Ekoparty: Oracle-Schwachstelle aufgedeckt

Von Mittwoch bis zum heutigen Freitag findet in Buenos Aires die Sicherheitskonferenz Ekoparty statt. Auf dieser Konferenz berichtete Esteban Martinez Fayó (Wissenschaftler von AppSec Inc.)über eine von ihm festgestellte Sicherheitslücke im Authentifizierungsprotokoll für die Datenbank des Unternehmens Oracle. Oracle ist einer der weltweit größten Softwarehersteller und hat zwar mit dem Patch-Set in der neuen Protokollversion 12 diese Lücke geschlossen, es habe jedoch, so Fayó, „nie einen Fix für die Datenbankversionen 11.1 und 11.2 gegeben“.

Die Schwachstelle, welche Fayó aufzeigt, ist folgende: Als erster Schritt beim Versuch des Nutzers, sich einzuloggen, wird vom kontaktierten Server ein sogenannter Session-Key an den Anwender übermittelt und ein Salt-Wert zugeordnet. Letzterer ist dafür gedacht, das Passwort möglichst sicher zu erhalten. Die Schwachstelle liegt bereits an diesem Punkt, das heißt, bevor die Authentifizierung abgeschlossen ist. Es ist jemandem von einem anderen Computer aus möglich, einen bestimmten Session-Key mit einem bestimmten Passwort-Hash zu verlinken. Der Session-Key sei ein Zufallswert, den der Server generiere und als erstes im Authentifizierungsprozess übermitteln würde, so Fayó. Da zu diesem Zeitpunkt noch keine Authentifizierung notwendig sei, habe der Angreifer relativ leichtes Spiel, indem er Passwörter ausprobieren könne, ohne dass die Fehlversuche vom Server aufgezeichnet würden. Diese Tatsache hat dem Sicherheitsexperten geholfen, die Sicherheitslücke zu finden, weil sich die vom Nutzer wahrgenommenen Fehlversuche nicht mit denen auf dem Server deckten.

Da es sich um ein weithin eingesetztes Produkt handelt, das auf so einfache Weise ausgenutzt werden kann, sieht Fayó die Schwachstelle als gefährlich an. Der Angreifer müsse lediglich ein paar Datenpakete schicken oder einen Standard-Oracle-Client benutzen, um an Session-Key und Salt zu gelangen. Damit ist er in der Lage, einen Brute-Force-Angriff auf Passwörter durchzuführen. In Fayós Testsituation dauerte das Knacken normaler Passwörter mit einem Standardcomputer um die fünf Stunden. Zusätzlich zum Patch oder vielleicht gar, statt diesen zu benutzen, können Netzwerkadministratoren die Schwachstelle auch dadurch entschärfen, dass sie externe Authentifizierung verlangen oder das Oracle-Protokoll in Version 11 auf dem Server deaktivieren.