XSS: Wie kann man so eine triviale Lücke übersehen?

Nur kurz ging Markus Drenger vom CCC auf die von ihm gefundene Cross-Site-Scripting-Lücke (XSS) ein. In der BeA-Webanwendung gab es einen einzigen URL-Parameter, und über diesen war es möglich, Javascript auszuführen. Die Zeichenzahl war dabei auf zehn Zeichen begrenzt. Damit wäre es relativ schwierig, diese Lücke praktisch auszunutzen.

Bemerkenswert an dieser Lücke ist vor allem, wie einfach sie zu finden war. Für das BeA wurden in der Vergangenheit nach Angaben der Brak zwei Sicherheitsgutachten durchgeführt, eines von der Firma SEC Consult, ein weiteres von Atos selber. Beide Prüfberichte werden bisher geheim gehalten. Der Autor dieses Texts versucht zurzeit, mittels Informationsfreiheitsgesetz Einblick in diese Gutachten zu erhalten.

Die Suche nach solch trivialen XSS-Lücken gehört in aller Regel zu den ersten Punkten, die bei einer Webanwendung geprüft werden. Es ist kaum nachvollziehbar, wie das Sicherheitsaudit dieses Problem übersehen konnte.

Jeder kann als Amtsgericht Berlin Mitte Nachrichten verschicken

Ein weiteres Problem beschrieb Drenger in der Anbindung von BeA an das Elektronische Gerichts- und Verwaltungspostfach (EGVP). Dort kann sich jeder einen Account anlegen und Nachrichten an BeA-Nutzer schicken.

Laut Drenger ist es auf der Oberfläche insbesondere für unbedarfte Anwender nur schwer erkennbar, ob es sich bei Nachrichten um solche aus dem BeA-System oder um Nachrichten von EGVP handelt.

Somit könnte jemand im EGVP einen Account anlegen und einen beliebigen Namen wählen, um einem Anwalt vorzugaukeln, er wäre jemand anderes. Anders ausgedrückt: Jeder könnte eine Nachricht mit einem Absender wie "Amtsgericht Berlin Mitte" verschicken - und einen Anwalt damit dazu bewegen, geheime Daten an unberechtigte Personen zu schicken.

Drenger empfahl, die Unterschiede deutlicher sichtbar zu machen und beispielsweise farblich hervorzuheben, ob es sich um einen verifizierten Absender aus dem BeA-System handelt.

EGVP: Accounts löschen ohne Rückfrage

Zum EGVP hatte Drenger noch eine weitere Information. Demnach ist es dort möglich, die Löschung eines verwaisten Accounts zu beantragen. In einem Versuch mit Zustimmung des Kontoinhabers gelang es Drenger hierbei, ein Nutzerkonto zu löschen, ohne dass irgendeine Rückfrage beim Inhaber erfolgte.

Weitere Probleme sah Drenger darin, dass über das BeA beliebige Dateiformate verschickt werden können. Da Anwälte verpflichtet sind, die über BeA zugeschickten Dokumente zu öffnen, stellt sich die Frage, was passiert, wenn sie eine EXE-Datei oder ein anderes Format erhalten, das ausführbaren Code enthalten kann. Denkbar wäre, Dateianhänge auf bestimmte eingeschränkte Formate - beispielsweise PDF/A - zu beschränken.

Meldung von Lücken in OCSI führten zu juristischen Drohungen

Das BeA-System baut auf dem Standard OSCI auf. Auch damit gibt es offenbar weitere Probleme. Eine Person hat demnach vor über einem Jahr eine Sicherheitslücke in OSCI gemeldet. Statt eines Danks wurde ihr daraufhin von einer verantwortlichen Stelle mit Klage gedroht - woraufhin der Hinweisgeber darauf verzichtete, weitere Sicherheitslücken zu melden.

Details zu diesem Vorgang blieben im Unklaren, aber offenbar ist der Hinweisgeber inzwischen im Kontakt mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und es wird versucht, die Lücke zu schließen.