Poke schaltet Oracles Datenbank-Auditing ab
Mit einem schon aus der Programmiersprache Basic bekannten Befehl sollen Unbefugte die Auditing-Funktionen von Oracle-Datenbanken abschalten können. Nach Meinung eines Experten seien darauf aufsetzende Produkte wie Oracle Audit Vault damit "fast nutzlos".
Auf der diesjährigen Hacktivity-Konferenz [1] in Budapest hat der Sicherheitsexperte László Tóth [2] ein Verfahren [3] (PDF) gezeigt, mit dem sich die Auditing-Funktionen und die Authentifizierung in allen Versionen von Oracles Datenbank lahmlegen lassen sollen. Dazu nutzt er den nicht dokumentierten, aber bei jeder Oracle-Installation vorhandenen Befehl oradebug [4]. Auditing soll das zuverlässige Protokollieren von Datenbankaktionen gewährleisten, sodass sich Manipulationen zurückverfolgen lassen.
oradebug
kennt unter anderem den bereits vor Jahrzehnten in Basic zum Ändern von Speicherinhalten benutzten Befehl Poke
. Damit lässt sich laut Tóth das Auditing für System-Benutzer mit Privilegien wie SYSDBA und SYSOPER abstellen. Voraussetzung sei lediglich, dass der Angreifer oradebug
ausführen könne – dazu genügt das SYSDBA-Privileg, das für einen Datenbankadministrator leicht zu erlangen ist. Auch das zeigt Tóths Präsentation.
Für das Abschalten des Auditing reicht es, per SQL-Statement die Speicheradresse einer Systemvariablen aus der internen Tabelle X$KSMFSV
auszulesen. Anschließend setzt man sie auf Null:
SQL> oradebug poke 0×60031bb0 1 0
BEFORE: [060031BB0, 060031BB4) = 00000001
AFTER: [060031BB0, 060031BB4) = 00000000
Der Oracle-Sicherheitsexperte Alexander Kornbrust [5] hält deshalb Produkte wie Oracle Audit Vault [6], die auf den Auditing-Funktionen der Datenbank aufsetzen und laut Eigenwerbung auch die Aktionen privilegierter Benutzer protokollieren sollen, für "fast nutzlos". Ein SYSDBA/SYSOPER-Nutzer könne das Auditing kurz abschalten, einige Operationen durchführen und es dann wieder aktivieren. (ck [7])
URL dieses Artikels:
https://www.heise.de/-1345276
Links in diesem Artikel:
[1] https://hacktivity.com/en/hacktivity-2011/
[2] https://hacktivity.com/en/hacktivity-2011/speakers/laszlo-toth/
[3] http://soonerorlater.hu/download/hacktivity_lt_2011_en.pdf
[4] http://www.evdbt.com/Oradebug_Modrakovic.pdf
[5] http://blog.red-database-security.com/2011/09/17/disable-auditing-and-running-os-commands-using-oradebug/
[6] http://www.oracle.com/technetwork/database/audit-vault/overview/index.html
[7] mailto:ck@ix.de
Copyright © 2011 Heise Medien