{"id":2056,"date":"2020-05-05T12:19:23","date_gmt":"2020-05-05T10:19:23","guid":{"rendered":"https:\/\/sast-blog.akquinet.de\/?p=2056"},"modified":"2021-03-23T13:41:16","modified_gmt":"2021-03-23T12:41:16","slug":"sap-home-goes-rogue-angriffsszenarien-sap-gui-verhindern","status":"publish","type":"post","link":"https:\/\/sast-solutions.de\/blog-de\/2020\/05\/05\/sap-home-goes-rogue-angriffsszenarien-sap-gui-verhindern\/","title":{"rendered":"SAP Home goes rogue – Angriffsszenarien \u00fcber die SAP GUI, die verhindert werden k\u00f6nnen"},"content":{"rendered":"

\"SASTIm Regelfall werden Unternehmensnetzwerke durch menschliche Fehler infiziert. Mitarbeiter klicken auf einen gef\u00e4lschten Link, teilen ihr Passwort versehentlich Dritten mit oder \u00f6ffnen eine Datei, die ungeahnten Schadcode enth\u00e4lt. Bei Angriffsszenarien \u00fcber die SAP GUI ist dem Mitarbeiter h\u00e4ufig kein Vorwurf zu machen, denn ein falsch konfiguriertes SAP-System reicht aus, um die IT-Landschaft sch\u00e4digen zu k\u00f6nnen.<\/p>\n

<\/p>\n

<\/h2>\n

So l\u00e4uft ein Proof-of-Concept-Angriff:<\/h2>\n

Mit einem PoC-Hack \u2013 beispielsweise durch Aufrufen eines pr\u00e4parierten PDFs \u2013 k\u00f6nnen der Windows UserName und die Passwort-Hashes ganz einfach ausgelesen werden. Sind die Passwort-Hashes erst einmal lokalisiert, lassen sich mit ihnen auf einfachste Weise das reale Passwort des Windows-Users herausfinden. Ver\u00f6ffentlicht wurde der Bad-PDF-Hack<\/a> erstmals im Mai 2018 und auf der Gulaschprogrammiernacht<\/a> des Chaos Computer Clubs, in 2019 dann \u00f6ffentlich vorgestellt.<\/p>\n

Bis heute haben nicht alle Clients einen Bugfix dazu erhalten und das k\u00f6nnen Angreifer bei Angriffsszenarien \u00fcber die SAP-GUI ausnutzen. Das Bild des Easy Access-Men\u00fcs, das jedem SAP-Benutzer beim Login pr\u00e4sentiert wird, kann durch andere Dateien ersetzt werden. Der SAP-Benutzer hat dann keine Wahl, ob er die Datei angezeigt haben m\u00f6chte oder nicht \u2013 mit weitreichenden Folgen.<\/p>\n

Der Angriff funktioniert auf allen SAP-Systemen, auch in S\/4HANA-Umgebungen. Er kann auf einem Entwicklungssystem durchgef\u00fchrt und dann \u00fcber das Transportmanagement bis in beliebige Produktionssysteme gebracht werden. Dazu sind auf dem Produktionssystem keinerlei weiteren Berechtigungen notwendig. Voraussetzung ist lediglich ein Zugriff auf die Transaktionen SMW0 und SM30 \u2013 ein Standard auf allen Entwicklungssystemen.<\/p>\n

    \n
  1. Schritt: Generierung einer pr\u00e4parierten PDF-Datei mit dem Pythoncode aus dem Github Repository.<\/li>\n<\/ol>\n

    \"SAST<\/p>\n

      \n
    1. Schritt: Kopieren des PDFs auf den lokalen Computer und Anmeldung am SAP-System.<\/li>\n<\/ol>\n
        \n
      1. Schritt: Start der Transaktion SMW0. Das pr\u00e4parierte PDF wird mit dem MIME-Type application\/pdf hochgeladen. Dabei gen\u00fcgt es, dieses lokal abzulegen.<\/li>\n<\/ol>\n

        \"SAST<\/p>\n

          \n
        1. Schritt: Im Anschluss an den PDF-Upload erfolgt die Einbindung der Startseite des Easy Access Men\u00fcs. Dies geschieht mittels der Transaktion SM30 und der Tabelle SSM_CUST. Der Parameter START_IMAGE wird auf das hochgeladene PDF gesetzt.<\/li>\n<\/ol>\n

          \"SAST<\/p>\n

            \n
          1. Schritt: Durch den gesetzten Parameter versucht die SAP GUI nun das PDF bei jedem Login eines SAP-Users anzuzeigen. Dabei bleibt der Vorgang an sich f\u00fcr den Anwender unsichtbar.<\/li>\n<\/ol>\n

            Im Access Men\u00fc sollte auf der rechten Seite eigentlich das PDF erscheinen. Da dies jedoch nicht gelingt, bleibt die Seite einfach wei\u00df.<\/p>\n

            \"SAST<\/p>\n

              \n
            1. Schritt: Alleine der Versuch, das PDF auszuf\u00fchren, f\u00fchrt f\u00fcr den Angreifer schon zum gew\u00fcnschten Ergebnis: Der Windows-User und der Passwort-Hash werden \u00fcbertragen. Dabei versucht die SAP GUI sogar mehrfach das PDF anzuzeigen.<\/li>\n<\/ol>\n

              \"\"<\/p>\n

              Wie k\u00f6nnen Sie Ihre SAP-Systeme vor Angriffsszenarien \u00fcber SAP GUI sch\u00fctzen?<\/h2>\n

              Der einzige umfassende Schutz ist es, die Tabelle SSM_CUST l\u00fcckenlos auf \u00c4nderungen zu \u00fcberwachen. Eine solche \u00dcberwachung kann beispielsweise durch den SAST Security Radar<\/a><\/strong> gew\u00e4hrleistet und so unverz\u00fcglich an die in Ihrem Unternehmen zust\u00e4ndigen Stellen gemeldet werden.<\/p>\n

              \"SAST<\/p>\n

              Der SAST Security Radar<\/strong> hilft Ihnen, im Ernstfall in Echtzeit reagieren zu k\u00f6nnen, \u00fcberwacht unter anderem \u00c4nderungsbelege Ihrer Tabellen und wertet diese auf Kritikalit\u00e4t aus. Dabei fallen auch ge\u00e4nderte Tabellen auf.<\/p>\n

              Informieren Sie sich gerne auf unserer SAST SOLUTIONS Website<\/a> oder melden Sie sich<\/a> bei uns.<\/p>\n

              \"Markus
              \nMarkus Rest (SAST-SUITE Development)<\/strong><\/p>\n

              Disclaimer:<\/p>\n

              Das gezeigte Beispiel dient ausschlie\u00dflich Demonstrationszwecken und sollte, wenn \u00fcberhaupt, nur in gesicherten Umgebungen nachvollzogen werden. F\u00fcr Sch\u00e4den, die aus der Anwendung der Informationen entstehen k\u00f6nnen, \u00fcbernimmt AKQUINET keine Haftung.<\/p>\n

               <\/p>\n

              Weitere Themen \u00fcber die IT-Sicherheit:<\/h2>\n

              Die wichtigsten Bausteine einer Cybersecurity-Strategie<\/a><\/p><\/blockquote>\n