{"id":14319,"date":"2025-06-26T12:30:49","date_gmt":"2025-06-26T12:30:49","guid":{"rendered":"https:\/\/newestek.com\/?p=14319"},"modified":"2025-06-26T12:30:49","modified_gmt":"2025-06-26T12:30:49","slug":"sap-schwachstellen-gefahrden-windows-nutzerdaten","status":"publish","type":"post","link":"https:\/\/newestek.com\/?p=14319","title":{"rendered":"SAP-Schwachstellen gef\u00e4hrden Windows-Nutzerdaten"},"content":{"rendered":"
\n
\n
\n
\n
\n
\n
<\/div>\n<\/section>\n
\n
Schwachstellen in SAP GUI geben sensible Daten durch schwache oder fehlende Verschl\u00fcsselung preis.<\/figcaption><\/figure>\n

LALAKA \u2013 shutterstock.com <\/p>\n<\/div>\n

Die Forscher Jonathan Stross von Pathlock, und Julian Petersohn von Fortinet warnen vor zwei neuen Sicherheitsl\u00fccken in einer Funktion von SAP GUI, die f\u00fcr die Speicherung der Benutzereingaben in den Windows- (CVE-2025-0055) und Java-Versionen (CVE-2025-0056) zust\u00e4ndig ist .<\/p>\n

Dadurch werden sensible Informationen wie Benutzernamen, nationale ID-Nummern und Bankkontonummern gef\u00e4hrdet. Diese sind entweder unverschl\u00fcsselt oder mit einem schwachen, wiederverwendbaren XOR-Schl\u00fcssel gesch\u00fctzt, warnen die Forscher.<\/p>\n

\u201eCVE-2025-0055 und CVE-2025-0056 stellen beide ein erhebliches Risiko f\u00fcr Unternehmen dar, das auf unsichere lokale Datenspeicherpraktiken zur\u00fcckzuf\u00fchren ist\u201c, mahnt auch Mayuresh Dani, Security Research Manager bei Qualys. \u201eSelbst wenn Passwortfelder aus dem Eingabeverlauf von SAP GUI ausgeschlossen sind, ist der Umfang der sensiblen Daten, auf die ein Angreifer zugreifen kann, sehr gro\u00df.\u201c<\/p>\n

SAP hat in Abstimmung mit dem Pathlock-Team im Januar 2025 stillschweigend relevante Sicherheitspatches<\/a> und Abhilfema\u00dfnahmen ver\u00f6ffentlicht, die nur f\u00fcr SAP-GUI-Kunden zug\u00e4nglich sind.<\/p>\n

Schwache XOR-Verschl\u00fcsselung ausnutzbar<\/strong><\/h2>\n

Das Hauptproblem von CVE-2025-0055 ist ein einfacher Verschl\u00fcsselungsfehler. SAP GUI f\u00fcr Windows speichert zuvor eingegebene Werte wie Benutzer-IDs oder Sozialversicherungsnummern in einer lokalen SQLite-Datenbankdatei unter Verwendung einer exklusiven OR (XOR)-basierten Verschl\u00fcsselung. Die Verschl\u00fcsselung verwendet jedoch f\u00fcr jeden Eintrag denselben statischen Schl\u00fcssel, sodass ein einziger bekannter Wert ausreicht, um den Rest zu entschl\u00fcsseln.<\/p>\n

\u201eDie Eingaben werden in einer SQLite3-Datenbankdatei (SAPHistory<WINUSER>.db) mit einem schwachen XOR-basierten Verschl\u00fcsselungsschema gespeichert, wodurch sie mit minimalem Aufwand leicht r\u00fcckg\u00e4ngig gemacht werden k\u00f6nnen\u201c, erkl\u00e4rte Stross von Pathlok in einem Blogbeitrag<\/a>.<\/p>\n

CVE-2025-0056 basiert auf einen noch laxeren Ansatz in SAP GUI f\u00fcr Java, wo Verlaufsdaten v\u00f6llig unverschl\u00fcsselt gespeichert werden. Das bedeutet, dass serialisierte Java-Objekte, die sensible Benutzereingaben enthalten, f\u00fcr jeden frei zug\u00e4nglich sind, der Zugriff auf den Rechner hat.<\/p>\n

Laut Jason Soroko, Senior Fellow bei Sectigo, ist das Problem bei Java-Clients noch viel gr\u00f6\u00dfer. \u201eDer gleiche Verlauf wird als einfache, serialisierte Java-Objekte in plattformspezifische Ordner geschrieben \u2013 ohne jegliche Verschl\u00fcsselung\u201c, betont der Experte. \u201eJeder, der lokalen oder Remote-Zugriff auf das Dateisystem eines gestohlenen Laptops, einer kompromittierten Workstation oder einer einfachen Phishing-Plattform erh\u00e4lt, kann die Verlaufsdateien sammeln. Damit ist er in der Lage, die laterale Bewegung zu beschleunigen, \u00fcberzeugende Spear-Phishing-Angriffe zu erstellen oder Daten zu sammeln, die Compliance-Verst\u00f6\u00dfe ausl\u00f6sen.\u201c<\/p>\n

Auch Pathlok warnt, dass die Schwachstellen trotz einer mittleren CVSS-Bewertung von 6 von 10 zu Compliance-Problemen f\u00fchren k\u00f6nnten. Er verweist auf Risiken von Audit-Fehlern gem\u00e4\u00df GDPR<\/a>, PCI DSS<\/a> oder HIPAA. SAP reagierte nicht auf Anfragen zu diesem Thema.<\/p>\n

Die Spitze des Eisbergs?<\/strong><\/h2>\n

Dani von Qualys merkte an, dass diese Schwachstellen zu weiteren gezielten Angriffen f\u00fchren k\u00f6nnte. \u201eAbgesehen davon, dass diese extrahierten Daten Angreifern gen\u00fcgend Munition f\u00fcr Spionageaktivit\u00e4ten liefern, erm\u00f6glichen es die Schwachstellen, die Organisationsstruktur, Nutzungsmuster und Systemkonfigurationen zu verstehen. Angreifer k\u00f6nnen sie auch f\u00fcr personalisierte Angriffe wie Spear-Phishing nutzen, um einen bestimmten Benutzer effektiv zu kompromittieren und weitere Angriffe vorzunehmen\u201c, so Dani.<\/p>\n

Die Untersuchungen von Pathlock f\u00fchrten auch zur Entdeckung einer \u00e4hnlichen Schwachstelle in SAP NetWeaver AS ABAP, die unter der Nummer CVE-2025-0059 erfasst wurde. Die L\u00fccke betrifft SAP GUI f\u00fcr HTML, da sie auf dem gleichen Problem beruht. SAP hat diese Variante zwar noch nicht gepatcht, Pathlock bef\u00fcrchtet jedoch, dass ein Patch keine dauerhafte L\u00f6sung f\u00fcr diese Probleme ist.<\/p>\n

Laut Stross k\u00f6nnen Fallback-Mechanismen die von SAP ver\u00f6ffentlichten aktualisierten Versionen mit st\u00e4rkerer Verschl\u00fcsselung \u2013 SAP GUI f\u00fcr Windows 8.00 Patch Level 9+ und SAP GUI f\u00fcr Java 7.80 PL9+ oder 8.10 \u2013 potenziell untergraben und unwirksam machen.<\/p>\n

Pathlock empfiehlt Unternehmen, den Eingabeverlauf vollst\u00e4ndig zu deaktivieren, um das Risiko dauerhaft zu mindern. (jm)<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Schwachstellen in SAP GUI geben sensible Daten durch schwache oder fehlende Verschl\u00fcsselung preis. LALAKA \u2013 shutterstock.com Die Forscher Jonathan Stross von Pathlock, und Julian Petersohn von Fortinet warnen vor zwei neuen Sicherheitsl\u00fccken in einer Funktion von SAP GUI, die f\u00fcr die Speicherung der Benutzereingaben in den Windows- (CVE-2025-0055) und Java-Versionen (CVE-2025-0056) zust\u00e4ndig ist . Dadurch werden sensible Informationen wie Benutzernamen, nationale ID-Nummern und Bankkontonummern gef\u00e4hrdet…. <\/p>\n

Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[1],"tags":[],"class_list":["post-14319","post","type-post","status-publish","format-standard","hentry","category-uncategorized","is-cat-link-borders-light is-cat-link-rounded"],"_links":{"self":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts\/14319","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=14319"}],"version-history":[{"count":0,"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts\/14319\/revisions"}],"wp:attachment":[{"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=14319"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=14319"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=14319"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}