Abo
  • Services:

XSS: Wie kann man so eine triviale Lücke übersehen?

Nur kurz ging Markus Drenger vom CCC auf die von ihm gefundene Cross-Site-Scripting-Lücke (XSS) ein. In der BeA-Webanwendung gab es einen einzigen URL-Parameter, und über diesen war es möglich, Javascript auszuführen. Die Zeichenzahl war dabei auf zehn Zeichen begrenzt. Damit wäre es relativ schwierig, diese Lücke praktisch auszunutzen.

Stellenmarkt
  1. DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Oberpfaffenhofen bei München
  2. OEDIV Oetker Daten- und Informationsverarbeitung KG, Bielefeld

Bemerkenswert an dieser Lücke ist vor allem, wie einfach sie zu finden war. Für das BeA wurden in der Vergangenheit nach Angaben der Brak zwei Sicherheitsgutachten durchgeführt, eines von der Firma SEC Consult, ein weiteres von Atos selber. Beide Prüfberichte werden bisher geheim gehalten. Der Autor dieses Texts versucht zurzeit, mittels Informationsfreiheitsgesetz Einblick in diese Gutachten zu erhalten.

Die Suche nach solch trivialen XSS-Lücken gehört in aller Regel zu den ersten Punkten, die bei einer Webanwendung geprüft werden. Es ist kaum nachvollziehbar, wie das Sicherheitsaudit dieses Problem übersehen konnte.

Jeder kann als Amtsgericht Berlin Mitte Nachrichten verschicken

Ein weiteres Problem beschrieb Drenger in der Anbindung von BeA an das Elektronische Gerichts- und Verwaltungspostfach (EGVP). Dort kann sich jeder einen Account anlegen und Nachrichten an BeA-Nutzer schicken.

Laut Drenger ist es auf der Oberfläche insbesondere für unbedarfte Anwender nur schwer erkennbar, ob es sich bei Nachrichten um solche aus dem BeA-System oder um Nachrichten von EGVP handelt.

Somit könnte jemand im EGVP einen Account anlegen und einen beliebigen Namen wählen, um einem Anwalt vorzugaukeln, er wäre jemand anderes. Anders ausgedrückt: Jeder könnte eine Nachricht mit einem Absender wie "Amtsgericht Berlin Mitte" verschicken - und einen Anwalt damit dazu bewegen, geheime Daten an unberechtigte Personen zu schicken.

Drenger empfahl, die Unterschiede deutlicher sichtbar zu machen und beispielsweise farblich hervorzuheben, ob es sich um einen verifizierten Absender aus dem BeA-System handelt.

EGVP: Accounts löschen ohne Rückfrage

Zum EGVP hatte Drenger noch eine weitere Information. Demnach ist es dort möglich, die Löschung eines verwaisten Accounts zu beantragen. In einem Versuch mit Zustimmung des Kontoinhabers gelang es Drenger hierbei, ein Nutzerkonto zu löschen, ohne dass irgendeine Rückfrage beim Inhaber erfolgte.

Weitere Probleme sah Drenger darin, dass über das BeA beliebige Dateiformate verschickt werden können. Da Anwälte verpflichtet sind, die über BeA zugeschickten Dokumente zu öffnen, stellt sich die Frage, was passiert, wenn sie eine EXE-Datei oder ein anderes Format erhalten, das ausführbaren Code enthalten kann. Denkbar wäre, Dateianhänge auf bestimmte eingeschränkte Formate - beispielsweise PDF/A - zu beschränken.

Meldung von Lücken in OCSI führten zu juristischen Drohungen

Das BeA-System baut auf dem Standard OSCI auf. Auch damit gibt es offenbar weitere Probleme. Eine Person hat demnach vor über einem Jahr eine Sicherheitslücke in OSCI gemeldet. Statt eines Danks wurde ihr daraufhin von einer verantwortlichen Stelle mit Klage gedroht - woraufhin der Hinweisgeber darauf verzichtete, weitere Sicherheitslücken zu melden.

Details zu diesem Vorgang blieben im Unklaren, aber offenbar ist der Hinweisgeber inzwischen im Kontakt mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und es wird versucht, die Lücke zu schließen.

 Exploit mittels Java-DeserialisierungDie Key Custodians können BeA-Nachrichten knacken 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Anzeige
Blu-ray-Angebote
  1. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)

derdiedas 05. Feb 2018

Was erwartest Du denn? ATOS kann keine anständigen Gehälter zahlen (ansonsten würde das...

mimimi123 30. Jan 2018

Nein??

BernardMarx 30. Jan 2018

Danke, dass Sie sich die Zeit genommen haben diesen Eintrag zu schreiben. Ich habe...

intnotnull12 29. Jan 2018

Ja, aber die BRAK will ja offenbar ganz auf Nummer sicher gehen. So interpretiere ich den...

berritorre 29. Jan 2018

Kenne mich zwar nicht aus, ob das System auch für Anwälte passt. Aber du weisst ja wie...


Folgen Sie uns
       


Monster Hunter World vs Generations Ultimate Gameplay

Gameplay von den Spielen Monster Hunter World und Monster Hunter Generations Ultimate, das im Splittscreen verglichen wird.

Monster Hunter World vs Generations Ultimate Gameplay Video aufrufen
Life is Strange 2 im Test: Interaktiver Road-Movie-Mystery-Thriller
Life is Strange 2 im Test
Interaktiver Road-Movie-Mystery-Thriller

Keine heile Teenagerwelt mit Partys und Liebeskummer: Allein in den USA der Trump-Ära müssen zwei Brüder mit mexikanischen Wurzeln in Life is Strange 2 nach einem mysteriösen Unfall überleben. Das Adventure ist bewegend und spannend - trotz eines grundsätzlichen Problems.
Von Peter Steinlechner

  1. Adventure Leisure Suit Larry landet im 21. Jahrhundert

Athlon 200GE im Test: Celeron und Pentium abgehängt
Athlon 200GE im Test
Celeron und Pentium abgehängt

Mit dem Athlon 200GE belebt AMD den alten CPU-Markennamen wieder: Der Chip gefällt durch seine Zen-Kerne und die integrierte Vega-Grafikeinheit, die Intel-Konkurrenz hat dem derzeit preislich wenig entgegenzusetzen.
Ein Test von Marc Sauter

  1. AMD Threadripper erhalten dynamischen NUMA-Modus
  2. HP Elitedesk 705 Workstation Edition Minitower mit AMD-CPU startet bei 680 Euro
  3. Ryzen 5 2600H und Ryzen 7 2800H 45-Watt-CPUs mit Vega-Grafik für Laptops sind da

HP Elitebook 840 und Toshiba Tecra X40: Es kann nur eines geben
HP Elitebook 840 und Toshiba Tecra X40
Es kann nur eines geben

Nicht nur Lenovo baut gute Business-Notebooks, auch HP und Toshiba haben Produkte, die vergleichbar sind. Wir stellen je ein Modell der beiden Hersteller mit ähnlicher Hardware gegenüber: das eine leichter, das andere mit überlegenem Akku - ein knapper Gewinner nach Punkten.
Ein Test von Oliver Nickel

  1. Portégé X20W-D-145 Toshiba stellt alte Hardware im flexiblen Chassis vor
  2. Tecra X40-E-10W Toshibas 14-Zoll-Thinkpad-Pendant kommt mit LTE
  3. Dell, HP, Lenovo AMDs Ryzen Pro Mobile landet in allen Business-Notebooks

    •  /