es ist eine Kettenreaktion: Denn eine Sicherheitslücke im komplexen Amazon Shop verursacht immer direkt auch eine Lücke in der Amazon Cloud."

Auch in Eucalyptus, einer Open-Source-Infrastruktur zur Nutzung von Clouds auf Clustern, fanden sich laut Schwenk ähnliche Schwachstellen. "Auf unseren Hinweis bestätigten Amazon und Eucalyptus die Sicherheitslücken und schlossen sie umgehend", sagte er.


eye home zur Startseite
Der ohne Name 25. Okt 2011

...im Amazon-Shop? Wer sowas macht gehört verprügelt.



Anzeige

Stellenmarkt
  1. über Baumann Unternehmensberatung AG, Raum Stuttgart
  2. operational services GmbH & Co. KG, Frankfurt
  3. Diehl Comfort Modules, Hamburg
  4. operational services GmbH & Co. KG, Wolfsburg


Anzeige
Top-Angebote
  1. 399,00€ inkl. Versand
  2. 28,70€ zzgl. USK-18-Versand

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Kritische Bereiche der IT-Sicherheit in Unternehmen
  2. Mit digitalen Workflows Geschäftsprozesse agiler machen
  3. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie


  1. Werne

    Adventsstreik bei Amazon brachte Verkehrsstau

  2. Syndicate (1993)

    Vier Agenten für ein Halleluja

  3. Nintendo

    Super Mario Run für iOS läuft nur mit Onlineverbindung

  4. USA

    Samsung will Note 7 in Backsteine verwandeln

  5. Hackerangriffe

    Obama will Einfluss Russlands auf US-Wahl untersuchen lassen

  6. Free 2 Play

    US-Amerikaner verzockte 1 Million US-Dollar in Game of War

  7. Die Woche im Video

    Bei den Abmahnanwälten knallen wohl schon die Sektkorken

  8. DNS NET

    Erste Kunden in Sachsen-Anhalt erhalten 500 MBit/s

  9. Netzwerk

    EWE reduziert FTTH auf 40 MBit/s im Upload

  10. Rahmenvertrag

    VG Wort will mit Unis neue Zwischenlösung für 2017 finden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Steep im Test: Frei und einsam beim Bergsport
Steep im Test
Frei und einsam beim Bergsport
  1. PES 2017 Update mit Stadion und Hymnen von Borussia Dortmund
  2. Motorsport Manager im Kurztest Neustart für Sportmanager
  3. NBA 2K17 10.000 Schritte für Ingame-Boost

Gigaset Mobile Dock im Test: Das Smartphone wird DECT-fähig
Gigaset Mobile Dock im Test
Das Smartphone wird DECT-fähig

Civilization: Das Spiel mit der Geschichte
Civilization
Das Spiel mit der Geschichte
  1. Civilization 6 Globale Strategie mit DirectX 12
  2. Take 2 GTA 5 saust über die 70-Millionen-Marke
  3. Civilization 6 im Test Nachhilfestunde(n) beim Städtebau

  1. Re: Vorallem was Heise macht finde ich genial (LG...

    Sumpfdotterblume | 14:44

  2. Re: Macht wenig Sinn

    crazypsycho | 14:39

  3. Re: Verizon will also Verursacher sein

    ChMu | 14:33

  4. Re: Super Mario Run bereits jetzt spielen

    Nielz | 14:29

  5. So ein Quatsch

    Mopsmelder500 | 14:26


  1. 13:54

  2. 09:49

  3. 17:27

  4. 12:53

  5. 12:14

  6. 11:07

  7. 09:01

  8. 18:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel