Brute-Force-Angriff auf Oracle-Passwörter möglich

Esteban Martinez Fayó von der Sicherheitsfirma AppSec hat nach eigenen Angaben bereits 2010 eine Lücke im Authentifizierungsprotokoll für Oracles Datenbank gefunden. Er berichtete darüber auf der Sicherheitskonferenz Ekoparty in Buenos Aires.

Oracle habe die Lücke zwar Mitte 2011 mit dem Patch-Set 11.2.0.3 geschlossen, das die neue Protokollversion 12 gebracht habe. Allerdings, so Fayó, habe es nie einen Fix für die Datenbankversionen 11.1 und 11.2 gegeben, da das Update nicht in einem von Oracles regelmäßigen "Critical Patch Updates" enthalten gewesen sei. Das neue Protokoll müssten Administratoren selbst aktivieren, sonst werde weiterhin das verwundbare Protokoll 11.2 verwendet.

Nach Fayós Angaben schickt der Datenbankserver bei einem Anmeldeversuch zunächst einen Session-Key und den Salt-Wert des Passwort-Hashes. Ein Angreifer benötige dafür nur den Namen eines Benutzers und einer Datenbank. Anschließend könne er die Kommunikation mit dem Server abbrechen und sich offline einem Brute-Force-Angriff auf das Passwort widmen. Dadurch entstehen keine Einträge über gescheiterte Anmeldeversuche in den Log-Dateien.

Die nicht näher beschriebene Sicherheitslücke ermögliche es, eine Verbindung zwischen dem Session-Key und dem Passwort-Hash des Benutzers herzustellen. Der vom Server übermittelte, zufällig erzeugte Salt-Wert soll Brute-Force-Angriffe auf diesen Hash sehr schwierig machen, da er etwa die Nutzung von Rainbow-Tabellen ausschließt.

Sie seien zwar auch in diesem Fall nicht verwendbar, so Fayó. Doch mit spezieller Hardware, etwa GPUs, und hybriden Wörterbüchern ließen sich die Passwörter recht effizient knacken. Auch Cloud-Dienste kann man dafür nutzen. Dazu probiert der Angreifer sämtliche Zeichenkombinationen durch, bis er einen mit dem vorgegebenen Wert übereinstimmenden Hash findet. Die Wahrscheinlichkeit, damit das richtige Passwort gefunden zu haben, ist sehr hoch. (ck)