Abo
  • Services:
Anzeige
Amazon-Chef Jeff Bezos
Amazon-Chef Jeff Bezos (Bild: Shannon Stapleton/Reuters)

XML Signature Wrapping: Bochumer Forscher finden Lücke in Amazon Web Services

Amazon-Chef Jeff Bezos
Amazon-Chef Jeff Bezos (Bild: Shannon Stapleton/Reuters)

Forscher der Ruhr-Universität Bochum konnten sich in Accounts der Amazon Web Services hacken, um Images anzulegen und zu löschen. Auch der Amazon-Shop sei für Cross-Site-Scripting-Angriffe anfällig gewesen.

Forscher der Ruhr-Uni wollen bei den Amazon-Cloud-Diensten eine "massive Sicherheitslücke" gefunden haben. Als Angriffsmethoden wurden Signature Wrapping und Cross Site Scripting eingesetzt. "Anhand unserer Forschungsergebnisse bestätigte Amazon die Sicherheitslücken und schloss sie umgehend", erklärte Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit der Ruhr-Universität.

Anzeige

"Mit verschiedenen Varianten von XML-Signature-Wrapping-Angriffen ist es uns gelungen, die administrativen Rechte eines beliebigen Cloud-Kunden komplett zu übernehmen", so Juraj Somorovsky, ein Mitarbeiter Schwenks. "Somit konnten wir etwa in der Cloud des Opfers neue Instanzen anlegen, Images erstellen oder auch löschen." Die Forscher vermuten, dass viele Cloud-Angebote anfällig gegen Signature-Wrapping-Attacken sind.

Darüber hinaus erklären die Forscher, Lücken im AWS Interface und im Amazon-Shop gefunden zu haben, die dafür geeignet seien, ausführbaren Skriptcode einzuschleusen, um Cross-Site-Scripting-Angriffe auszuführen. "Wir hatten ungehinderten Zugang zu allen Daten des Kunden, darunter Authentifizierungsdaten, Tokens und selbst Passwörter im Klartext", erklärte Mario Heiderich, der ebenfalls zu der Forschergruppe gehört. Das gemeinsame Login berge ein komplexes Gefahrenpotenzial: "Es ist eine Kettenreaktion: Denn eine Sicherheitslücke im komplexen Amazon Shop verursacht immer direkt auch eine Lücke in der Amazon Cloud."

Auch in Eucalyptus, einer Open-Source-Infrastruktur zur Nutzung von Clouds auf Clustern, fanden sich laut Schwenk ähnliche Schwachstellen. "Auf unseren Hinweis bestätigten Amazon und Eucalyptus die Sicherheitslücken und schlossen sie umgehend", sagte er.


eye home zur Startseite
Der ohne Name 25. Okt 2011

...im Amazon-Shop? Wer sowas macht gehört verprügelt.



Anzeige

Stellenmarkt
  1. BSH Hausgeräte GmbH, Giengen
  2. Robert Bosch GmbH, Stuttgart-Feuerbach
  3. avitea GmbH, Lippstadt
  4. SYNLAB Holding Deutschland GmbH, Augsburg


Anzeige
Top-Angebote
  1. (u. a. Metal Gear Solid V 23,99€, Total War Warhammer II 15,74€, Project Cars 2 35,99€)
  2. 56,90€ statt 69,90€
  3. 184,90€ statt 199,90€

Folgen Sie uns
       


  1. Festnetz und Mobilfunk

    Telekom kämpft mit Zerstörungen durch den Orkan Friederike

  2. God of War

    Papa Kratos kämpft ab April 2018

  3. Domain

    Richard Gutjahr pfändet Compact-online.de

  4. Carsharing

    Drivenow und Car2Go wollen fusionieren

  5. Autonomes Fahren

    Alstom testet automatisierten Zugbetrieb

  6. Detectron

    Facebook gibt eigene Objekterkennung frei

  7. Mavic Air

    DJI präsentiert neuen Falt-Copter

  8. Apple

    Homepod soll ab Frühjahr 2018 in Deutschland erhältlich sein

  9. 860 Evo und 860 Pro

    Samsungs SSDs sind flotter und sparsamer

  10. Mozilla

    Firefox Quantum wird mit Version 58 noch schneller



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sgnl im Hands on: Sieht blöd aus, funktioniert aber
Sgnl im Hands on
Sieht blöd aus, funktioniert aber
  1. NGSFF alias M.3 Adata zeigt seine erste SSD mit breiterer Platine
  2. Displaytechnik Samsung soll faltbares Smartphone auf CES gezeigt haben
  3. Vuzix Blade im Hands on Neue Datenbrille mit einem scharfen und hellen Bild

Matthias Maurer: Ein Astronaut taucht unter
Matthias Maurer
Ein Astronaut taucht unter
  1. Rocketlab Billigrakete startet erfolgreich in Neuseeland
  2. Planetologie Forscher finden große Eisvorkommen auf dem Mars
  3. SpaceX Geheimer Satellit der US-Regierung ist startklar

Zahlungsverkehr: Das Bankkonto wird offener
Zahlungsverkehr
Das Bankkonto wird offener
  1. Gerichtsurteil Internet- und Fernsehkunden müssen bei Umzug weiterzahlen
  2. Breitbandmessung Provider halten versprochene Geschwindigkeit fast nie ein
  3. EU-Verordnung Verbraucherschützer gegen Netzsperren zum Verbraucherschutz

  1. Re: Wieder online nach 27h

    mrombado | 06:23

  2. Re: Haltbarkeit

    Scorcher24 | 06:17

  3. Re: immer noch lahmer als Chrome..

    ArcherV | 06:13

  4. Re: Dabei sind doch gerade die VTs zu dieser...

    Icestorm | 06:00

  5. Re: 8 Euro

    amk | 05:04


  1. 18:19

  2. 18:08

  3. 17:53

  4. 17:42

  5. 17:33

  6. 17:27

  7. 17:14

  8. 16:14


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel