Fachartikel

Sicherheitslücken mittels Pentestern und White-Hat-Hackern identifizieren

Ebenso unterschiedlich wie die Einsatzszenarien digitaler Werkzeuge in Unternehmen ausfallen, so vielfältig gestalten sich die einhergehenden Sicherheitslücken und Fehlkonfigurationen. Oft ist dies hastig entwickelten Anwendungen oder einem zu schnellen Ausbau der IT-Infrastruktur geschuldet – zuweilen mit der Priorisierung Schnelligkeit vor Sicherheit. White-Hat-Hacker können hier mithilfe von Pentesting einen Ausweg bieten, um die Sicherheit trotz Zeitdruck nicht nur in Applikationen, sondern auch in Konfigurationen signifikant zu verbessern.
White-Hat-Hacker machen im Firmenauftrag Sicherheitslücken ausfindig.
Unternehmen sind vernetzter als je zuvor. Die digitalen Produktions- und Lieferprozesse erfordern dabei eine wachsende Zahl von Datenverbindungen zu Lieferanten, Kunden und Partnerunternehmen. Gleichzeitig steigt aber die Komplexität der Unternehmens-IT durch neue Paradigmen und die Funktionsvielfalt der Infrastruktur, deren Anbindung und Zugriffsmöglichkeiten. Darüber hinaus ist aber auch das Thema Cybersicherheit zu einer der wichtigsten Prioritäten von Unternehmen geworden, waren doch 2019 drei von vier Unternehmen von einem Cyberangriff betroffen, so das Ergebnis einer Bitkom-Studie zum Thema Cyberkriminalität. Entsprechend müssen sich die Unternehmen dringend darüber Gedanken machen: Wie lässt sich die IT-Infrastruktur besser vor Angriffen schützen?

Nun arbeiten die Hersteller der IT-Lösungen zwar intensiv daran, diese Systeme ab Werk möglichst sicher auf dem Markt zu bringen. Es wird getestet und untersucht sowie jede mögliche Schnittstelle, jede Variable auf potenziellen Missbrauch geprüft. Doch das ist nur die eine Seite der Medaille. Die andere ist die Konfiguration der Lösung. Auch hier sind selbst die besten Experten nicht davor gefeit, dass ihnen Fehler unterlaufen.

IDOR als Negativbeispiel
Es ist nicht so ganz einfach, verlässliche Daten für die Häufigkeit von sicherheitsrelevanten Falsch- oder Fehlkonfigurationen zu erhalten, doch bietet gerade das Web und der Auftritt der Unternehmen mit eigenen Webshops hier ein Beispiel, dass es nicht immer die Schwachstelle ab Werk sein muss, die die Sicherheit gefährdet. Denn auch die Konfiguration kann durchaus eine wichtige Rolle dabei spielen und daraus können ebenfalls schwerwiegende Konsequenzen erwachsen.

Bei IDOR (Insecure Direct Object Reference) handelt es sich eine Schwachstelle in der Zugriffskontrolle. Oft tritt sie bei Webanwendungen oder APIs auf, wenn ein direkter Zugriff auf eine interne Datenbank erfolgt, dieser Zugriff aber nicht kontrolliert oder authentifiziert wird. Diese Sicherheitslücke können Angreifer relativ einfach ausnutzen, beispielsweise, wenn Benutzer die Möglichkeit haben, Inhalte auf einer Onlineplattform durch andere Inhalte zu ersetzen. Eine nicht sorgfältig genug geprüfte Konfiguration macht es dann möglich, das Verhalten der Plattform zu verändern, Daten zu stehlen oder auch das System als Host für Schadsoftware zu missbrauchen.
Dabei bedarf es keines besonderes großen Aufwands von Seiten der Angreifer, denn IDOR-Attacken sind einfach auszuführen. Der Hacker manipuliert schlicht HTTP-Anfragen, indem er einen der Parameter ändert, um Zugriff auf die Informationen seiner Wahl zu erhalten. Ein solcher Angriff ist möglich, wenn Entwickler von Websites und Webapps einen zu direkten Zugriff auf Informationen erlauben, ohne die Folgen zu kontrollieren. IDOR-Attacken sind daher bei Hackern sehr beliebt und kommen entsprechend häufig zum Einsatz. Es gibt dabei jedoch nicht nur eine, sondern gleich mehrere Arten dieser Angriffsform. Dazu zählen unter anderem

  • Modifikation von Webseiten: Hacker sind in der Lage, den Wert eines Kontrollkästchens, einer Optionsschaltfläche, von APIs und Formularfeldern zu ändern, um auf diese Weise die Informationen von Website-Benutzern zu sammeln.
  • URL-Manipulation, bei der die URL des Clients durch Manipulation der Parameter der HTTP-Anfrage verändert wird.
  • HTTP-Anfragen, die IDOR-Schwachstellen beherbergen.
In ihrer einfachsten und häufigsten Form entsteht eine IDOR-Schwachstelle, wenn der Benutzer in der Lage ist, ohne Autorisierung auf Inhalte zuzugreifen und diese zu ersetzen. Wie problemlos das sein kann, hatte der White-Hat-Hacker Rojan Rijal 2018 bei Shopify nachgewiesen. Er achtete darauf, wie Dateianhänge beim Senden einer Anfrage an die Exchange-Marketplace-App von Shopify getaggt wurden. Aufgrund des Musters, dass sich sehr schnell herauskristallisierte, war er anschließend in der Lage, Dokumente mit demselben Dateinamen von verschiedenen Konten zu ersetzen.

Ein anderes Beispiel war eine Fehlkonfiguration bei der umstrittenen Social-Media- und Microblogging-Plattform Parler. Das Unternehmen nummerierte Beiträge in der URL, was ein Indikator für IDOR ist. Sobald also die zur Nummerierung verwendete Zahl innerhalb der URL eines Parler-Beitrags hochgezählt wurde, konnte man uneingeschränkt auf den nächsten Beitrag der Plattform zugreifen. Ohne Authentifizierung war es daher für einen Hacker problemlos möglich, ein Programm zu entwickeln, mit dem er die gesamten Nachrichten, Fotos, Videos und Daten der Website herunterladen konnte. Wenn es sich nur um öffentliche Nachrichten handelte, wurden auch die in den Nachrichten enthaltenen Geolokalisierungsdaten heruntergeladen. Dadurch waren die Wohnorte der Benutzer einsehbar. Probleme dieser Art sind nicht nur peinlich für das Unternehmen, sie können – durch entsprechende Bußgelder der Behörden – richtig teuer werden.



Seite 1 von 2 Nächste Seite >>
30.06.2021/ln/Laurie Mercer, Security Engineer bei HackerOne

Nachrichten

Genauer Blick aufs Active Directory [30.07.2021]

Angesichts der wachsenden Zahl von Ransomware-Angriffen und ausgeklügelten Cyberangriffen hat Tenable zehn grundlegende Konfigurationschecks für seine Produkte entwickelt, darunter Tenable.io, Tenable.sc sowie Nessus Professional und Nessus Essentials. Diese bewerten die Active-Directory-Sicherheit und stimmen die Gegenmaßnahmen auf die Bedrohungslage ab. [mehr]

Erweiterte Angriffserkennung [30.07.2021]

Sophos hat sein Endpoint-Detection-and-Response-Angebot "Intercept X with EDR" und sein Extended-Detection-and-Response-System "XDR" in einem Produkt zusammengefasst. Kunden, die Sophos-Security-Dienste mit EDR im Einsatz haben, würden derzeit automatisch und kostenlos auf die umfangreichere XDR-Technologie umgestellt. Zudem hat der Hersteller die Datenhistorie im "Sophos Data Lake" von sieben auf 30 Tage erhöht. [mehr]

Tipps & Tools

Im Test: Red Hat OpenShift 4.7 [1.07.2021]

Leicht, effizient und komfortabel sollen IT-Verantwortliche dank OpenShift 4.7 von Red Hat in den Genuss von Container-Orchestrierung mit Kubernetes kommen. Ob dies gelingt, entscheidet sich in der Praxis an Punkten wie Betrieb, Wartung und Sicherheit sowie den vorhandenen Kubernetes-Funktionen. Im Test bewährte sich OpenShift 4.7 zwar sehr gut, gleichzeitig brachten Abweichungen von Red Hats Vorgaben jedoch Probleme mit sich. [mehr]

Vorschau Juli 2021: Container- und Applikationsmanagement [21.06.2021]

Das flexible Bereitstellen von Anwendungen und Software-Umgebungen ist dank der Container-Technologie kein Hexenwerk mehr. Dennoch gilt es für Admins, so manche Fallstricke zu umgehen. In der Juli-Ausgabe befasst sich IT-Administrator mit dem Thema "Container- und Applikationsmanagement". Darin lesen Sie, wie Sie Ihre eigenen Container-Templates erstellen und serverlose, cloudnative Anwendungen mit Knative automatisiert betreiben. Außerdem beleuchten wir das Windows Subsystem für Linux 2 und zeigen, wie Sie Kubernetes in vSphere ohne Cloud Foundation betreiben. In de Produkttests werfen wir einen Blick auf Red Hat OpenShift. [mehr]

Buchbesprechung

Windows 10 Power-Tipps

von Günter Born

Anzeigen