• IT-Karriere:
  • Services:

Automatisierbarer Angriff

Für wahrscheinlicher hält Bogner es, dass ein Angreifer die Kontonummer einer bereits eingegebenen, aber noch nicht ausgeführten Transaktion ändern würde. Das falle vermutlich nicht sofort ins Auge. Aus Sicht eines Pentesters sei es jedoch viel interessanter, das gesamte System zu übernehmen, schreibt Bogner in seinem Blogbeitrag. Auch das gelang. Mithilfe von xp_cmdshell ließen sich Anwendungen auf dem darunterliegenden System ausführen und sogar neue Administratoren im Windows-System anlegen.

Stellenmarkt
  1. Telio Management GmbH, Hamburg
  2. Securiton GmbH IPS Intelligent Video Analytics, München

"Der Angriff war aufwendig, aber er ist automatisierbar", so Bogner weiter. Mittlerweile hat er ein Python-Exploit-Skript veröffentlicht, mit dem sich der Angriff nachvollziehen lässt. Um die frühere Schwachstelle ausnutzen zu können, hätte das System im lokalen Netzwerk erreichbar sein müssen. "Ich vermute, der Angriff wäre vor allem bei größeren Firmen interessant gewesen", sagt Bogner. "Durch Phishing hätte jemand Malware im Firmennetzwerk platzieren und so auf den von der Anwendung genutzten Port zugreifen können."

  • Der User "connector" mit auffällig beschränkten Zugriffsrechten. (Screenshot: Florian Bogner)
  • Mit einem Python-Skript lässt sich der Angriff automatisieren (Screenshot: Florian Bogner)
Mit einem Python-Skript lässt sich der Angriff automatisieren (Screenshot: Florian Bogner)

Im Gespräch mit Golem.de betont Bogner wiederholt, dass die Zusammenarbeit mit der Raiffeisen Software außerordentlich gut und professionell gewesen sei und schnell reagiert worden sei. Auf Anfrage von Golem.de berichtet die Raiffeisen Software, nach der Meldung von Bogner habe das Unternehmen gemeinsam mit ihm, der eigenen Security-Stabsstelle und einem staatlich geprüften Sachverständigen ein zweistufiges Konzept erarbeitet.

Im ersten Schritt sei eine Version bereitgestellt worden, bei der der Login-Prozess unter anderem mehrstufig gestaltet worden sei. "In einem zweiten Schritt wurde mit Hilfe architektonischer Anpassungen - Login mit Benutzereingaben, One-time Credentials, keine parallelen Verbindungen auf die Datenbank - das Angriffsszenario zur Gänze unterbunden", so das Unternehmen. Über das notwendige Update seien alle Kunden informiert worden. Auf der Konferenz IT-SECX werden Florian Bogner und Raphael Zoidl, Application Security Manager bei Raiffeisen Software, den Exploit gemeinsam vorstellen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 IT-Sicherheit: Sicherheitslücke in Banking-Software ELBA-business
  1.  
  2. 1
  3. 2


Anzeige
Spiele-Angebote
  1. 11,49€
  2. 12,99€
  3. 59,99€

M.P. 20. Nov 2018

Als was? Als ELBA? Das würde ich unterschreiben. Aber, als z. B. mit Hibiscus/Jameica...

Howaner 17. Nov 2018

Verbindet sich die Client Software etwa direkt zur SQL Datenbank? Mit so einem...


Folgen Sie uns
       


Java 15: Sealed Classes - Code-Smell oder moderne Erweiterung?
Java 15
Sealed Classes - Code-Smell oder moderne Erweiterung?

Was bringt das Preview Feature aus Java 15, wie wird es benutzt und bricht das nicht das Prinzip der Kapselung?
Eine Analyse von Boris Mayer

  1. Java JDK 15 geht mit neuen Features in die General Availability
  2. Java Nicht die Bohne veraltet
  3. JDK Oracle will "Schmerzen" von Java beheben

IT-Freelancer: Der kürzeste Pfad zum nächsten Projekt
IT-Freelancer
Der kürzeste Pfad zum nächsten Projekt

Die Nachfrage nach IT-Freelancern ist groß - die Konkurrenz aber auch. Der nächste Auftrag kommt meist aus dem eigenen Netzwerk oder von Vermittlern. Doch wie findet man den passenden Mix?
Ein Bericht von Manuel Heckel

  1. Selbstständiger Sysadmin "Jetzt fehlen nur noch die Aufträge"

Todesfall: Citrix-Sicherheitslücke ermöglichte Angriff auf Krankenhaus
Todesfall
Citrix-Sicherheitslücke ermöglichte Angriff auf Krankenhaus

Ein Ransomware-Angriff auf die Uniklinik Düsseldorf, der zu einem Todesfall führte, erfolgte über die "Shitrix" genannte Lücke in Citrix-Geräten

  1. Datenleck Citrix informiert Betroffene über einen Hack vor einem Jahr
  2. Shitrix Das Citrix-Desaster
  3. Perl-Injection Citrix-Geräte mit schwerer Sicherheitslücke und ohne Update

    •  /