Abo
  • IT-Karriere:

IT-Sicherheit: Sicherheitslücke in Banking-Software ELBA-business

Die Netzwerkinstallation der österreichischen Banking-Software ELBA-business ließ sich übernehmen - mitsamt darunterliegendem System. Der Angriff war aufwendig, aber automatisierbar.

Artikel veröffentlicht am , Anna Biselli
ELBA-business wird von österreichischen Firmen genutzt.
ELBA-business wird von österreichischen Firmen genutzt. (Bild: Screenshot: Florian Bogner / Montage: Golem.de)

Der Pentester Florian Bogner startete den Online-Banking-Client einer österreichischen Firma und wurde stutzig: Die Anwendung ELBA-business suchte automatisch nach Updates und installierte sie. Erst dann fragte das Programm den Nutzer nach Nutzernamen und Passwort. Von diesem ersten Verdachtsmoment aus forschte Bogner weiter und konnte schließlich die komplette Datenbank und das darunterliegende System übernehmen. Damit wäre es einem Angreifer nicht nur möglich gewesen, Banktransaktionen zu manipulieren, sondern auch, beliebige Programme auf dem Zielsystem auszuführen, berichtet er in einem Blogbeitrag.

Inhalt:
  1. IT-Sicherheit: Sicherheitslücke in Banking-Software ELBA-business
  2. Automatisierbarer Angriff

ELBA5 ist in Österreich weit verbreitet, die Business-Variante unterstützt 24 österreichische Banken. Von der Sicherheitslücke waren ausschließlich Anwender der Netzwerkinstallation betroffen, keine Einzelplatzinstallationen. Mit der Netzwerkinstallation können Firmen von mehreren Arbeitsplätzen aus verschiedene Konten bei unterschiedlichen Banken mit einem einzelnen System verwalten. Entwickelt wird die Anwendung von der Raiffeisen Software GmbH. Durch die Zusammenarbeit von Bogner mit dem Unternehmen ist das Problem mittlerweile behoben und eine aktualisierte Software-Version steht zur Verfügung. Ein Schaden sei nicht entstanden, sagte die Raiffeisen Software auf Nachfrage von Golem.de, denn die Schwachstelle sei nicht von Angreifern ausgenutzt worden.

Ein verdächtiger Update-Mechanismus gibt den Hinweis

Hinter dem verdächtigen Updatemechanismus vermutete Bogner von der Firma Bee IT Security hardgecodete Login-Daten, die eine Verbindung zum Backend möglich machten, um die Aktualisierung auszulösen. Also suchte er während des Anmeldeprozesses im Speicher nach Inhalten, die wie Nutzernamen und Passwörter aussahen. Er fand gleich zwei solcher Paare: eines für den User "connector" und eines für "elba". Während "elba" über Administratorprivilegien verfügte, hatte "connector" nur sehr begrenzte Zugriffsrechte - für eine einzelne Spalte in einer einzigen Datenbanktabelle.

  • Der User "connector" mit auffällig beschränkten Zugriffsrechten. (Screenshot: Florian Bogner)
  • Mit einem Python-Skript lässt sich der Angriff automatisieren (Screenshot: Florian Bogner)
Der User "connector" mit auffällig beschränkten Zugriffsrechten. (Screenshot: Florian Bogner)

In dieser Spalte lag das mit AES verschlüsselte Administrator-Passwort. In einer Bibliothek, in die die Datenbanklogik ausgelagert war, ergaben sich weitere Hinweise, und so fand Bogner im Speicher den statischen Key, um das Passwort des Administrator-Users "elba" zu entschlüsseln.

Der Angreifer könnte eigene Transaktionen eingeben

Stellenmarkt
  1. Information und Technik Nordrhein-Westfalen (IT.NRW), Hagen, Düsseldorf
  2. Lidl Dienstleistung GmbH & Co. KG, Neckarsulm

"Kombiniert man, was ich bis dahin herausgefunden habe, stellt man fest: Es war verlässlich möglich, Datenbank-Administratorrechte für jede ELBA5-Netzwerkinstallation zu bekommen", schreibt Bogner in seinem Blogbeitrag. Damit könnte ein Nutzer beispielsweise neue Transaktionen anlegen und sich selbst Geld überweisen. "Der Exploit hebelt das TAN-Verfahren aber nicht aus", sagte er im Gespräch mit Golem.de. Jemand muss die Transaktion also noch autorisieren: "Es ist recht unwahrscheinlich, dass eine komplett neue Transaktion da nicht auffallen würde."

Automatisierbarer Angriff 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. (u. a. beide Spiele zu Ryzen 9 3000 oder 7 3800X Series, eines davon zu Ryzen 7 3700X/5 3600X/7...

M.P. 20. Nov 2018

Als was? Als ELBA? Das würde ich unterschreiben. Aber, als z. B. mit Hibiscus/Jameica...

Howaner 17. Nov 2018

Verbindet sich die Client Software etwa direkt zur SQL Datenbank? Mit so einem...


Folgen Sie uns
       


Sonos Move ausprobiert (Ifa 2019)

Wir haben den Move ausprobiert, Sonos' ersten Lautsprecher mit Akku, Bluetooth-Zuspielung und Auto-Trueplay.

Sonos Move ausprobiert (Ifa 2019) Video aufrufen
Facebook Horizon ausprobiert: Social-VR soll kommen, um zu bleiben
Facebook Horizon ausprobiert
Social-VR soll kommen, um zu bleiben

Mit Horizon entwickelt Facebook eine virtuelle Welt, um Menschen per VR-Headset zusammenzubringen. Wir haben Kevin vermöbelt, mit Big Alligator eine Palme gepflanzt und Luftkämpfe um bunte Fahnen ausgetragen.
Von Marc Sauter

  1. VR-Rundschau Mit Vader auf die dunkle Seite des Headsets
  2. Virtual Reality HTC Vive Cosmos bietet 1.440 x 1.700 Pixel pro Auge
  3. Anzeige Osrams LEDs und Sensoren machen die virtuelle Welt realer

Teamviewer: Ein schwäbisches Digitalwunder
Teamviewer
Ein schwäbisches Digitalwunder

Team wer? Eine schwäbische Softwarefirma hilft weltweit, per Fernzugriff Computer zu reparieren. Nun geht Teamviewer an die Börse - mit einer Milliardenbewertung.
Ein Bericht von Lisa Hegemann

  1. Fernwartungssoftware Permiras Teamviewer erhofft sich 5 Milliarden Euro Bewertung

Inside Bill's Brain rezensiert: Nicht nur in Bill Gates' Kopf herrscht Chaos
Inside Bill's Brain rezensiert
Nicht nur in Bill Gates' Kopf herrscht Chaos

Einer der erfolgreichsten Menschen der Welt ist eben auch nur ein Mensch: Die Netflix-Doku Inside Bill's Brain - Decoding Bill Gates zeichnet das teils emotionale Porträt eines introvertierten und schlauen Nerds, schweift aber leider zu oft in die gemeinnützige Arbeit des Microsoft-Gründers ab.
Eine Rezension von Oliver Nickel

  1. Microsoft Netflix bringt dreiteilige Dokumentation über Bill Gates

    •  /