SAP-Hinweise – März-Rückblick: Häufig gestellte Fragen zu Hinweisen mit hoher Priorität

Von:

7. April 2017

Es sind nur noch wenige Tage bis zur Veröffentlichung der SAP-Sicherheitshinweise für April. Da der vergangene Monat einige der kritischsten Hinweise enthielt, die wir bisher für SAP gesehen haben, möchten wir noch einmal auf einige Punkte aus dem März eingehen, um sicherzustellen, dass wir alles vollständig abgedeckt haben, bevor wir in den April starten. Es war ein interessanter Monat für die SAP-Sicherheit, da die Erkenntnisse unserer Forscher den zweiten „Hot News“-Hinweis des Jahres 2017 hervorbrachten. Darüber hinaus wurden im März jedoch noch einige andere wichtige Schwachstellen veröffentlicht, die als „High Priority“ eingestuft wurden und behoben werden sollten, falls sie in SAP-Systemen vorhanden sind.

Wenn Sie weitere Informationen zu der kritischen Sicherheitslücke „SAP HANA User-Self-Service“ aus dem letzten Monat wünschen, lesen Sie unserenBlogbeitrag vom März.

Nun wollen wir uns den beiden anderen SAP-Hinweisen zuwenden, damit Sie ein tieferes Verständnis davon bekommen.

Sicherheitslücke, die die Ausführung von Remote-Code in SAP GUI für Windows ermöglicht

Dieser Fehler wurde mitdem SAP-Sicherheitshinweis 2407616 behoben. Im Folgenden habe ich die Schritte aufgeführt, die ein Angreifer ausführen müsste, um diese Sicherheitslücke erfolgreich auszunutzen:

  • 1.) Bevor ein Angreifer diese spezielle Sicherheitslücke ausnutzen kann, müsste er zunächst eine andere Sicherheitslücke im SAP-Server ausnutzen, die es ihm ermöglicht, eine neue Transaktion oder einen neuen Bericht hochzuladen. Dabei handelt es sich höchstwahrscheinlich um einen bestimmten Fehler, der einem Angreifer diese Art von Aktivität ermöglicht.
  • 2.) Ist Schritt 1 erfüllt, nutzt die neu erstellte Transaktion eine Schwachstelle im SAP-GUI des Clients aus, wo die Ausnutzung stattfindet.
  • 3.) Wenn der Endbenutzer versucht, sich bei SAP GUI anzumelden, wird der Code des Angreifers, der in der neu erstellten Remote-Transaktion/dem Remote-Bericht gespeichert ist, auf dem Rechner des Endbenutzers ausgeführt.

Wie bereits erwähnt, muss ein Angreifer – selbst wenn die Sicherheitslücke zur Ausführung von Befehlen aus der Ferne vorhanden (und ausnutzbar) ist – zunächst Zugriff auf den SAP-Server haben und über die Berechtigung verfügen, neue Transaktionen anzulegen. Aus diesem Grund ist der Angriff auf SAP-Administratoren, privilegierte Benutzer oder Angreifer beschränkt, die bereits eine andere Sicherheitslücke im Server ausgenutzt haben.

Andererseits ist es für einen Angreifer, sobald er Zugriff auf den Server hat, nicht unbedingt die klügste Vorgehensweise, anschließend Endgeräte (über das SAP-GUI) anzugreifen, da er ja bereits Zugriff auf Ihren wichtigsten Server hat! Daher wäre es für das Unternehmen wahrscheinlich gefährlicher, wenn der Angreifer Payloads oder andere Befehle auf dem Server ausführt, als wenn er diesen Angriff über das SAP-GUI durchführt.

Neben der Aktualisierung aller SAP-GUI-Dateien zur Behebung dieses Fehlers wird dringend empfohlen, auch Ihre Server zu aktualisieren und Ihre SAP-Infrastruktur auf Angriffe zu überwachen, um zu verhindern, dass Angreifer den für die Durchführung dieses Angriffs erforderlichen Zugriff erlangen.

Auch andere Unternehmen haben uns gefragt, ob bei diesem Angriff die Gefahr einer Infektion mit Ransomware besteht. Diese Möglichkeit besteht zwar, ist aber genauso wahrscheinlich wie eine Infektion mit jeder anderen Malware. Zudem ist eine Infektion mit jedem anderen Programmfehler möglich, der es einem Angreifer erlaubt, beliebigen Code auszuführen. Mit anderen Worten: Es gibt keinen spezifischen Zusammenhang zwischen diesem Angriff und Ransomware; es handelt sich lediglich um ein Beispiel dafür, wie diese Sicherheitslücke ausgenutzt werden könnte.

Sicherheitslücke durch fehlende XML-Validierung in Web-Survey

Ein weiterer Hinweis mit hoher Priorität aus dem März istder SAP-Sicherheitshinweis 2308217. Dieser Hinweis betrifft die Funktion zur Verarbeitung eingehender E-Mails in SAP-Systemen und könnte es Angreifern ermöglichen, bei erfolgreicher Ausnutzung einen Denial-of-Service-Angriff (DoS) durchzuführen.

Dieser Fehler ist auf eine unzureichende Validierung von XML-Dokumenten zurückzuführen und würde, wie bereits erwähnt, die Verfügbarkeit von Informationen beeinträchtigen. Die Forscher, die den Fehler entdeckt haben, gaben an, dass etwa die Hälfte der SAP-Kunden diese Funktion aktiviert hat. Wenn Sie also in Ihren SAP-Systemen Funktionen für den E-Mail-Eingang aktiviert haben, könnte ein Angreifer diesen Angriff ausführen, allerdings NUR durch das Versenden einer bestimmten E-Mail.

Sie können Ihre Infrastruktur sichern, indem Sie den entsprechenden Patch installieren. Nach der Installation kann ein Angreifer diesen Fehler nicht mehr ausnutzen.

Fazit

Wie bereits erwähnt, waren die Sicherheitslücken „Session Fixation Vulnerability“ (CVSS 8.8) und „SAP HANA User Self Service“ (CVSS 9.8) die wichtigsten SAP-Hinweise, die im März gepatcht werden mussten. Falls Sie dies noch nicht getan haben, sollten Sie dies als SAP-HANA-Anwender unbedingt vorrangig erledigen. CVSS ist ein Standardwert, der angibt, wie riskant ein bestimmter Fehler ist; daher ist seine Bewertung ein genauer Indikator für das Risiko eines Fehlers. Die beiden in diesem Blogbeitrag beschriebenen Fehler weisen niedrigere CVSS-Werte auf (8,0 bzw. 7,5).

Dennoch sollten alle Schwachstellen mit dem Risikograd „Hoch“ vorrangig behandelt und sorgfältig untersucht werden, um potenzielle Gefahren für Ihre SAP-Systeme so schnell wie möglich zu minimieren. Leider liegt derzeit ein Proof-of-Concept für einen dieser Fehler vor, was die Wahrscheinlichkeit erhöht, dass er von einem Angreifer ausgenutzt wird. Wir möchten betonen, dass von unseren Forschern gemeldete Fehler 90 Tage vor der Veröffentlichung eines Hinweises niemals technische Details enthalten, da wir an eine verantwortungsvolle Offenlegung von Informationen gegenüber unseren Kunden und dem Markt glauben.

Seien Sie gespannt auf unseren nächsten Blogbeitrag, der am kommenden Dienstag, dem 11. April 2017, erscheint.

Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen