Automatisierbarer Angriff

Für wahrscheinlicher hält Bogner es, dass ein Angreifer die Kontonummer einer bereits eingegebenen, aber noch nicht ausgeführten Transaktion ändern würde. Das falle vermutlich nicht sofort ins Auge. Aus Sicht eines Pentesters sei es jedoch viel interessanter, das gesamte System zu übernehmen, schreibt Bogner in seinem Blogbeitrag. Auch das gelang. Mithilfe von xp_cmdshell ließen sich Anwendungen auf dem darunterliegenden System ausführen und sogar neue Administratoren im Windows-System anlegen.

Stellenmarkt
  1. Android-Entwickler (m/w/d) - Connected Car
    e.solutions GmbH, Ingolstadt
  2. Softwareentwickler C# .NET (m/w/d)
    Dentsply Sirona, The Dental Solutions Company(TM), Bensheim bei Darmstadt
Detailsuche

"Der Angriff war aufwendig, aber er ist automatisierbar", so Bogner weiter. Mittlerweile hat er ein Python-Exploit-Skript veröffentlicht, mit dem sich der Angriff nachvollziehen lässt. Um die frühere Schwachstelle ausnutzen zu können, hätte das System im lokalen Netzwerk erreichbar sein müssen. "Ich vermute, der Angriff wäre vor allem bei größeren Firmen interessant gewesen", sagt Bogner. "Durch Phishing hätte jemand Malware im Firmennetzwerk platzieren und so auf den von der Anwendung genutzten Port zugreifen können."

  • Der User "connector" mit auffällig beschränkten Zugriffsrechten. (Screenshot: Florian Bogner)
  • Mit einem Python-Skript lässt sich der Angriff automatisieren (Screenshot: Florian Bogner)
Mit einem Python-Skript lässt sich der Angriff automatisieren (Screenshot: Florian Bogner)

Im Gespräch mit Golem.de betont Bogner wiederholt, dass die Zusammenarbeit mit der Raiffeisen Software außerordentlich gut und professionell gewesen sei und schnell reagiert worden sei. Auf Anfrage von Golem.de berichtet die Raiffeisen Software, nach der Meldung von Bogner habe das Unternehmen gemeinsam mit ihm, der eigenen Security-Stabsstelle und einem staatlich geprüften Sachverständigen ein zweistufiges Konzept erarbeitet.

Im ersten Schritt sei eine Version bereitgestellt worden, bei der der Login-Prozess unter anderem mehrstufig gestaltet worden sei. "In einem zweiten Schritt wurde mit Hilfe architektonischer Anpassungen - Login mit Benutzereingaben, One-time Credentials, keine parallelen Verbindungen auf die Datenbank - das Angriffsszenario zur Gänze unterbunden", so das Unternehmen. Über das notwendige Update seien alle Kunden informiert worden. Auf der Konferenz IT-SECX werden Florian Bogner und Raphael Zoidl, Application Security Manager bei Raiffeisen Software, den Exploit gemeinsam vorstellen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 IT-Sicherheit: Sicherheitslücke in Banking-Software ELBA-business
  1.  
  2. 1
  3. 2


Aktuell auf der Startseite von Golem.de
Bald exklusiv bei Disney+
Serien verschwinden aus Abos von Netflix und Prime Video

Acht Serienklassiker gibt es bald nur noch exklusiv bei Disney+ im Abo. Dazu gehören Futurama, Family Guy und 24.
Von Ingo Pakalski

Bald exklusiv bei Disney+: Serien verschwinden aus Abos von Netflix und Prime Video
Artikel
  1. Chorus im Test: Action im All plus galaktische Grafik
    Chorus im Test
    Action im All plus galaktische Grafik

    Schicke Grafik und ein sprechendes Raumschiff: Chorus von Deep Silver entpuppt sich beim Test als düsteres und spannendes Weltraumspiel.
    Von Peter Steinlechner

  2. Mobilfunkexperte: Afghanischer Ex-Minister hat nach Lieferando einen neuen Job
    Mobilfunkexperte
    Afghanischer Ex-Minister hat nach Lieferando einen neuen Job

    Der frühere afghanische Kommunikationsminister Syed Sadaat arbeitet nicht mehr bei Lieferando in Leipzig. Nun wird er Partner bei einem Maskenhersteller.

  3. Edge-Browser: Microsoft will Installation von Chrome verhindern
    Edge-Browser
    Microsoft will Installation von Chrome verhindern

    Microsoft intensiviert sein Vorgehen gegen andere Browser: Vor der Installation von Chrome wird Edge übertrieben gelobt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Advent: Toshiba Canvio 6TB 88€ • KFA2 Geforce RTX 3070 OC 8GB 1.019€ • Netgear günstiger (u. a. 5-Port-Switch 16,89€) • Norton 360 Deluxe 2022 18,99€ • Gaming-Monitore zu Bestpreisen (u. a. Samsung G3 27" FHD 144Hz 219€) • Spiele günstiger (u. a. Hades PS5 15,99€) [Werbung]
    •  /