Tobias Harmes
 - 1. April 2019

SAP Pentest Favoriten: Bekannte Passwörter und unsichere Passwortspeicherung

Der Zugriff auf ein SAP System erfolgt bei den meisten Installationen per Anmeldung über Username und Passwort. Bei einem SAP Pentest werden verschiedenste Sicherheitsprüfungen auf ein SAP System angewendet - dabei auch der Versuch die Passworthürde zu nehmen. Möglichkeiten gibt es einige.

Möglichkeit 1: Bekannte Passwörter verwenden

Normale ERP-Installationen haben eine Reihe von bekannten Standardbenutzern, die teilweise technisch oder auch nur historisch bedingt auch Standardpasswörter verwenden. Zu den Benutzer gehören unter anderem DDIC, SAP*, SAPCPIC und TMSADM. Diese User haben teilweise weitreichende Berechtigungen und die Passwörter dafür können von jedem Laien im Internet gefunden werden. Bei Pentests finden wir regelmäßig nicht gesperrte Standarduser mit bekannten Passwörtern, sogar bei Installationen die eigentlich schon durch ein individuelles Master-Kennwort bei der Installation geschützt werden. Das liegt auch daran, dass bestimmte Vorgänge wie das Kopieren von Mandanten die Nutzung von Standardbenutzern erforderlich machen.

Tipp: Im Beitrag Überprüfung der SAP Standardbenutzer auf Initialkennwort erfahren Sie, wie Sie Ihr System selbst auf Standardpasswörter prüfen können.

Möglichkeit 2: Passwörter aus der Datenbank stehlen

Die Nachrichten von gestohlenen Benutzer-Datenbanken gehen immer wieder um. Eigentlich sollte das kein großes Problem sein, wenn die Datenbanken mit einer sehr guten Verschlüsselung der Passwörter arbeiten würden. Hier haben sich in den letzten Jahren bewährte Standards etabliert, die leider immer noch nicht von allen Entwicklern implementiert werden. SAP hat hier schon vor vielen Jahren die Verfahren zur Passwortsicherheit modernisiert – allerdings gibt es wie so oft auch hier aus Kompatiblitätsgründen eine Altlast. Bei einem Pentest wird geprüft, ob es eventuell schwach verschlüsselte Kennwörter in der Benutzerdatenbank gibt. Diese verschlüsselten Kennwörter könnte man als Angreifer mit einem Passwort-Cracker bearbeiten um an das echte Kennwort des Users zu bekommen. Einzige Voraussetzung: man hat bereits einen User in dem System der Einblick hat in die Tabelle USR02.

Tipp: Im Beitrag SAP Passwort in weniger als 24 Stunden entschlüsseln finden Sie noch mehr Hintergründe zu schwacher Passwort-Verschlüsselung im SAP.

Möglichkeit 3: Passwörter abhören

Wenn ich weder mit bekannten Benutzer/Passwort-Kombinationen noch mit schwachen Passwortverschlüsselungen weiter komme, kann ich mich auch auf einen Klassiker der Passwort-Ermittlung konzentrieren. Ich belausche die Kommunikation zwischen Client und Server. Viele SAP Landschaften arbeiten nur mit unverschlüsselten Verbindungen über das DIAG-Protokoll. Wenn bei Ihnen in der SAP Gui nirgendwo das Wort SNC auftaucht, stehen die Chancen vermutlich gut, dass Sie über eine unsichere Verbindung mit dem SAP kommunizieren. Das Pendant im Browser wäre dazu die Verbindung per unverschlüsseltem HTTP anstatt sicherem HTTPS. Zu einem Pentest gehört daher auch, sich die Infrastruktur anzusehen und einzuschätzen, in wie fern die Kommunikationskanäle korrekt abgesichert sind.

Links & Downloads

RZ10.de Partnerprodukt SAP Pentest unverbindlich anfordern: https://rz10.de/angebot/sap-penetration-test/

harmes_180x227
Zu zweit schneller zum Ergebnis 🙂
Expert Session mit dem Autor Tobias Harmes anfragen
Vier Augen sehen mehr als zwei! Wenn Sie die Inhalte aus diesem Artikel schnell umsetzen wollen, kann ich Ihnen gerne dabei helfen.
Autoren Expert Session

Weitere Artikel in der Serie Pentest Favoriten:

  1. Zugang per RFC
  2. Angriff via Code Injection
  3. Bekannte Passwörter und unsichere Passwortspeicherung (dieser Artikel)

 

Tobias Harmes

Mein Name ist Tobias Harmes und ich bin SAP Basis & Security Experte, Speaker und Herausgeber von RZ10.de. Ich helfe anderen dabei, Unternehmensdaten und Geschäftsprozesse in SAP wirksam abzusichern.

Sie haben Fragen? Kontaktieren Sie mich!

Kostenloses E-Book zum Thema SAP Berechtigungstools als Download:

Kostenloses E-Book zum Thema SAP Berechtigungskonzept als Download:

Jetzt das kostenlose E-Book zum Thema SAP Berechtigungen downloaden:



Das könnte Sie auch interessieren


Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.





Angebot anfordern
Preisliste herunterladen
Expert Session
Support