Abo
  • IT-Karriere:

Exploit mittels Java-Deserialisierung

Die sicherlich spektakulärste Erkenntnis des BeAthon war, dass die BeA-Software, die nach wie vor auf den Rechnern vieler Anwälte installiert ist, von einer weiteren, extrem gefährlichen Sicherheitslücke betroffen ist. Wir haben darüber bereits am Freitag kurz berichtet. Markus Drenger vom Chaos Computer Club Darmstadt hatte diese Lücke bereits im Dezember an die Bundesrechtsanwaltskammer (Brak) gemeldet, doch wie gravierend sie war, wurde der Kammer erst während des BeAthon klar.

Stellenmarkt
  1. EUROBAUSTOFF Handelsgesellschaft mbH & Co. KG, Bad Nauheim
  2. Rodenstock GmbH, München

Es handelt sich dabei um eine Sicherheitslücke bei der Deserialisierung eines Java-Objekts. Diese Art von Sicherheitslücken hat in den vergangenen Jahren einige Aufmerksamkeit erhalten, da mehrere Forschungsarbeiten zum Thema veröffentlicht wurden.

Verschiedene Java-Bibliotheken ermöglichen es, Objekte aus der Programmiersprache so zu codieren, dass sie in Textform, beispielsweise JSON-codiert, übertragen werden können. Wenn die so übertragenen Daten durch einen Angreifer kontrolliert werden können, ist es oftmals möglich, mittels einer Methode namens Property Oriented Programming bösartigen Code auszuführen.

Die Clientanwendung von BeA nutzt die Java-Bibliothek Jackson, um Daten über eine Websocket-Schnittstelle von Webseiten zu empfangen. Jackson wiederum deserialisiert JSON-Objekte und war von einer solchen Lücke betroffen. Markus Drenger gelang es damit, einen funktionierenden Exploit zu schreiben, über den eine Webseite beliebigen Code auf dem Rechner eines betroffenen Rechtsanwalts ausführen konnte.

Das Grundproblem hierbei ist, dass die BeA-Clientanwendung zahlreiche veraltete Java-Bibliotheken nutzt. Teilweise waren diese älter als das gesamte BeA-Projekt, einige werden auch nicht mehr weiterentwickelt. Die Lücke in Jackson wurde vor einigen Monaten bereits geschlossen.

Brak empfiehlt, BeA-Software zu deaktivieren

Die Brak nahm direkt Kontakt mit Atos auf. Von dort hieß es, dass das Problem nicht bestehe, da BeA sowieso offline sei und die Software somit überhaupt nicht starte. Drenger konnte das bei einem Test allerdings nicht nachvollziehen. Vertreter der Brak entschieden daher noch während des BeAthon, ihre Mitglieder umgehend zu einer Deaktivierung der BeA-Software aufzufordern. Anwälte, die BeA nach wie vor installiert haben, sollten es also sofort deinstallieren oder zumindest aus der Autostart-Funktion von Windows entfernen.

Das war auch dringend notwendig, denn es war vereinbart, dass alle auf dem BeAthon diskutierten Inhalte von den Teilnehmern nach außen getragen werden dürften. Damit war klar, dass Informationen über die Lücke öffentlich werden und somit auch potenziellen Angreifern zur Verfügung stehen würden.

Fenster aufmachen, Client beenden, Version auslesen

Die Websocket-Schnittstelle verursachte noch andere Probleme, die allerdings weniger gravierend sind. So war es laut Markus Drenger ebenfalls möglich, dass eine Webseite Fenster der Clientanwendung öffnete, die Clientanwendung beendete oder schlicht die Versionsnummer auslas.

Die meisten dieser Probleme lassen sich relativ einfach lösen und sollten in einer zukünftigen BeA-Version nicht mehr auftauchen. Doch in jedem Fall dürfte es bei der momentanen Konstruktion des BeA dabei bleiben, dass eine Webseite herausfinden kann, ob auf einem Rechner die BeA-Software läuft.

Das entfachte einige Diskussionen unter den Anwesenden. Einige Anwälte sahen darin bereits ein Problem, denn für einen Angreifer ist es damit möglich herauszufinden, ob ein Rechtsanwalt gerade eine Webseite aufruft. Ob man sich damit nicht geradezu zum Ziel für Hackerangriffe mache, fragte einer der anwesenden Anwälte.

 BeA: So geht es mit dem Anwaltspostfach weiterXSS: Wie kann man so eine triviale Lücke übersehen? 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Anzeige
Hardware-Angebote
  1. mit Gutschein: NBBX570
  2. 64,90€ (Bestpreis!)

mimimi123 30. Jan 2018

Nein??

BernardMarx 30. Jan 2018

Danke, dass Sie sich die Zeit genommen haben diesen Eintrag zu schreiben. Ich habe...

intnotnull12 29. Jan 2018

Ja, aber die BRAK will ja offenbar ganz auf Nummer sicher gehen. So interpretiere ich den...

berritorre 29. Jan 2018

Kenne mich zwar nicht aus, ob das System auch für Anwälte passt. Aber du weisst ja wie...

ldlx 29. Jan 2018

"doppelte End-to-End Verschlüsselung" - man könnte meinen, dass es jetzt auch "doppelt...


Folgen Sie uns
       


1.000-Meilen-Strecke mit dem E-Tron - Bericht

Innerhalb 24 Stunden durch zehn europäische Länder fahren? Ist das mit einem Elektroauto problemlos möglich?

1.000-Meilen-Strecke mit dem E-Tron - Bericht Video aufrufen
Telekom Smart Speaker im Test: Der smarte Lautsprecher, der mit zwei Zungen spricht
Telekom Smart Speaker im Test
Der smarte Lautsprecher, der mit zwei Zungen spricht

Die Deutsche Telekom bietet derzeit den einzigen smarten Lautsprecher an, mit dem sich parallel zwei digitale Assistenten nutzen lassen. Der Magenta-Assistent lässt einiges zu wünschen übrig, aber die Parallelnutzung von Alexa funktioniert schon fast zu gut.
Ein Test von Ingo Pakalski

  1. Smarte Lautsprecher Amazon liegt nicht nur in Deutschland vor Google
  2. Pure Discovr Schrumpfender Alexa-Lautsprecher mit Akku wird teurer
  3. Bose Portable Home Speaker Lautsprecher mit Akku, Airplay 2, Alexa und Google Assistant

Gemini Man: Überflüssiges Klonexperiment
Gemini Man
Überflüssiges Klonexperiment

Am 3. Oktober kommt mit Gemini Man ein ambitioniertes Projekt in die deutschen Kinos: Mit HFR-Projektion in 60 Bildern pro Sekunde und Will Smith, der gegen sein digital verjüngtes Ebenbild kämpft, betreibt der Actionfilm technisch viel Aufwand. Das Seherlebnis ist jedoch bestenfalls komisch.
Von Daniel Pook

  1. Filmkritik Apollo 11 Echte Mondlandung als packende Kinozeitreise

IT-Sicherheit: Auch kleine Netze brauchen eine Firewall
IT-Sicherheit
Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.
Von Götz Güttich

  1. Anzeige Wo Daten wirklich sicher liegen
  2. Erasure Coding Das Ende von Raid kommt durch Mathematik
  3. Endpoint Security IT-Sicherheit ist ein Cocktail mit vielen Zutaten

    •  /