Abo
  • Services:

Exploit mittels Java-Deserialisierung

Die sicherlich spektakulärste Erkenntnis des BeAthon war, dass die BeA-Software, die nach wie vor auf den Rechnern vieler Anwälte installiert ist, von einer weiteren, extrem gefährlichen Sicherheitslücke betroffen ist. Wir haben darüber bereits am Freitag kurz berichtet. Markus Drenger vom Chaos Computer Club Darmstadt hatte diese Lücke bereits im Dezember an die Bundesrechtsanwaltskammer (Brak) gemeldet, doch wie gravierend sie war, wurde der Kammer erst während des BeAthon klar.

Stellenmarkt
  1. OPTIMAL SYSTEMS GmbH, Berlin
  2. EUROIMMUN AG, Dassow

Es handelt sich dabei um eine Sicherheitslücke bei der Deserialisierung eines Java-Objekts. Diese Art von Sicherheitslücken hat in den vergangenen Jahren einige Aufmerksamkeit erhalten, da mehrere Forschungsarbeiten zum Thema veröffentlicht wurden.

Verschiedene Java-Bibliotheken ermöglichen es, Objekte aus der Programmiersprache so zu codieren, dass sie in Textform, beispielsweise JSON-codiert, übertragen werden können. Wenn die so übertragenen Daten durch einen Angreifer kontrolliert werden können, ist es oftmals möglich, mittels einer Methode namens Property Oriented Programming bösartigen Code auszuführen.

Die Clientanwendung von BeA nutzt die Java-Bibliothek Jackson, um Daten über eine Websocket-Schnittstelle von Webseiten zu empfangen. Jackson wiederum deserialisiert JSON-Objekte und war von einer solchen Lücke betroffen. Markus Drenger gelang es damit, einen funktionierenden Exploit zu schreiben, über den eine Webseite beliebigen Code auf dem Rechner eines betroffenen Rechtsanwalts ausführen konnte.

Das Grundproblem hierbei ist, dass die BeA-Clientanwendung zahlreiche veraltete Java-Bibliotheken nutzt. Teilweise waren diese älter als das gesamte BeA-Projekt, einige werden auch nicht mehr weiterentwickelt. Die Lücke in Jackson wurde vor einigen Monaten bereits geschlossen.

Brak empfiehlt, BeA-Software zu deaktivieren

Die Brak nahm direkt Kontakt mit Atos auf. Von dort hieß es, dass das Problem nicht bestehe, da BeA sowieso offline sei und die Software somit überhaupt nicht starte. Drenger konnte das bei einem Test allerdings nicht nachvollziehen. Vertreter der Brak entschieden daher noch während des BeAthon, ihre Mitglieder umgehend zu einer Deaktivierung der BeA-Software aufzufordern. Anwälte, die BeA nach wie vor installiert haben, sollten es also sofort deinstallieren oder zumindest aus der Autostart-Funktion von Windows entfernen.

Das war auch dringend notwendig, denn es war vereinbart, dass alle auf dem BeAthon diskutierten Inhalte von den Teilnehmern nach außen getragen werden dürften. Damit war klar, dass Informationen über die Lücke öffentlich werden und somit auch potenziellen Angreifern zur Verfügung stehen würden.

Fenster aufmachen, Client beenden, Version auslesen

Die Websocket-Schnittstelle verursachte noch andere Probleme, die allerdings weniger gravierend sind. So war es laut Markus Drenger ebenfalls möglich, dass eine Webseite Fenster der Clientanwendung öffnete, die Clientanwendung beendete oder schlicht die Versionsnummer auslas.

Die meisten dieser Probleme lassen sich relativ einfach lösen und sollten in einer zukünftigen BeA-Version nicht mehr auftauchen. Doch in jedem Fall dürfte es bei der momentanen Konstruktion des BeA dabei bleiben, dass eine Webseite herausfinden kann, ob auf einem Rechner die BeA-Software läuft.

Das entfachte einige Diskussionen unter den Anwesenden. Einige Anwälte sahen darin bereits ein Problem, denn für einen Angreifer ist es damit möglich herauszufinden, ob ein Rechtsanwalt gerade eine Webseite aufruft. Ob man sich damit nicht geradezu zum Ziel für Hackerangriffe mache, fragte einer der anwesenden Anwälte.

 BeA: So geht es mit dem Anwaltspostfach weiterXSS: Wie kann man so eine triviale Lücke übersehen? 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. täglich neue Deals bei Alternate.de
  3. 399,00€ (Wert der Spiele rund 212,00€)
  4. 103,90€

derdiedas 05. Feb 2018

Was erwartest Du denn? ATOS kann keine anständigen Gehälter zahlen (ansonsten würde das...

mimimi123 30. Jan 2018

Nein??

BernardMarx 30. Jan 2018

Danke, dass Sie sich die Zeit genommen haben diesen Eintrag zu schreiben. Ich habe...

intnotnull12 29. Jan 2018

Ja, aber die BRAK will ja offenbar ganz auf Nummer sicher gehen. So interpretiere ich den...

berritorre 29. Jan 2018

Kenne mich zwar nicht aus, ob das System auch für Anwälte passt. Aber du weisst ja wie...


Folgen Sie uns
       


HMD zeigt das Nokia 210 (MWC 2019)

Das Nokia 210 ist ein 2,5G Featurephone.

HMD zeigt das Nokia 210 (MWC 2019) Video aufrufen
Thyssen-Krupp Testturm Rottweil: Herr Fetzer parkt die Aufzugkabine um
Thyssen-Krupp Testturm Rottweil
Herr Fetzer parkt die Aufzugkabine um

Ohne Aufzüge gäbe es keine Hochhäuser. Aber inzwischen sind Wolkenkratzer zu hoch für herkömmliche Systeme. Thyssen-Krupp testet derzeit einen neuartigen Aufzug, der beliebig hoch fahren kann. Inspiriert ist er vom Paternoster und dem Transrapid. Wir waren im Testturm.
Ein Bericht von Werner Pluta

  1. Ceramic Speed Hätte, hätte - Fahrrad ohne Kette
  2. Geheimdienste und Bundeswehr Masterstudiengang für Staatshacker gestartet
  3. Sonitus Technologies Zahnmikrofon sorgt für klare Kommunikation

FreeNAS und Windows 10: Der erste NAS-Selbstbau macht glücklich
FreeNAS und Windows 10
Der erste NAS-Selbstbau macht glücklich

Es ist gar nicht so schwer, wie es aussieht: Mit dem Betriebssystem FreeNAS, den richtigen Hardwarekomponenten und Tutorials baue ich mir zum ersten Mal ein NAS-System auf und lerne auf diesem Weg viel darüber - auch warum es Spaß macht, selbst zu bauen, statt fertig zu kaufen.
Ein Erfahrungsbericht von Oliver Nickel

  1. TS-332X Qnaps Budget-NAS mit drei M.2-Slots und 10-GBit-Ethernet

Mobile Bezahldienste: Wie sicher sind Apple Pay und Google Pay?
Mobile Bezahldienste
Wie sicher sind Apple Pay und Google Pay?

Die Zahlungsdienste Apple Pay und Google Pay sind nach Ansicht von Experten sicherer als klassische Kreditkarten. In der täglichen Praxis schneidet ein Dienst etwas besser ab. Einige Haftungsfragen sind aber noch juristisch ungeklärt.
Von Andreas Maisch

  1. Anzeige Was Drittanbieter beim Open Banking beachten müssen
  2. Finanzdienstleister Wirecard sieht kein Fehlverhalten
  3. Fintech Wirecard wird zur Smartphone-Bank

    •  /