MySQL Passwörter per Schwachstelle schneller abgleichen

Der Hacker Kingcope hat eine weitere Schwachstelle in der Datenbank MySQL beschrieben. Mit Hilfe eines Skripts ließen sich in einem Brute-Force-Angriff bis zu 5.000 Passwörter pro Sekunde auslesen - als unprivilegierter Benutzer.

Anzeige

Brute-Force-Angriffe auf die Datenbank MySQL lassen sich beschleunigen und automatisieren. Das konnte der Hacker Kingcope nachweisen. Er verwendete dabei keine Exploits, sondern lediglich herkömmliche Funktionen der Datenbank. Laut Kingcope handelt es sich um einen kleinen Bug, der bereits dokumentiert ist.

Über den dokumentierten Befehl change_user kann ein unprivilegierter Benutzer einen Kontowechsel vornehmen. Da dieser Befehl deutlich schneller ist als das mehrfache Anmelden bei der Datenbank, nutzte Kingcope sie aus, um Passwortlisten auszuprobieren - sogenannte Brute-Force-Angriffe.

Immer das gleiche Salz in Passwörtern

Da das Salt bei der Passwortüberprüfung über change_user im Gegensatz zur herkömmlichen Anmeldung nicht geändert wird, sei es ein bequemer Weg, um schnell ganze Passwortlisten abzugleichen. Dass MySQL das Salt nicht ändere, sei die eigentliche Schwachstelle, so Kingcope.

In seinen Tests habe er bis zu 5.000 vierstellige Passwörter pro Sekunde über das Netzwerk abgleichen können. Dazu habe er zunächst eine Passwortliste mit John The Ripper erstellen lassen. Mit einem Perl-Skript fütterte er die Datenbank über change_user mit der Passwortliste. Die Ausgabe leitete er in eine Textdatei um. Für den Angriff müsse der Benutzername bekannt sein.

Weitere Schwachstellen gefunden

Erst vor wenigen Tagen hatte Kingcope mehrere Exploits veröffentlicht, mit denen sich unprivilegierte Benutzer Root-Rechte zu MySQL-Datenbanken verschaffen können. Außerdem gibt es eine Schwachstelle, über die gültige Benutzernamen für eine MySQL-Datenbank herausgefunden werden können.

Kommentarübersicht
Re: OMFG, Brute-Force funktioniert bei MySQL...
xviper 04. Dez 2012

Bei vielen Installationen sollte eine Liste der 10000 beliebtesten Passwörter reichen...

Kommentieren

Trackbacks
Anzeige
Stellenmarkt
  1. Datenbankadministrator (m/w)
    ABLE Management Services GmbH, Gummersbach
  2. Softwareentwickler (m/w) für C# / .NET
    antauris AG, Hamburg
  3. W2-Professur für Wirtschaftsinformatik
    Hochschule Ruhr West, Bottrop und Mülheim an der Ruhr
  4. Programmierer / Fachinformatiker (m/w)
    TKgesundheit GmbH, Hamburg

 

Detailsuche

Folgen Sie uns
       
Videos
The Crew - Interview und Gameplay (E3 2013) The Crew - Interview und Gameplay (E3 2013)
Ticker
  1. Intel MIC

    Xeon Phi in neuen und kompakten Formen

  2. Ex-US-Vizepräsident

    Cheney verdächtigt Edward Snowden der Spionage für China

  3. Systemtool

    CPU-Z für Android zeigt Takt und Systemdaten

  4. Opt-out-Zwang

    Großbritannien führt ab 2014 Pornofilter für alle ein

  5. Gearbox vs 3D Realms

    Millionenstreit um Duke Nukem Forever

  6. ISC 2013

    Telekom und Alcatel-Lucent zeigen 400 GBit/s

  7. Eco

    EU streicht Gelder für Bekämpfung von Kinderpornografie

  8. Watch Dogs

    Der Sysadmin-Alptraum

  9. Formfaktor M.2

    PCIe-SSD von Samsung für Ultrabooks mit 1,4 GByte/s

  10. Xbox One

    340.000 Asteroiden aus der Cloud

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Automobil
Haltbarkeitsprüfung: Ford testet Autos mit Roboterfahrern
Haltbarkeitsprüfung
Ford testet Autos mit Roboterfahrern

Ford will mit Hilfe von Robotern künftig die Haltbarkeit seiner Fahrzeuge testen und lässt sie auf einem abgesperrten Testgelände ans Steuer. Für menschliche Testfahrer wären die Tests zu anstrengend, meint Ford.

  1. Patentanträge Apple will Autos mit dem iPhone steuern und finden
  2. SUV Mercedes mit Laserprojektor für Autokino auf der Straße
The Crew
The Crew angespielt: Knapp zwei Stunden von Küste zu Küste
The Crew angespielt
Knapp zwei Stunden von Küste zu Küste

E3 2013 Die USA als offene und persistente Spielewelt, High-End-Grafik und Unterstützung für mobile Endgeräte sollen The Crew zum Rennspiel der nächsten Generation machen. Golem.de ist schon mal Probe gefahren.

  1. Ubisoft Gitarrenriffs, Hacker und infiziertes Geld
Open Data
Open Data: Teure Hochwasserdaten
Open Data
Teure Hochwasserdaten

Expensive Data: Ein Blogger aus Sachsen-Anhalt wollte mit hochauflösenden Karten der Überschwemmung die Hilfsmaßnahmen erleichtern. Auf Open Data hoffte er aber vergeblich: Für die Daten des Zentrums für Satellitengestützte Kriseninformation sollte er 800 Euro bezahlen.

  1. PSI-Richtlinie EU-Parlament verabschiedet neue Open-Data-Richtlinie
  2. Doc Patch Das Grundgesetz wird Open Data
  3. Open Data Map Dokumentieren, was fehlt
Forumsbeiträge »
  1. Watch Dogs Der Sysadmin-Alptraum

    Re: Das witzige ist, ...

    MrReset | 07:58

  2. Intel MIC Xeon Phi in neuen und kompakten Formen

    Re: Wollte die NSA nicht auch?

    streppel | 07:52

  3. Intel MIC Xeon Phi in neuen und kompakten Formen

    Re: Was das denn?

    streppel | 07:50

  4. Ex-US-Vizepräsident Cheney verdächtigt Edward Snowden der Spionage für China

    Re: Ganz unrecht hat er nicht...

    Endwickler | 07:49

  5. Opt-out-Zwang Großbritannien führt ab 2014 Pornofilter für alle ein

    Absolut richtig

    mhrt1986 | 07:48

Ticker »
  1. Intel MIC Xeon Phi in neuen und kompakten Formen

    19:18

  2. Ex-US-Vizepräsident Cheney verdächtigt Edward Snowden der Spionage für China

    18:28

  3. Systemtool CPU-Z für Android zeigt Takt und Systemdaten

    18:04

  4. Opt-out-Zwang Großbritannien führt ab 2014 Pornofilter für alle ein

    17:22

  5. Gearbox vs 3D Realms Millionenstreit um Duke Nukem Forever

    16:38

  6. ISC 2013 Telekom und Alcatel-Lucent zeigen 400 GBit/s

    15:52

  7. Eco EU streicht Gelder für Bekämpfung von Kinderpornografie

    13:46

  8. Watch Dogs Der Sysadmin-Alptraum

    12:47

Zum Artikel