Abo
  • IT-Karriere:

Exploit mittels Java-Deserialisierung

Die sicherlich spektakulärste Erkenntnis des BeAthon war, dass die BeA-Software, die nach wie vor auf den Rechnern vieler Anwälte installiert ist, von einer weiteren, extrem gefährlichen Sicherheitslücke betroffen ist. Wir haben darüber bereits am Freitag kurz berichtet. Markus Drenger vom Chaos Computer Club Darmstadt hatte diese Lücke bereits im Dezember an die Bundesrechtsanwaltskammer (Brak) gemeldet, doch wie gravierend sie war, wurde der Kammer erst während des BeAthon klar.

Stellenmarkt
  1. IKK gesund plus, Magdeburg
  2. LORENZ Life Sciences Group, Frankfurt am Main

Es handelt sich dabei um eine Sicherheitslücke bei der Deserialisierung eines Java-Objekts. Diese Art von Sicherheitslücken hat in den vergangenen Jahren einige Aufmerksamkeit erhalten, da mehrere Forschungsarbeiten zum Thema veröffentlicht wurden.

Verschiedene Java-Bibliotheken ermöglichen es, Objekte aus der Programmiersprache so zu codieren, dass sie in Textform, beispielsweise JSON-codiert, übertragen werden können. Wenn die so übertragenen Daten durch einen Angreifer kontrolliert werden können, ist es oftmals möglich, mittels einer Methode namens Property Oriented Programming bösartigen Code auszuführen.

Die Clientanwendung von BeA nutzt die Java-Bibliothek Jackson, um Daten über eine Websocket-Schnittstelle von Webseiten zu empfangen. Jackson wiederum deserialisiert JSON-Objekte und war von einer solchen Lücke betroffen. Markus Drenger gelang es damit, einen funktionierenden Exploit zu schreiben, über den eine Webseite beliebigen Code auf dem Rechner eines betroffenen Rechtsanwalts ausführen konnte.

Das Grundproblem hierbei ist, dass die BeA-Clientanwendung zahlreiche veraltete Java-Bibliotheken nutzt. Teilweise waren diese älter als das gesamte BeA-Projekt, einige werden auch nicht mehr weiterentwickelt. Die Lücke in Jackson wurde vor einigen Monaten bereits geschlossen.

Brak empfiehlt, BeA-Software zu deaktivieren

Die Brak nahm direkt Kontakt mit Atos auf. Von dort hieß es, dass das Problem nicht bestehe, da BeA sowieso offline sei und die Software somit überhaupt nicht starte. Drenger konnte das bei einem Test allerdings nicht nachvollziehen. Vertreter der Brak entschieden daher noch während des BeAthon, ihre Mitglieder umgehend zu einer Deaktivierung der BeA-Software aufzufordern. Anwälte, die BeA nach wie vor installiert haben, sollten es also sofort deinstallieren oder zumindest aus der Autostart-Funktion von Windows entfernen.

Das war auch dringend notwendig, denn es war vereinbart, dass alle auf dem BeAthon diskutierten Inhalte von den Teilnehmern nach außen getragen werden dürften. Damit war klar, dass Informationen über die Lücke öffentlich werden und somit auch potenziellen Angreifern zur Verfügung stehen würden.

Fenster aufmachen, Client beenden, Version auslesen

Die Websocket-Schnittstelle verursachte noch andere Probleme, die allerdings weniger gravierend sind. So war es laut Markus Drenger ebenfalls möglich, dass eine Webseite Fenster der Clientanwendung öffnete, die Clientanwendung beendete oder schlicht die Versionsnummer auslas.

Die meisten dieser Probleme lassen sich relativ einfach lösen und sollten in einer zukünftigen BeA-Version nicht mehr auftauchen. Doch in jedem Fall dürfte es bei der momentanen Konstruktion des BeA dabei bleiben, dass eine Webseite herausfinden kann, ob auf einem Rechner die BeA-Software läuft.

Das entfachte einige Diskussionen unter den Anwesenden. Einige Anwälte sahen darin bereits ein Problem, denn für einen Angreifer ist es damit möglich herauszufinden, ob ein Rechtsanwalt gerade eine Webseite aufruft. Ob man sich damit nicht geradezu zum Ziel für Hackerangriffe mache, fragte einer der anwesenden Anwälte.

 BeA: So geht es mit dem Anwaltspostfach weiterXSS: Wie kann man so eine triviale Lücke übersehen? 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Anzeige
Spiele-Angebote
  1. 26,99€
  2. 2,99€
  3. 2,49€
  4. (-60%) 11,99€

derdiedas 05. Feb 2018

Was erwartest Du denn? ATOS kann keine anständigen Gehälter zahlen (ansonsten würde das...

mimimi123 30. Jan 2018

Nein??

BernardMarx 30. Jan 2018

Danke, dass Sie sich die Zeit genommen haben diesen Eintrag zu schreiben. Ich habe...

intnotnull12 29. Jan 2018

Ja, aber die BRAK will ja offenbar ganz auf Nummer sicher gehen. So interpretiere ich den...

berritorre 29. Jan 2018

Kenne mich zwar nicht aus, ob das System auch für Anwälte passt. Aber du weisst ja wie...


Folgen Sie uns
       


Red Magic 3 - Test

Das Red Magic 3 richtet sich an Gamer - dank der Topausstattung und eines Preises von nur 480 Euro ist das Smartphone aber generell lohnenswert.

Red Magic 3 - Test Video aufrufen
Mobile-Games-Auslese: Magischer Dieb trifft mogelnden Doktor
Mobile-Games-Auslese
Magischer Dieb trifft mogelnden Doktor

Ein Dieb mit Dolch in Daggerhood, dazu ein (historisch verbürgter) Arzt in Astrologaster sowie wunderschön aufbereitetes Free-to-Play-Mittelalter in Marginalia Hero: Golem.de stellt die spannendsten neuen Mobile Games vor.
Von Rainer Sigl

  1. Hyper Casual Games 30 Sekunden spielen, 30 Sekunden Werbung
  2. Mobile-Games-Auslese Rollenspiel-Frühling mit leichten Schusswechseln
  3. Gaming Apple Arcade wird Spiele-Flatrate für iOS und MacOS

WD Blue SN500 ausprobiert: Die flotte günstige Blaue
WD Blue SN500 ausprobiert
Die flotte günstige Blaue

Mit der WD Blue SN500 bietet Western Digital eine spannende NVMe-SSD an: Das M.2-Kärtchen basiert auf einem selbst entwickelten Controller und eigenem Flash-Speicher. Das Resultat ist ein schnelles, vor allem aber günstiges Modell als bessere Alternative zu Sata-SSDs.
Von Marc Sauter

  1. WD Black SN750 ausprobiert Direkt hinter Samsungs SSDs
  2. WD Black SN750 Leicht optimierte NVMe-SSD mit 2 TByte
  3. Ultrastar DC ME200 Western Digital baut PCIe-Arbeitsspeicher mit 4 TByte

Wolfenstein Youngblood angespielt: Warum wurden diese dämlichen Mädchen nicht aufgehalten!?
Wolfenstein Youngblood angespielt
"Warum wurden diese dämlichen Mädchen nicht aufgehalten!?"

E3 2019 Der erste Kill ist der schwerste: In Wolfenstein Youngblood kämpfen die beiden Töchter von B.J. Blazkowicz gegen Nazis. Golem.de hat sich mit Jess und Soph durch einen Zeppelin über dem belagerten Paris gekämpft.
Von Peter Steinlechner


      •  /