Protokollfehler macht Single-Sign-on-Lösungen angreifbar

Betroffen sind Systeme, die für die Übermittlung von Authentifizierungsdaten SAML verwenden. Ein Implementierungsfehler erlaubt Manipulationen dieser Daten. Als Folge erhalten Hacker unter Umständen ohne Kenntnis des Passworts Zugang zu beliebigen Konten.

Der Sicherheitsanbieter Duo Security macht auf eine Schwachstelle aufmerksam, die Nutzer von Single-Sign-on-Lösungen (SSO) betrifft. Die Schwachstelle betrifft SAML (Security Assertion Markup Language). Ein Angreifer ist unter Umständen in der Lage, sich ohne Kenntnis der eigentlichen Log-in-Daten im Namen eines Opfers bei einer Website oder einem Dienst anzumelden. CERT führt die Schwachstelle unter Vulnerability Note VU#475445.

Log-in Nutzername Passwort (Bild: Shutterstock)Anfällig sind einem Blogeintrag zufolge SSO-Systeme, die auf dem Protokoll Security Assertion Markup Language zum Austausch von Authentifizierungsinformationen aufbauen. Durch einen Implementierungsfehler können Systeme dazu gebracht werden, eine für einen bestimmten Nutzer ausgestellte Authentifizierung auf einen anderen User zu übertragen – ohne dessen Passwort zu kennen.

Um die Schwachstelle ausnutzen zu können, muss ein Hacker die Antwort abfangen, die ein SSO-System nach der Überprüfung von Nutzername und Passwort an den Browser des Nutzers verschickt. Wird diese Antwort anschließend verändert, verändert sich auch die Signatur, wodurch sie eigentlich unbrauchbar wird. Das Problem ist, dass die Signatur von bestimmten SSO-Systemen die auf SAML basieren, nicht richtig geprüft wird.

Allerdings hat der Bug nicht für alle Systeme dieselben Auswirkungen. „Das Vorhandensein des Fehlers ist nicht gut, aber er ist nicht immer ausnutzbar“, ergänzten die Forscher. Unter anderem kann eine XML-Verschlüsselung die Folgen eines Angriffs mindern, weil dadurch Daten während der Übertragung geschützt werden. Auch eine Anmeldung in zwei Schritten bietet zusätzlichen Schutz.

Duo Security zufolge sind unter anderem Produkte von OneLogin, Clever, OmniAuth-SAML und Shibboleth anfällig. Auch Duo Securities eigenes Network Gateway benötigt ein Firmware-Update, das bereits zur Verfügung steht.

Ein OneLogin-Sprecher wies darauf hin, dass seine Nutzer nichts unternehmen müssten. Die notwendigen Maßnahmen beträfen ausschließlich Entwickler von Apps, die eine anfällige Single-Sign-on-Lösung implementiert hätten.

Whitepaper

Die Vorteile der Zentralisierung von PC- und Mac-Management an einem Ort

Mac-Computer werden immer beliebter. IT-Abteilungen stehen vor der Aufgabe, diese Geräte zu verwalten und tun sich damit oft schwer. Welche Vorteile die Zentralisierung von PC- und Mac-Management an einem Ort bietet, erklärt dieses Whitepaper.

Themenseiten: Authentifizierung, Duo Security, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Protokollfehler macht Single-Sign-on-Lösungen angreifbar

Kommentar hinzufügen
  • Am 1. März 2018 um 16:08 von Frank Furter

    Um das Gefährdungspotenzial für uns in Europa besser beurteilen zu können, wäre es hilfreich, nicht nur die Hersteller der betroffenen Software, sondern auch die Software zu benennen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *