20C3: SAP verstärkt im Visier der Sicherheitstester

Sicherheitsexperten der Gruppe Phenoelit führten auf dem Hackertreff 20C3 in Berlin umfangreiche Schwachstellen im Internet Transaction Server und im Web Application Server von SAP in Verbindung mit gängigen Windows-Betriebssystemen vor. Die Programmierer haben dazu auch einen Exploit, eine Demo-Software der Sicherheitslücken, auf ihrer Website veröffentlicht. Das Programm nutzt ferngesteuert vier Buffer Overflows in einem unter Windows laufenden SAP-Server.

Dabei wird beispielsweise das Eingabefeld für Inhalte im gängigen Webprotokoll http kompromittiert und in einem zweiten Schritt auch der als Middleware fungierende AGAte-Dienst von SAP fernsteuerbar. Der wiederum kommuniziert mit dem komplexen Warenwirtschaftssystem R/3 der Walldorfer im Hintergrund. "Man kann dann einfach Mitarbeiter feuern", malte das unter dem Pseudonym "FX" auftretende Mitglied von Phenoelit eine der möglichen Folgen aus.

Vergleichbare Verwundbarkeiten weist der Applikations-Server von SAP auf, sodass Angreifer auch die für zahlreiche Webshops eingesetzte Lösung mySAP attackieren können. Es sei möglich, erläuterte FX, den gesamten Mittelbau von darauf beruhenden Online-Geschäften zu kontrollieren: "Euch gehört die gesamte Maschine", stellte der Programmierer der staunenden Sicherheitsgemeinde vor Augen. Die Angreifer könnten damit "alles machen, was ihr wollt". Also etwa dem Lieblingspolizisten Tausende von Luxusartikeln bestellen oder sich einfach unbemerkt umfangreiches Material fürs eigene Data Mining verschaffen. Die Angreifbarkeit der SAP-Systeme beruht unter anderem auf Schwächen in Microsoft Windows. Unter Linux laufende Server-Versionen der Walldorfer sind bisher nicht von den Sicherheitsproblemen betroffen.

FX hat auch beim Aufspüren und Demonstrieren der auch auf Buffer Overflows beruhenden Windows-Verwundbarkeiten ganze Arbeit geleistet und in 379 Zeilen Perl ein Skript geschrieben, das Unicode-Adressraumprobleme in Microsoft-Systemen sowie darauf basierende Möglichkeiten zum Produzieren "kontrollierter" Abstürze von Windows-Applikationen nutzt. Vorgearbeitet hatten dem Hacker vor allem die amerikanischen Sicherheitsexperten Chris Anley und Dave Aitel, die anhand von Unicode-Fehlern in Windows dem System einen so genannten Jalousien-Code unterjubeln. FX hat die vorliegenden und beispielsweise von Anley im Web veröffentlichten Ansätze (PDF-Datei) durch die Überarbeitung einiger Befehle deutlich raffinierter gemacht, sodass die Programmroutine nach seinen Angaben auf einer Maschine mit einem Gigabyte Arbeitsspeicher nur 30 Sekunden in Anspruch nimmt und somit keinen Alarm bei Systemadministratoren auslösen sollte.

Auf SAP dürften im kommenden Jahr noch einige andere Sicherheitsprobleme zukommen. Die gewisse Schonzeit, welche den Walldorfern die Komplexität und Intransparenz ihrer R/3-Standardsoftware gebracht hat, ist vorbei, sind sich die Sicherheitsexperten einig. Neben Phenoelit "basteln auch einige andere Gruppen daran", die sich aus der Verknüpfung von immer mehr Warenwirtschaftssystemen mit dem Internet ergebenden "saftigen Ziele" intensiven Sicherheitsprüfungen zu unterziehen, betont Frank Rieger vom Chaos Computer Club (CCC). Das läge auch daran, dass viele Informatiker angesichts der Branchenflaute Fortbildungen für SAP-Systeme absolviert hätten. Es sei beispielsweise durchaus auch denkbar, dass die R/3-Sprache ABAP (Advanced Business Application Programming) 2004 verstärkt von Virenschreibern genutzt werde. SAP werde wohl oder übel seine Sicherheitsbemühungen und vor allem seine Informationspolitik verbessern müssen. Für FX ist die Lehre aus dem SAP-Exploit jedenfalls klar: "Nur weil eine Plattform obskur ist und eine Menge undokumentierter Sachen benutzt, bedeutet das nicht, dass sie nicht kompromittierbar ist."

Zum 20. Chaos Communication Congress siehe auch:

• Wahlmaschinen-Massaker und Blinkenlights mit Kontinenten
• "Lesemaschine" fürs Parlament
• Unfreiwillige Neujahrs- und Friedensbotschaften im Web
• Trusted Computing soll Farbe bekennen
• Proteste gegen Funkchips in Pässen
• Jubiläums-Hackertreff startet mit Bugs
• 20 Jahre Chaos, Kommunikation und Hackermythen in Telepolis

• Not A Number -- Website des 20C3

(Stefan Krempl) / (jk)