SAP Pentest Favoriten: Bekannte Passwörter und unsichere Passwortspeicherung

Autor: Tobias Harmes | 1. April 2019

12

Der Zugriff auf ein SAP System erfolgt bei den meisten Installationen per Anmeldung über Username und Passwort. Bei einem SAP Pentest werden verschiedenste Sicherheitsprüfungen auf ein SAP System angewendet - dabei auch der Versuch die Passworthürde zu nehmen. Möglichkeiten gibt es einige.

Möglichkeit 1: Bekannte Passwörter verwenden

Normale ERP-Installationen haben eine Reihe von bekannten Standardbenutzern, die teilweise technisch oder auch nur historisch bedingt auch Standardpasswörter verwenden. Zu den Benutzer gehören unter anderem DDIC, SAP*, SAPCPIC und TMSADM. Diese User haben teilweise weitreichende Berechtigungen und die Passwörter dafür können von jedem Laien im Internet gefunden werden. Bei Pentests finden wir regelmäßig nicht gesperrte Standarduser mit bekannten Passwörtern, sogar bei Installationen die eigentlich schon durch ein individuelles Master-Kennwort bei der Installation geschützt werden. Das liegt auch daran, dass bestimmte Vorgänge wie das Kopieren von Mandanten die Nutzung von Standardbenutzern erforderlich machen.

SAP Penetration Test - kontrollierte Überprüfung ihres Systems

Wir führen eine kontrollierte Überprüfung des Sicherheits-Zustandes Ihres SAP-Systems durch - mit unserem SAP Penetration Test.

informieren

Tipp: Im Beitrag Überprüfung der SAP Standardbenutzer auf Initialkennwort erfahren Sie, wie Sie Ihr System selbst auf Standardpasswörter prüfen können.

Möglichkeit 2: Passwörter aus der Datenbank stehlen

Die Nachrichten von gestohlenen Benutzer-Datenbanken gehen immer wieder um. Eigentlich sollte das kein großes Problem sein, wenn die Datenbanken mit einer sehr guten Verschlüsselung der Passwörter arbeiten würden. Hier haben sich in den letzten Jahren bewährte Standards etabliert, die leider immer noch nicht von allen Entwicklern implementiert werden. SAP hat hier schon vor vielen Jahren die Verfahren zur Passwortsicherheit modernisiert – allerdings gibt es wie so oft auch hier aus Kompatiblitätsgründen eine Altlast. Bei einem Pentest wird geprüft, ob es eventuell schwach verschlüsselte Kennwörter in der Benutzerdatenbank gibt. Diese verschlüsselten Kennwörter könnte man als Angreifer mit einem Passwort-Cracker bearbeiten um an das echte Kennwort des Users zu bekommen. Einzige Voraussetzung: man hat bereits einen User in dem System der Einblick hat in die Tabelle USR02.

Tipp: Im Beitrag SAP Passwort in weniger als 24 Stunden entschlüsseln finden Sie noch mehr Hintergründe zu schwacher Passwort-Verschlüsselung im SAP.

… auf YouTube

YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms

Möglichkeit 3: Passwörter abhören

Wenn ich weder mit bekannten Benutzer/Passwort-Kombinationen noch mit schwachen Passwortverschlüsselungen weiter komme, kann ich mich auch auf einen Klassiker der Passwort-Ermittlung konzentrieren. Ich belausche die Kommunikation zwischen Client und Server. Viele SAP Landschaften arbeiten nur mit unverschlüsselten Verbindungen über das DIAG-Protokoll. Wenn bei Ihnen in der SAP Gui nirgendwo das Wort SNC auftaucht, stehen die Chancen vermutlich gut, dass Sie über eine unsichere Verbindung mit dem SAP kommunizieren. Das Pendant im Browser wäre dazu die Verbindung per unverschlüsseltem HTTP anstatt sicherem HTTPS. Zu einem Pentest gehört daher auch, sich die Infrastruktur anzusehen und einzuschätzen, in wie fern die Kommunikationskanäle korrekt abgesichert sind.

Webinar: Best Practices für Pentests im SAP-Umfeld

Im Webinar erfahren Sie, wie genau ein Pentest durchgeführt wird, welche (Angriffs-) Möglichkeiten es gibt und was unsere Best-Practices in diesem Bereich sind.
Jetzt anmelden

Links & Downloads

RZ10.de Partnerprodukt SAP Pentest unverbindlich anfordern: https://rz10.de/angebot/sap-penetration-test/

Weitere Artikel in der Serie Pentest Favoriten:

  1. Zugang per RFC
  2. Angriff via Code Injection
  3. Bekannte Passwörter und unsichere Passwortspeicherung (dieser Artikel)

Sie benötigen Unterstützung in diesem Thema? Informieren Sie sich über unsere Leistungen im Bereich SAP- und IT-Security-Beratung oder stellen kostenlos und unverbindlich eine Anfrage.


Artikel war hilfreichArtikel empfehlen

Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Weitere Beiträge:

SAP Berechtigungen

SAP Pentest Favoriten: Zugang per Remote Function Call (RFC)

In diesem Artikel wird einer der Hauptangriffsvektoren für SAP Systeme thematisiert – der Remote Function Call, kurz RFC.
Artikel lesen
Podcast

SAP Pentest Favoriten: Angriff via Code Injection

Eine Code Injection ist einer der Haupt-Sicherheits-Risiken von Anwendungen. Ein SAP-Penetration-Tests (kurz Pentest) kann helfen Risiken aufzudecken.
#podcast
jetzt anhören
Podcast

Best-of März 2019 | RZ10.de SAP Basis & Security | 29.03.2019

Neben unserem Best-of SAP Basis & Security aus dem März 2019 frage ich mich, ob Greta Thunberg ein Vorbild sein kann für all die SAP Security Propheten
#podcast, #rz10update
jetzt anhören

Unsere Top-Downloads

E-Book

E-Book SAP Security und Berechtigungen

Kostenloses E-Book
SAP Security& Berechtigungen
Download
Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten – Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.
kostenlos downloaden
E-Book

E-Book SAP Berechtigungstools

Kostenloses E-Book
Unser E-Book zum Thema SAP Berechtigungstools
Download
So wählen Sie Ihr SAP Berechtigungstool aus – in 3 Schritten zum neuen Berechtigungstool.
#podcast, #story
kostenlos downloaden
E-Book

E-Book SAP Solution Manager

Kostenloses E-Book
SAP Solution Manager
Download
Dieses E-Book beinhaltet für Sie von uns ausgewählte Fachartikel rund um das Thema SAP Solution Manager.
kostenlos downloaden
Kontaktieren Sie uns!
Renate Burg Kundenservice
0211 9462 8572-25 renate.burg@rz10.de Ihre Anfrage