Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-476

[MS, Computer Associates/ARCserve] Schwachstelle im Backup-Programm ARCserve
(2001-09-18 12:13:55+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/09/msg00175.html

Das Backup-Programm ARCserve von Computer Associates weist mehrere Schwachstellen auf. So wird bei den Microsoft Windows Versionen eine Netzlaufwerk-Freigabe mit unzureichenden Berechtigungen eingerichtet und der Benutzeraccount (in dessen Sicherheitskontext das Backup-Programm läuft) incl. Klartextpasswort in einer Datei abgespeichert.

Betroffene Systeme

Einfallstor
Netzlaufwerk-Freigabe mit unzureichenden Zugriffsrechten sowie Speicherung des Backup-Accounts (incl. Passwort) in Klartext

Auswirkung

  1. Zugriff auf normalerweise geschützte Bereiche (da die Freigabe ARCSERVE$ unzureichende Freigabe-Berechtigungen besitzt)
  2. Auslesen des in Klartext gespeicherten Backup-Accounts (incl. Passwort) wodurch weitere Angriffe (möglicherweise mit administrativen Privilegien) möglich sind

Typ der Verwundbarkeit
design flaw

Gefahrenpotential
hoch bis sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Das Backupprogramm ARCserve von Computer Associates weist bei den Microsoft Windows Versionen Schwachstellen auf.
So wird standardmässig eine versteckte Netzlaufwerk-Freigabe ARCSERVE$ auf dem Backup-Server eingerichtet, welche unzureichende Freigabe-Berechtigungen besitzt, wodurch jedem der Zugriff auf diese Freigabe ermöglicht ist. Des weiteren wird in der Datei ARCSERVE$\DR\<Servername>\aremote.dmp der Accountname und das Passwort, unter dessen Privilegien das Backup-Programm läuft, in Klartext abgespeichert. Da dieser Backup-Account oftmals über administrative Privilegien verfügt, kann ein Angreifer mittels des so gewonnenen Benutzeraccounts und dessen Passwort administrative Privilegien auf dem System erlangen.

Nach Angaben des Computer Associates Storage Newsletter 09/01 tritt die Schwachstelle bei ARCserve 2000 nur in Verbindung eines remote-Backups von Windows NT 4.0 Systemen mittels des ARCserve NT/2000 Client Agent auf.

Gegenmaßnahmen
Computer Associates stellt einen Patch für ARCserve 2000 zur Verfügung:

Workaround
Restriktivere Berechtigungen der ARCSERVE$ Netzlaufwerk-Freigabe und/oder den entsprechenden NTFS-Berechtigungen (sinnvollerweise sollte nur der Backup-Gruppe und den Administratoren der Zugriff gestattet sein)

Weitere Information zu diesem Thema

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=476