von Redaktion IT-A…
Lesezeit
1 Minute
Salesforce-Daten in Gefahr
Unternehmen, die Salesforce Communities und Einstein Activity Capture verwenden, haben möglicherweise unwissentlich die Outlook- oder Google-Kalenderereignisse ihrer Administratoren für jeden im Internet zugänglich gemacht. Hierzu gehören sensible Inhalte wie Namen und E-Mails von Teilnehmern, URLs und Passwörter von Meetings, Tagesordnungen und Dateianhänge.
Obwohl Salesforce den Fehler im Sommer-Update schnell gepatcht hat, bleibt das Risiko bestehen, wie Untersuchungen der Sicherheitsforscher von Varonis Systems [1] zeigen: Alle Unternehmen, die ihre Salesforce Community vor dem Sommer 2021 erstellt haben, müssen die gefährdeten Kalenderereignisse bereinigen, um die "Einsteins Wurmloch" genannte Sicherheitslücke zu schließen.
Einstein Activity Capture (EAC) ist ein Tool, mit dem E-Mails und Kalenderereignisse zwischen Ihren Microsoft Exchange- oder Google-Konten und Salesforce synchronisiert werden können. Wenn man als Organisator ein Meeting erstellt, versucht Einstein, andere Salesforce-Benutzer wie Leads oder Kontakte zu finden, mit denen das Event synchronisiert werden kann.
Unabhängig davon ermöglichen Salesforce Communities Kunden und Partnern eine Schnittstelle zur Salesforce-Instanz von außerhalb des Unternehmens, wodurch sie unter anderem Support-Tickets öffnen, Fragen stellen oder Abonnements verwalten können. Wenn man eine Community-Site erstellt, wird ein spezieller Gastbenutzer angelegt, der nicht authentifizierte Benutzer repräsentiert. Dabei kann festgelegt werden, welche Teile der Community für Gäste, also letztlich das Internet, zugänglich sein sollen, ohne dass eine Anmeldung erforderlich ist.
Einsteins Wurmloch
Bis zum Sommer-Update 2021 wurden Gastbenutzer mit der E-Mail-Adresse des Salesforce-Administrators erstellt. Dementsprechend sah der Synchronisations-Prozess folgendermaßen aus: Nehmen wir an, der CTO sendet eine Outlook-Besprechungseinladung an den Salesforce-Administrator des Unternehmens namens Judy. Es handelt sich um ein sensibles, geschäftskritisches Meeting, an dem mehrere wichtige Akteure des Unternehmens beteiligt sind. Da der Gastbenutzer die gleiche E-Mail-Adresse wie Judy hat, passiert Folgendes:
Dies hat zur Folge, dass die Veranstaltung und ihre Details (Teilnehmer, Thema, Einwahl, Zoom-Link und sogar die Antworten auf die Einladung) über den Gastbenutzer im Internet zugänglich sind. Mit einem Meeting-Link, einem Passwort und einer Teilnehmerliste könnte ein Angreifer unbemerkt an einem Meeting teilnehmen, in dem womöglich sensible und geschäftskritische Informationen ausgetauscht werden. Zudem können Angreifer die Daten nutzen, um Spearphishing-Angriffe auszuführen.
Abhilfe
Die Sicherheitsforscher von Varonis haben in einem Blogbeitrag [2] ein Skript veröffentlicht, das Salesforce-Administratoren in der Salesforce Development Console verwenden können, um das Problem zu beheben.
dr
[1] https://www.varonis.com/de/
[2] https://www.varonis.com/blog/salesforce-einstein-wormhole
Einstein Activity Capture (EAC) ist ein Tool, mit dem E-Mails und Kalenderereignisse zwischen Ihren Microsoft Exchange- oder Google-Konten und Salesforce synchronisiert werden können. Wenn man als Organisator ein Meeting erstellt, versucht Einstein, andere Salesforce-Benutzer wie Leads oder Kontakte zu finden, mit denen das Event synchronisiert werden kann.
Unabhängig davon ermöglichen Salesforce Communities Kunden und Partnern eine Schnittstelle zur Salesforce-Instanz von außerhalb des Unternehmens, wodurch sie unter anderem Support-Tickets öffnen, Fragen stellen oder Abonnements verwalten können. Wenn man eine Community-Site erstellt, wird ein spezieller Gastbenutzer angelegt, der nicht authentifizierte Benutzer repräsentiert. Dabei kann festgelegt werden, welche Teile der Community für Gäste, also letztlich das Internet, zugänglich sein sollen, ohne dass eine Anmeldung erforderlich ist.
Einsteins Wurmloch
Bis zum Sommer-Update 2021 wurden Gastbenutzer mit der E-Mail-Adresse des Salesforce-Administrators erstellt. Dementsprechend sah der Synchronisations-Prozess folgendermaßen aus: Nehmen wir an, der CTO sendet eine Outlook-Besprechungseinladung an den Salesforce-Administrator des Unternehmens namens Judy. Es handelt sich um ein sensibles, geschäftskritisches Meeting, an dem mehrere wichtige Akteure des Unternehmens beteiligt sind. Da der Gastbenutzer die gleiche E-Mail-Adresse wie Judy hat, passiert Folgendes:
- Salesforce findet die Veranstaltung des CTO, bei der der Administrator ein Teilnehmer ist.
- Salesforce sucht nach Benutzern und anderen Objekten mit einer E-Mail-Adresse, die mit den Teilnehmern übereinstimmt.
- Salesforce findet dabei den Salesforce-Admin Judy und synchronisiert das Ereignis mit ihrem Kalender.
- Salesforce findet auch den Gastnutzer und synchronisiert das Ereignis mit dem Kalender des Gastnutzers.
Dies hat zur Folge, dass die Veranstaltung und ihre Details (Teilnehmer, Thema, Einwahl, Zoom-Link und sogar die Antworten auf die Einladung) über den Gastbenutzer im Internet zugänglich sind. Mit einem Meeting-Link, einem Passwort und einer Teilnehmerliste könnte ein Angreifer unbemerkt an einem Meeting teilnehmen, in dem womöglich sensible und geschäftskritische Informationen ausgetauscht werden. Zudem können Angreifer die Daten nutzen, um Spearphishing-Angriffe auszuführen.
Abhilfe
Die Sicherheitsforscher von Varonis haben in einem Blogbeitrag [2] ein Skript veröffentlicht, das Salesforce-Administratoren in der Salesforce Development Console verwenden können, um das Problem zu beheben.
dr
[1] https://www.varonis.com/de/
[2] https://www.varonis.com/blog/salesforce-einstein-wormhole
