Sicherheitslücken in SAP und DNS: Volle Breitseite für Administratoren

Die Sommerzeit ist derzeit alles andere als entspannt, zumindest was die IT-Sicherheit angeht. Eine schwere Sicherheitslücke in SAPs NetWeaver ist eine von zwei hochkritischen Schwachstellen, die in den vergangenen Tagen bekannt wurden. Die Schwachstelle CVE-2020-6287, auch Recon (Remotely Exploitable Code On Netweave) genannt, hat den Höchstwert auf der CVE-Kritikalitätsskala (CVSS-Score = 10) erhalten. Etwa 40.000 Unternehmen weltweit sind betroffen.

Die Lücke ermöglicht es einem Angreifer, ohne die Eingabe eines Nutzernamens oder Passwortes, neue Benutzerkonten mit erweiterten Rechten anzulegen. Damit lässt sich eine SAP-Instanz vollständig übernehmen und der Angreifer hat vollen Zugriff sowohl auf sämtliche gespeicherte Daten als auch solche, die verarbeitet werden. Da SAP-Produkte zumeist in größeren Unternehmen und Behörden und auch in kritischen Bereichen eingesetzt werden, ist hier das Schadenspotenzial besonders hoch. Einschätzungen des SAP-Sicherheitsdienstleisters Onapsis zur Folge, sind allein in Europa über 4.000 Systeme betroffen.

Einige der Systeme sind auch direkt mit dem Internet verbunden und somit unmittelbar angreifbar. Onapsis hatte die Schwachstelle bereits im Mai entdeckt (https://www.onapsis.com/recon-sap-cyber-security-vulnerability) und an SAP gemeldet. Ein Update, das die Sicherheitslücke behebt, ist bereits auf den Weg gebracht. Von einem Aufschub ist dringend abzuraten, denn in einer geeigneten Umgebung kann ein Angreifer ungehindert bis in die sensibelsten Bereiche der Unternehmensdaten durchdringen. Das Update auf die lange Bank zu schieben wäre obendrein auch eine Verletzung diverser Compliance-Richtlinien.

Was die Schwachstelle derart kritisch macht: Die RECON-Lücke betrifft nicht etwa eine optionale Komponente, die sich notfalls auch einfach temporär abschalten lässt, sondern eine der Kernkomponenten, die in sehr vielen SAP-Instanzen vorhanden sind. Da eine der betroffenen Komponenten namens SolMan in fast jeder SAP-Umgebung vorhanden ist, kann man annehmen, dass alle SAP-Umgebungen zumindest in Teilen angreifbar sind.

Da mit Hilfe der Schwachstelle erzeugte Benutzerkonten weitrechende Rechte haben, lassen sich damit auch Dinge wie Protokolldateien manipulieren. So bleibt ein erfolgreicher Angriff eines Täters mit guten SAP-Kenntnissen im schlimmsten Fall sogar unbemerkt. Und selbst, wenn die SAP-Umgebung selbst nicht direkt aus dem Internet erreichbar ist: Jeder Angreifer, der es auf anderen Wegen schafft, sich Zugriff auf das Netzwerk zu verschaffen, kann auf Umwegen in die SAP-Umgebung gelangen – mit denselben schwerwiegenden Folgen.

Schwerwiegende Folgen hat auch eine insgesamt 17 Jahre alte Sicherheitslücke in Microsofts DNS-Server. Wer diese Schwachstelle ausnutzt, kann auf einem fremden System beliebigen Code ausführen. Dazu muss ein hypothetischer Angreifer lediglich eine speziell präparierte Anfrage an den DNS-Server stellen. Das DNS ist eine zentrale Komponente jedes Microsoft-Netzwerkes. Sie ist in der Regel immer vorhanden, wenn es ein Domänennetzwerk gibt. Oft ist die Rolle des DNS-Servers auf derselben Maschine installiert wie die des Domain-Controllers. Und als wäre die Möglichkeit, aus der Ferne fremden Code auf einem Domaincontroller und/oder DNS-Server auszuführen nicht schon kritisch genug: Microsoft hat die Schwachstelle auch noch als "wormable" klassifiziert. Das heißt: eine Schadsoftware, die diese Sicherheitslücke ausnutzt, kann dafür sorgen, dass sie sich von selbst ausbreitet.

Wichtig zu wissen ist: Wer keinen Microsoft-DNS betreibt – egal ob aus dem Internet erreichbar oder nicht – hat nichts zu befürchten. Weder der DNS-Client von Microsoft, noch andere Nicht-Microsoft-Varianten von DNS-Servern sind betroffen.

Es handelt sich hier um eine alte Sicherheitslücke, die sich von Server 2008 und 2008R2 bis hin zu den aktuellsten Versionen von Windows Server hindurchzieht. Auch hier sind Updates verfügbar – diese sollte jedes Unternehmen, das einen Microsoft-DNS-Server betreibt, umgehend installieren. Auch ein Workaround ist vorhanden, der einen Angriff mit Hilfe dieser Schwachstelle ins Leere laufen lässt. Dieser erfordert einen Neustart des DNS-Serverdienstes.

Beide hier beschriebenen Sicherheitslücken gehören der schwersten Kategorie an, die es derzeit gibt. Systeme, die eine oder mehrere solcher Schwachstellen aufweisen, müssen damit sofort in den Fokus gerückt werden und alle Absicherungsanstrengungen sollten sich auf diese Systeme konzentrieren. Das Timing bei der Veröffentlichung der Informationen lässt den einen oder anderen IT-Verantwortlichen vielleicht fragen „Seid ihr eigentlich alle verrückt geworden?“ Dass diese beiden hochkritischen Lücken praktisch zeitgleich an die Öffentlichkeit gelang sind, ist aber vermutlich nur Zufall. Es wird jedoch umso deutlicher, dass es gerade in dieser Zeit unabdingbar ist, auf der Hut zu sein. Auch wenn beide Schwachstellen nach derzeitigem Kenntnisstand bisher nicht in freier Wildbahn eingesetzt worden sind: Gerade jetzt steigt die Wahrscheinlichkeit eines erfolgreichen Angriffs mit jeder Stunde, die ein System ungepatcht bleibt.

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350