Abo
  • Services:

XSS: Wie kann man so eine triviale Lücke übersehen?

Nur kurz ging Markus Drenger vom CCC auf die von ihm gefundene Cross-Site-Scripting-Lücke (XSS) ein. In der BeA-Webanwendung gab es einen einzigen URL-Parameter, und über diesen war es möglich, Javascript auszuführen. Die Zeichenzahl war dabei auf zehn Zeichen begrenzt. Damit wäre es relativ schwierig, diese Lücke praktisch auszunutzen.

Stellenmarkt
  1. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Darmstadt
  2. über HRM CONSULTING GmbH, Berlin, Köln, München, Frankfurt am Main

Bemerkenswert an dieser Lücke ist vor allem, wie einfach sie zu finden war. Für das BeA wurden in der Vergangenheit nach Angaben der Brak zwei Sicherheitsgutachten durchgeführt, eines von der Firma SEC Consult, ein weiteres von Atos selber. Beide Prüfberichte werden bisher geheim gehalten. Der Autor dieses Texts versucht zurzeit, mittels Informationsfreiheitsgesetz Einblick in diese Gutachten zu erhalten.

Die Suche nach solch trivialen XSS-Lücken gehört in aller Regel zu den ersten Punkten, die bei einer Webanwendung geprüft werden. Es ist kaum nachvollziehbar, wie das Sicherheitsaudit dieses Problem übersehen konnte.

Jeder kann als Amtsgericht Berlin Mitte Nachrichten verschicken

Ein weiteres Problem beschrieb Drenger in der Anbindung von BeA an das Elektronische Gerichts- und Verwaltungspostfach (EGVP). Dort kann sich jeder einen Account anlegen und Nachrichten an BeA-Nutzer schicken.

Laut Drenger ist es auf der Oberfläche insbesondere für unbedarfte Anwender nur schwer erkennbar, ob es sich bei Nachrichten um solche aus dem BeA-System oder um Nachrichten von EGVP handelt.

Somit könnte jemand im EGVP einen Account anlegen und einen beliebigen Namen wählen, um einem Anwalt vorzugaukeln, er wäre jemand anderes. Anders ausgedrückt: Jeder könnte eine Nachricht mit einem Absender wie "Amtsgericht Berlin Mitte" verschicken - und einen Anwalt damit dazu bewegen, geheime Daten an unberechtigte Personen zu schicken.

Drenger empfahl, die Unterschiede deutlicher sichtbar zu machen und beispielsweise farblich hervorzuheben, ob es sich um einen verifizierten Absender aus dem BeA-System handelt.

EGVP: Accounts löschen ohne Rückfrage

Zum EGVP hatte Drenger noch eine weitere Information. Demnach ist es dort möglich, die Löschung eines verwaisten Accounts zu beantragen. In einem Versuch mit Zustimmung des Kontoinhabers gelang es Drenger hierbei, ein Nutzerkonto zu löschen, ohne dass irgendeine Rückfrage beim Inhaber erfolgte.

Weitere Probleme sah Drenger darin, dass über das BeA beliebige Dateiformate verschickt werden können. Da Anwälte verpflichtet sind, die über BeA zugeschickten Dokumente zu öffnen, stellt sich die Frage, was passiert, wenn sie eine EXE-Datei oder ein anderes Format erhalten, das ausführbaren Code enthalten kann. Denkbar wäre, Dateianhänge auf bestimmte eingeschränkte Formate - beispielsweise PDF/A - zu beschränken.

Meldung von Lücken in OCSI führten zu juristischen Drohungen

Das BeA-System baut auf dem Standard OSCI auf. Auch damit gibt es offenbar weitere Probleme. Eine Person hat demnach vor über einem Jahr eine Sicherheitslücke in OSCI gemeldet. Statt eines Danks wurde ihr daraufhin von einer verantwortlichen Stelle mit Klage gedroht - woraufhin der Hinweisgeber darauf verzichtete, weitere Sicherheitslücken zu melden.

Details zu diesem Vorgang blieben im Unklaren, aber offenbar ist der Hinweisgeber inzwischen im Kontakt mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und es wird versucht, die Lücke zu schließen.

 Exploit mittels Java-DeserialisierungDie Key Custodians können BeA-Nachrichten knacken 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Anzeige
Hardware-Angebote
  1. bei Caseking kaufen
  2. und 25€ Steam-Gutschein erhalten

derdiedas 05. Feb 2018

Was erwartest Du denn? ATOS kann keine anständigen Gehälter zahlen (ansonsten würde das...

mimimi123 30. Jan 2018

Nein??

BernardMarx 30. Jan 2018

Danke, dass Sie sich die Zeit genommen haben diesen Eintrag zu schreiben. Ich habe...

intnotnull12 29. Jan 2018

Ja, aber die BRAK will ja offenbar ganz auf Nummer sicher gehen. So interpretiere ich den...

berritorre 29. Jan 2018

Kenne mich zwar nicht aus, ob das System auch für Anwälte passt. Aber du weisst ja wie...


Folgen Sie uns
       


Sonnet eGFX Box 650W - Test

Die eGFX Box von Sonnet hat 650 Watt und ist ein externes Grafikkarten-Gehäuse. Sie funktioniert mit AMDs Radeon RX Vega 64 und wird per Thunderbolt 3 an ein Notebook angeschlossen. Der Lüfter und das Netzteil sind vergleichsweise leise, der Preis fällt mit 450 Euro recht hoch aus.

Sonnet eGFX Box 650W - Test Video aufrufen
Anthem angespielt: Action in fremder Welt und Abkühlung im Wasserfall
Anthem angespielt
Action in fremder Welt und Abkühlung im Wasserfall

E3 2018 Eine interessante Welt, schicke Grafik und ein erstaunlich gutes Fluggefühl: Golem.de hat das Actionrollenspiel Anthem von Bioware ausprobiert.

  1. Dying Light 2 Stadtentwicklung mit Schwung
  2. E3 2018 Eindrücke, Analysen und Zuschauerfragen
  3. Control Remedy Entertainment mit übersinnlichen Räumen

Jurassic World Evolution im Test: Das Leben findet einen Weg
Jurassic World Evolution im Test
Das Leben findet einen Weg

Ian Malcolm hatte recht: Das Leben wird ausgegraben und gebrütet, es frisst und stirbt oder es bricht aus und macht Jagd auf die Besucher. Nur leider haben die Entwickler von Jurassic World Evolution ein paar kleine Design-Fehler begangen, so wie Henry Wu bei der Dino-DNA.
Ein Test von Marc Sauter

  1. Vampyr im Test Zwischen Dracula und Doktor
  2. Fe im Test Fuchs im Farbenrausch
  3. Thaumistry: In Charm's Way im Test Text-Adventure der ganz alten Schule

Kreuzschifffahrt: Wie Brennstoffzellen Schiffe sauberer machen
Kreuzschifffahrt
Wie Brennstoffzellen Schiffe sauberer machen

Die Schifffahrtsbranche ist nicht gerade umweltfreundlich: Auf hoher See werden die Maschinen der großen Schiffe mit Schweröl befeuert, im Hafen verschmutzen Dieselabgase die Luft. Das sollen Brennstoffzellen ändern - wenigstens in der Kreuzschifffahrt.
Von Werner Pluta

  1. Hyseas III Schottische Werft baut Hochseefähre mit Brennstoffzelle
  2. Roboat MIT-Forscher drucken autonom fahrende Boote
  3. Elektromobilität Norwegen baut mehr Elektrofähren

    •  /