Eine Schwachstelle in der SAP Client-Software SAP GUI unter Microsoft Betriebssystemen kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen.

Inhalt

• Zusammenfassung
• Betroffene Systeme
• Nicht betroffene Systeme
• Einfallstor
• Angriffsvoraussetzung
• Angriffsvektorklasse
• Auswirkung
• Typ der Verwundbarkeit
• Gefahrenpotential
• Bedrohungspotential
• Beschreibung
• Workaround
• Gegenmaßnahmen
• Vulnerability ID

Zusammenfassung

Betroffene Systeme

• SAP GUI 6.40 Patch 29
• SAP GUI 7.10

Nicht betroffene Systeme

• SAP GUI 7.10 PL

Einfallstor

• ActiveX-Control sizerone.ocx

Angriffsvoraussetzung

• Zugriff auf den angefragten SAP-Server
  (server)
oder
• Möglichkeit, einer SAP GUI Daten zuzusenden, die vermeintlich vom Server kommen
  (network)

Angriffsvektorklasse

• lokal auf dem Server
  (d.h. im Sinne des gesamten SAP-Systems: local)
• über eine Netzwerkverbindung
  (remote)

Auswirkung

• Ausführung beliebigen Programmcodes auf dem beherbergenden System
  (system compromise)

Typ der Verwundbarkeit

• Pufferüberlaufschwachstelle
  (buffer overflow bug)

Gefahrenpotential

• aus rein technischer Sicht ist das Gefahrenpotential
  sehr hoch

Bedrohungspotential

• In ersterem Falle ist der vermutlich sehr viel wichtigere Teil des SAP-Gesamtsystems bereits kompromittiert und die subsequente Kompromittierung von Klientensystemen ein eher nachrangiges Problem. Daher ist das Bedrohungspotential für diesen Fall als
  • mittel
  einzustufen.
• Im zweiten Fall ist entweder ein drittes System kompromittert, von dem aus Daten in die Kommunikationsbeziehung zwischen SAP GUI und dem zugehörigen SAP-Server eingeschleust werden können oder die Kommunikationsbeziehung ist leicht angreifbar, weil sie z.B. ohne kryptographisch starke Verschlüsselung implementiert wurde. In diesem Fall ist das Bedrohungspotential als
  • sehr hoch
  einzustufen.

Beschreibung

Da die SAP GUI im Normalfall nur mit einem fest konfigurierten SAP-Server kommuniziert, muss diese Kommunikationsbeziehung angegriffen werden. Sofern der Angreifer den SAP-Server unter Kontrolle hat, ist dies trivial, jedoch ist in diesem Falle die Ausnutzung der hier beschriebenen Schwachstelle eher nachrangig.

Sofern die Kommunikationsbeziehung nicht durch kryptographische Methoden und andere Maßnahmen (private Netze, Firewalls) abgesichert wird, ist es ausreichend, wenn der Angreifer in der Lage ist, entsprechende Daten an eine betroffene SAP GUI zu senden und dabei entsprechende Absenderdaten zu fälschen. Eine Antwort auf demselben Kanal ist nicht erforderlich.

Workaround

• Setzen der entsprechenden Kill-Bits in der Registry eines betroffenen Systems, um das verwundbare Control zu deaktivieren; SAP stellt für registrierte Kunden hierfür eine Beschreibung bereit.
• Verwendung kryptographisch starker Methoden zur Absicherung der Kommunikation zwischen SAP-Server und SAP GUI
• Verwendung weiterer Methoden zur Absicherung der Kommunikation zwischen SAP-Server und SAP GUI, z.B.:
  • Private Netze nach RFC1918
  • VLANs, z.B. nach IEEE 802.1q
  • Firewalls
  • ...

Gegenmaßnahmen

• Installation von SAP GUI 7.10 PL

Vulnerability ID

• CVE-2008-4827

Revisionen dieser Meldung

• V 1.0 (2008-01-13)
• V 1.1 (2008-01-14)
  • Meldung überarbeitet

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/