Abo
  • Services:
Anzeige
Amazon-Chef Jeff Bezos
Amazon-Chef Jeff Bezos (Bild: Shannon Stapleton/Reuters)

XML Signature Wrapping: Bochumer Forscher finden Lücke in Amazon Web Services

Amazon-Chef Jeff Bezos
Amazon-Chef Jeff Bezos (Bild: Shannon Stapleton/Reuters)

Forscher der Ruhr-Universität Bochum konnten sich in Accounts der Amazon Web Services hacken, um Images anzulegen und zu löschen. Auch der Amazon-Shop sei für Cross-Site-Scripting-Angriffe anfällig gewesen.

Forscher der Ruhr-Uni wollen bei den Amazon-Cloud-Diensten eine "massive Sicherheitslücke" gefunden haben. Als Angriffsmethoden wurden Signature Wrapping und Cross Site Scripting eingesetzt. "Anhand unserer Forschungsergebnisse bestätigte Amazon die Sicherheitslücken und schloss sie umgehend", erklärte Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit der Ruhr-Universität.

Anzeige

"Mit verschiedenen Varianten von XML-Signature-Wrapping-Angriffen ist es uns gelungen, die administrativen Rechte eines beliebigen Cloud-Kunden komplett zu übernehmen", so Juraj Somorovsky, ein Mitarbeiter Schwenks. "Somit konnten wir etwa in der Cloud des Opfers neue Instanzen anlegen, Images erstellen oder auch löschen." Die Forscher vermuten, dass viele Cloud-Angebote anfällig gegen Signature-Wrapping-Attacken sind.

Darüber hinaus erklären die Forscher, Lücken im AWS Interface und im Amazon-Shop gefunden zu haben, die dafür geeignet seien, ausführbaren Skriptcode einzuschleusen, um Cross-Site-Scripting-Angriffe auszuführen. "Wir hatten ungehinderten Zugang zu allen Daten des Kunden, darunter Authentifizierungsdaten, Tokens und selbst Passwörter im Klartext", erklärte Mario Heiderich, der ebenfalls zu der Forschergruppe gehört. Das gemeinsame Login berge ein komplexes Gefahrenpotenzial: "Es ist eine Kettenreaktion: Denn eine Sicherheitslücke im komplexen Amazon Shop verursacht immer direkt auch eine Lücke in der Amazon Cloud."

Auch in Eucalyptus, einer Open-Source-Infrastruktur zur Nutzung von Clouds auf Clustern, fanden sich laut Schwenk ähnliche Schwachstellen. "Auf unseren Hinweis bestätigten Amazon und Eucalyptus die Sicherheitslücken und schlossen sie umgehend", sagte er.


eye home zur Startseite
Der ohne Name 25. Okt 2011

...im Amazon-Shop? Wer sowas macht gehört verprügelt.



Anzeige

Stellenmarkt
  1. VITRONIC Dr.-Ing. Stein Bildverarbeitungssysteme GmbH, Wiesbaden
  2. Robert Bosch GmbH, Stuttgart-Feuerbach
  3. über Ratbacher GmbH, Frankfurt am Main
  4. FILIADATA GmbH, Karlsruhe


Anzeige
Top-Angebote
  1. 3,99€
  2. 7,99€
  3. 39,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Wacoms Intuos Pro Paper im Test

    Weg mit digital, her mit Stift und Papier!

  2. Lieferwagen

    Elektro-Lkw von MAN sollen in Städten fahren

  3. Knirschen und Klemmen

    Macbook Pro 2016 mit Tastaturproblemen

  4. Mobiler Startplatz

    UPS-Lieferwagen liefert mit Drohne Pakete aus

  5. WLAN to Go

    Telekom-Hotspots waren für Fremdsurfer anfällig

  6. Hoversurf

    Hoverbike Scorpion-3 ist ein Motorradcopter

  7. Rubbelcard

    Freenet-TV-Guthabenkarten gehen in den Verkauf

  8. Nintendo

    Interner Speicher von Switch offenbar schon jetzt zu klein

  9. Noch 100 Tage

    Unitymedia schaltet Analogfernsehen schrittweise ab

  10. Routerfreiheit

    Tagelange Störung bei Aktivierungsportal von Vodafone



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Merkels NSA-Vernehmung: Die unerträgliche Uninformiertheit der Kanzlerin
Merkels NSA-Vernehmung
Die unerträgliche Uninformiertheit der Kanzlerin
  1. US-Präsident Zuck it, Trump!
  2. Begnadigung Danke, Chelsea Manning!
  3. Glasfaser Nun hängt die Kabel doch endlich auf!

Apple: Planet der affigen Fernsehshows
Apple
Planet der affigen Fernsehshows
  1. Streaming Vodafone GigaTV ermöglicht Fernsehen unterwegs
  2. Kabelnetz Unitymedia hat neue Preise für Internetzugänge
  3. Deutsche TV-Plattform über VR "Ein langer Weg vom Wow-Effekt zum dauerhaften Format"

Mobile-Games-Auslese: Schiffbruch auf der Milchstraße für mobile Spieler
Mobile-Games-Auslese
Schiffbruch auf der Milchstraße für mobile Spieler

  1. Re: Kapitalismusbedenken

    Doedelf | 09:31

  2. Re: Obwohl genug Stellen frei sind schaffen es...

    dabbes | 09:31

  3. Re: Biete Job für Linux-Profi in Bremen

    Niaxa | 09:31

  4. Sammelthema: Essen am Computer

    sp1derclaw | 09:30

  5. Re: Da sind aber einige unzufrieden, wenn sie...

    theFiend | 09:29


  1. 09:07

  2. 07:31

  3. 07:22

  4. 07:13

  5. 05:30

  6. 18:30

  7. 18:14

  8. 16:18


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel