Abo
  • Services:

Exploit mittels Java-Deserialisierung

Die sicherlich spektakulärste Erkenntnis des BeAthon war, dass die BeA-Software, die nach wie vor auf den Rechnern vieler Anwälte installiert ist, von einer weiteren, extrem gefährlichen Sicherheitslücke betroffen ist. Wir haben darüber bereits am Freitag kurz berichtet. Markus Drenger vom Chaos Computer Club Darmstadt hatte diese Lücke bereits im Dezember an die Bundesrechtsanwaltskammer (Brak) gemeldet, doch wie gravierend sie war, wurde der Kammer erst während des BeAthon klar.

Stellenmarkt
  1. B&R Industrial Automation GmbH, Essen
  2. Host Europe GmbH, Hürth

Es handelt sich dabei um eine Sicherheitslücke bei der Deserialisierung eines Java-Objekts. Diese Art von Sicherheitslücken hat in den vergangenen Jahren einige Aufmerksamkeit erhalten, da mehrere Forschungsarbeiten zum Thema veröffentlicht wurden.

Verschiedene Java-Bibliotheken ermöglichen es, Objekte aus der Programmiersprache so zu codieren, dass sie in Textform, beispielsweise JSON-codiert, übertragen werden können. Wenn die so übertragenen Daten durch einen Angreifer kontrolliert werden können, ist es oftmals möglich, mittels einer Methode namens Property Oriented Programming bösartigen Code auszuführen.

Die Clientanwendung von BeA nutzt die Java-Bibliothek Jackson, um Daten über eine Websocket-Schnittstelle von Webseiten zu empfangen. Jackson wiederum deserialisiert JSON-Objekte und war von einer solchen Lücke betroffen. Markus Drenger gelang es damit, einen funktionierenden Exploit zu schreiben, über den eine Webseite beliebigen Code auf dem Rechner eines betroffenen Rechtsanwalts ausführen konnte.

Das Grundproblem hierbei ist, dass die BeA-Clientanwendung zahlreiche veraltete Java-Bibliotheken nutzt. Teilweise waren diese älter als das gesamte BeA-Projekt, einige werden auch nicht mehr weiterentwickelt. Die Lücke in Jackson wurde vor einigen Monaten bereits geschlossen.

Brak empfiehlt, BeA-Software zu deaktivieren

Die Brak nahm direkt Kontakt mit Atos auf. Von dort hieß es, dass das Problem nicht bestehe, da BeA sowieso offline sei und die Software somit überhaupt nicht starte. Drenger konnte das bei einem Test allerdings nicht nachvollziehen. Vertreter der Brak entschieden daher noch während des BeAthon, ihre Mitglieder umgehend zu einer Deaktivierung der BeA-Software aufzufordern. Anwälte, die BeA nach wie vor installiert haben, sollten es also sofort deinstallieren oder zumindest aus der Autostart-Funktion von Windows entfernen.

Das war auch dringend notwendig, denn es war vereinbart, dass alle auf dem BeAthon diskutierten Inhalte von den Teilnehmern nach außen getragen werden dürften. Damit war klar, dass Informationen über die Lücke öffentlich werden und somit auch potenziellen Angreifern zur Verfügung stehen würden.

Fenster aufmachen, Client beenden, Version auslesen

Die Websocket-Schnittstelle verursachte noch andere Probleme, die allerdings weniger gravierend sind. So war es laut Markus Drenger ebenfalls möglich, dass eine Webseite Fenster der Clientanwendung öffnete, die Clientanwendung beendete oder schlicht die Versionsnummer auslas.

Die meisten dieser Probleme lassen sich relativ einfach lösen und sollten in einer zukünftigen BeA-Version nicht mehr auftauchen. Doch in jedem Fall dürfte es bei der momentanen Konstruktion des BeA dabei bleiben, dass eine Webseite herausfinden kann, ob auf einem Rechner die BeA-Software läuft.

Das entfachte einige Diskussionen unter den Anwesenden. Einige Anwälte sahen darin bereits ein Problem, denn für einen Angreifer ist es damit möglich herauszufinden, ob ein Rechtsanwalt gerade eine Webseite aufruft. Ob man sich damit nicht geradezu zum Ziel für Hackerangriffe mache, fragte einer der anwesenden Anwälte.

 BeA: So geht es mit dem Anwaltspostfach weiterXSS: Wie kann man so eine triviale Lücke übersehen? 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Anzeige
Spiele-Angebote
  1. 59,99€ mit Vorbesteller-Preisgarantie (Release 26.02.)
  2. 2,99€
  3. 25,99€
  4. 19,99€

derdiedas 05. Feb 2018

Was erwartest Du denn? ATOS kann keine anständigen Gehälter zahlen (ansonsten würde das...

mimimi123 30. Jan 2018

Nein??

BernardMarx 30. Jan 2018

Danke, dass Sie sich die Zeit genommen haben diesen Eintrag zu schreiben. Ich habe...

intnotnull12 29. Jan 2018

Ja, aber die BRAK will ja offenbar ganz auf Nummer sicher gehen. So interpretiere ich den...

berritorre 29. Jan 2018

Kenne mich zwar nicht aus, ob das System auch für Anwälte passt. Aber du weisst ja wie...


Folgen Sie uns
       


Hitman 2 - Fazit

Wer ist Agent 47 - und warum ist er so ein perfekter Auftragskiller? Einer Antwort kommen Spieler auch in Hitman 2 unter Umständen nicht näher, dafür erleben sie mit dem Glatzkopf aber spannend und komplexe Abenteuer in schön gestalteten, sehr aufwendigen Einsätzen.

Hitman 2 - Fazit Video aufrufen
Red Dead Online angespielt: Schweigsam auf der Schindmähre
Red Dead Online angespielt
Schweigsam auf der Schindmähre

Der Multiplayermodus von Red Dead Redemption 2 schickt uns als ehemaligen Strafgefangenen in den offenen Wilden Westen. Golem.de hat den handlungsgetriebenen Einstieg angespielt - und einen ersten Onlineüberfall gemeinsam mit anderen Banditen unternommen.

  1. Spielbalance Updates für Red Dead Online und Battlefield 5 angekündigt
  2. Rockstar Games Red Dead Redemption 2 geht schrittweise online
  3. Games US-Spielemarkt erreicht Rekordumsätze

Sony-Kopfhörer WH-1000XM3 im Test: Eine Oase der Stille oder des puren Musikgenusses
Sony-Kopfhörer WH-1000XM3 im Test
Eine Oase der Stille oder des puren Musikgenusses

Wir haben die dritte Generation von Sonys Top-ANC-Kopfhörer getestet - vor allem bei der Geräuschreduktion hat sich einiges getan. Wer in lautem Getümmel seine Ruhe haben will, greift zum WH-1000XM3. Alle Nachteile der Vorgängermodelle hat Sony aber nicht behoben.
Ein Test von Ingo Pakalski


    IT: Frauen, die programmieren und Bier trinken
    IT
    Frauen, die programmieren und Bier trinken

    Fest angestellte Informatiker sind oft froh, nach Feierabend nicht schon wieder in ein Get-together zu müssen. Doch was ist, wenn man kein Team hat und sich selbst Programmieren beibringt? Women Who Code veranstaltet Programmierabende für Frauen, denen es so geht. Golem.de war dort.
    Von Maja Hoock

    1. Software-Entwickler CDU will Online-Weiterbildung à la Netflix
    2. Job-Porträt Cyber-Detektiv "Ich musste als Ermittler über 1.000 Onanie-Videos schauen"
    3. Bundesagentur für Arbeit Ausbildungsplätze in der Informatik sind knapp

      •  /