Abo
  • Services:

Exploit mittels Java-Deserialisierung

Die sicherlich spektakulärste Erkenntnis des BeAthon war, dass die BeA-Software, die nach wie vor auf den Rechnern vieler Anwälte installiert ist, von einer weiteren, extrem gefährlichen Sicherheitslücke betroffen ist. Wir haben darüber bereits am Freitag kurz berichtet. Markus Drenger vom Chaos Computer Club Darmstadt hatte diese Lücke bereits im Dezember an die Bundesrechtsanwaltskammer (Brak) gemeldet, doch wie gravierend sie war, wurde der Kammer erst während des BeAthon klar.

Stellenmarkt
  1. BVG Berliner Verkehrsbetriebe, Berlin
  2. Paulinenpflege Winnenden, Winnenden

Es handelt sich dabei um eine Sicherheitslücke bei der Deserialisierung eines Java-Objekts. Diese Art von Sicherheitslücken hat in den vergangenen Jahren einige Aufmerksamkeit erhalten, da mehrere Forschungsarbeiten zum Thema veröffentlicht wurden.

Verschiedene Java-Bibliotheken ermöglichen es, Objekte aus der Programmiersprache so zu codieren, dass sie in Textform, beispielsweise JSON-codiert, übertragen werden können. Wenn die so übertragenen Daten durch einen Angreifer kontrolliert werden können, ist es oftmals möglich, mittels einer Methode namens Property Oriented Programming bösartigen Code auszuführen.

Die Clientanwendung von BeA nutzt die Java-Bibliothek Jackson, um Daten über eine Websocket-Schnittstelle von Webseiten zu empfangen. Jackson wiederum deserialisiert JSON-Objekte und war von einer solchen Lücke betroffen. Markus Drenger gelang es damit, einen funktionierenden Exploit zu schreiben, über den eine Webseite beliebigen Code auf dem Rechner eines betroffenen Rechtsanwalts ausführen konnte.

Das Grundproblem hierbei ist, dass die BeA-Clientanwendung zahlreiche veraltete Java-Bibliotheken nutzt. Teilweise waren diese älter als das gesamte BeA-Projekt, einige werden auch nicht mehr weiterentwickelt. Die Lücke in Jackson wurde vor einigen Monaten bereits geschlossen.

Brak empfiehlt, BeA-Software zu deaktivieren

Die Brak nahm direkt Kontakt mit Atos auf. Von dort hieß es, dass das Problem nicht bestehe, da BeA sowieso offline sei und die Software somit überhaupt nicht starte. Drenger konnte das bei einem Test allerdings nicht nachvollziehen. Vertreter der Brak entschieden daher noch während des BeAthon, ihre Mitglieder umgehend zu einer Deaktivierung der BeA-Software aufzufordern. Anwälte, die BeA nach wie vor installiert haben, sollten es also sofort deinstallieren oder zumindest aus der Autostart-Funktion von Windows entfernen.

Das war auch dringend notwendig, denn es war vereinbart, dass alle auf dem BeAthon diskutierten Inhalte von den Teilnehmern nach außen getragen werden dürften. Damit war klar, dass Informationen über die Lücke öffentlich werden und somit auch potenziellen Angreifern zur Verfügung stehen würden.

Fenster aufmachen, Client beenden, Version auslesen

Die Websocket-Schnittstelle verursachte noch andere Probleme, die allerdings weniger gravierend sind. So war es laut Markus Drenger ebenfalls möglich, dass eine Webseite Fenster der Clientanwendung öffnete, die Clientanwendung beendete oder schlicht die Versionsnummer auslas.

Die meisten dieser Probleme lassen sich relativ einfach lösen und sollten in einer zukünftigen BeA-Version nicht mehr auftauchen. Doch in jedem Fall dürfte es bei der momentanen Konstruktion des BeA dabei bleiben, dass eine Webseite herausfinden kann, ob auf einem Rechner die BeA-Software läuft.

Das entfachte einige Diskussionen unter den Anwesenden. Einige Anwälte sahen darin bereits ein Problem, denn für einen Angreifer ist es damit möglich herauszufinden, ob ein Rechtsanwalt gerade eine Webseite aufruft. Ob man sich damit nicht geradezu zum Ziel für Hackerangriffe mache, fragte einer der anwesenden Anwälte.

 BeA: So geht es mit dem Anwaltspostfach weiterXSS: Wie kann man so eine triviale Lücke übersehen? 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Anzeige
Top-Angebote
  1. (u. a. Far Cry 5, Skyrim Special Edition, Tekken 7, The Witcher 3, Ghost Recon Wildlands...
  2. (u. a. Conjuring 2, Hacksaw Ridge, Snowden, The Accountant)
  3. (u. a. Steelseries Arctis 5 Headset 79,90€, VU+Solo 2 SAT-Receiver 164,90€, Intenso 960-GB-SSD...
  4. (heute u. a. UHD-Fernseher von Samsung, Kameraobjektive, Büro- und Gamingstühle, Produkte von TP...

derdiedas 05. Feb 2018

Was erwartest Du denn? ATOS kann keine anständigen Gehälter zahlen (ansonsten würde das...

mimimi123 30. Jan 2018

Nein??

BernardMarx 30. Jan 2018

Danke, dass Sie sich die Zeit genommen haben diesen Eintrag zu schreiben. Ich habe...

intnotnull12 29. Jan 2018

Ja, aber die BRAK will ja offenbar ganz auf Nummer sicher gehen. So interpretiere ich den...

berritorre 29. Jan 2018

Kenne mich zwar nicht aus, ob das System auch für Anwälte passt. Aber du weisst ja wie...


Folgen Sie uns
       


Battlefield 5 Open Beta - Golem.de live

Ein Squad voller Golems philosophiert über Raytracing, PC-Konfigurationen und alles, was noch nicht so funktioniert, im Livestream zur Battlefield 5 Open Beta.

Battlefield 5 Open Beta - Golem.de live Video aufrufen
Retrogaming: Maximal unnötige Minis
Retrogaming
Maximal unnötige Minis

Nanu, die haben wir doch schon mal weggeschmissen - und jetzt sollen wir 100 Euro dafür ausgeben? Mit Minikonsolen fahren Anbieter wie Sony und Nintendo vermutlich hohe Gewinne ein, dabei gäbe es eine für alle bessere Alternative: Software statt Hardware.
Ein IMHO von Peter Steinlechner

  1. Streaming Heilloses Durcheinander bei Netflix und Amazon Prime
  2. Sicherheit Ein Lob für Twitter und Github
  3. Linux Mit Ignoranz gegen die GPL

iOS 12 im Test: Auch Apple will es Nutzern leichter machen
iOS 12 im Test
Auch Apple will es Nutzern leichter machen

Apple setzt mit iOS 12 weniger auf aufsehenerregende Funktionen als auf viele kleine Verbesserungen für den Alltag. Das erinnert an Google und Android 9, was nicht zwingend schlecht ist.
Ein Test von Tobias Költzsch

  1. Apple iOS 12.1 verrät neues iPad Pro
  2. Apple Siri-Kurzbefehle-App für iOS 12 verfügbar

Zukunft der Arbeit: Was Automatisierung mit dem Grundeinkommen zu tun hat
Zukunft der Arbeit
Was Automatisierung mit dem Grundeinkommen zu tun hat

Millionen verlieren ihren Job, aber die Gesellschaft gewinnt dabei trotzdem: So stellen sich die Verfechter des bedingungslosen Grundeinkommens die Zukunft vor. Wie soll das gehen?
Eine Analyse von Daniel Hautmann

  1. Verbraucherschutzminister Kritik an eingeschränktem Widerspruchsrecht im Online-Handel
  2. Bundesfinanzminister Scholz warnt vor Schnellschüssen bei Digitalsteuer
  3. Sommerzeit EU-Kommission will die Zeitumstellung abschaffen

    •  /