SAP Pentest Favoriten: Bekannte Passwörter und unsichere Passwortspeicherung

Autor: Tobias Harmes | 1. April 2019

17

Der Zugriff auf ein SAP System erfolgt bei den meisten Installationen per Anmeldung über Username und Passwort. Bei einem SAP Pentest werden verschiedenste Sicherheitsprüfungen auf ein SAP System angewendet - dabei auch der Versuch die Passworthürde zu nehmen. Möglichkeiten gibt es einige.

Möglichkeit 1: Bekannte Passwörter verwenden

Normale ERP-Installationen haben eine Reihe von bekannten Standardbenutzern, die teilweise technisch oder auch nur historisch bedingt auch Standardpasswörter verwenden. Zu den Benutzer gehören unter anderem DDIC, SAP*, SAPCPIC und TMSADM. Diese User haben teilweise weitreichende Berechtigungen und die Passwörter dafür können von jedem Laien im Internet gefunden werden. Bei Pentests finden wir regelmäßig nicht gesperrte Standarduser mit bekannten Passwörtern, sogar bei Installationen die eigentlich schon durch ein individuelles Master-Kennwort bei der Installation geschützt werden. Das liegt auch daran, dass bestimmte Vorgänge wie das Kopieren von Mandanten die Nutzung von Standardbenutzern erforderlich machen.

SAP Penetration Test - kontrollierte Überprüfung ihres Systems

Wir führen eine kontrollierte Überprüfung des Sicherheits-Zustandes Ihres SAP-Systems durch - mit unserem SAP Penetration Test.

Tipp: Im Beitrag Überprüfung der SAP Standardbenutzer auf Initialkennwort erfahren Sie, wie Sie Ihr System selbst auf Standardpasswörter prüfen können.

Möglichkeit 2: Passwörter aus der Datenbank stehlen

Die Nachrichten von gestohlenen Benutzer-Datenbanken gehen immer wieder um. Eigentlich sollte das kein großes Problem sein, wenn die Datenbanken mit einer sehr guten Verschlüsselung der Passwörter arbeiten würden. Hier haben sich in den letzten Jahren bewährte Standards etabliert, die leider immer noch nicht von allen Entwicklern implementiert werden. SAP hat hier schon vor vielen Jahren die Verfahren zur Passwortsicherheit modernisiert – allerdings gibt es wie so oft auch hier aus Kompatiblitätsgründen eine Altlast. Bei einem Pentest wird geprüft, ob es eventuell schwach verschlüsselte Kennwörter in der Benutzerdatenbank gibt. Diese verschlüsselten Kennwörter könnte man als Angreifer mit einem Passwort-Cracker bearbeiten um an das echte Kennwort des Users zu bekommen. Einzige Voraussetzung: man hat bereits einen User in dem System der Einblick hat in die Tabelle USR02.

Tipp: Im Beitrag SAP Passwort in weniger als 24 Stunden entschlüsseln finden Sie noch mehr Hintergründe zu schwacher Passwort-Verschlüsselung im SAP.

… auf YouTube

YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms

Möglichkeit 3: Passwörter abhören

Wenn ich weder mit bekannten Benutzer/Passwort-Kombinationen noch mit schwachen Passwortverschlüsselungen weiter komme, kann ich mich auch auf einen Klassiker der Passwort-Ermittlung konzentrieren. Ich belausche die Kommunikation zwischen Client und Server. Viele SAP Landschaften arbeiten nur mit unverschlüsselten Verbindungen über das DIAG-Protokoll. Wenn bei Ihnen in der SAP Gui nirgendwo das Wort SNC auftaucht, stehen die Chancen vermutlich gut, dass Sie über eine unsichere Verbindung mit dem SAP kommunizieren. Das Pendant im Browser wäre dazu die Verbindung per unverschlüsseltem HTTP anstatt sicherem HTTPS. Zu einem Pentest gehört daher auch, sich die Infrastruktur anzusehen und einzuschätzen, in wie fern die Kommunikationskanäle korrekt abgesichert sind.

Im Webinar erfahren Sie, wie genau ein Pentest durchgeführt wird, welche (Angriffs-) Möglichkeiten es gibt und was unsere Best-Practices in diesem Bereich sind.

Links & Downloads

RZ10.de Partnerprodukt SAP Pentest unverbindlich anfordern: https://rz10.de/angebot/sap-penetration-test/

Weitere Artikel in der Serie Pentest Favoriten:

  1. Zugang per RFC
  2. Angriff via Code Injection
  3. Bekannte Passwörter und unsichere Passwortspeicherung (dieser Artikel)

Sie benötigen Unterstützung in diesem Thema? Informieren Sie sich über unsere Leistungen im Bereich SAP- und IT-Security-Beratung oder stellen kostenlos und unverbindlich eine Anfrage.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice