Oracle-Passwörter in der Kritik

Passwörter, die für die Nutzung von Oracles Datenbanken gebraucht werden, sind angreifbar. Zu diesem Ergebnis kommen zwei Sicherheitsforscher. Es ist ihnen offenbar gelungen, selbst bestens geschützte Passwörter im Klartext auszulesen.

Die Konsequenzen sind schnell erklärt: Wer ein Passwort hat und sich Zugang zum System verschaffen kann, könnte im Namen des Passwortbesitzers alle denkbaren Manipulationen in einer Datenbank ausführen. Dies selbstverständlich im Rahmen der Zugriffsrechte, die der Anwender hat. Zu einem Angriff würde also auch ein guter Einblick in die Firmenstruktur gehören.

Joshua Wright vom internationalen SANS Institute und Carlos Sid, Wissenschaftler am Royal Holloway College an der Londoner Uni rufen den Hersteller Oracle auf, den Passwortschutz in den betreffenden Software-Suiten nachzubessern. In ihrer elfseitigen Untersuchung heißt es, dass einerseits ein Angreifer mit wenig Zugriffsrechten ohne größere Schwierigkeiten höhere Zugriffsrechte erlangen kann. Dafür muss er beispielsweise lediglich das Passwort eines Admins auslesen und verwenden. Das erfordere “nur wenige Minuten”.

Außerdem sei es aufgrund von  Schwächen im Algorithmus des Passwort-Hash möglich, mithilfe von frei gehandelter Standardsoftware eine Passwort-Generierung vorzunehmen. So könnte ein Angreifer ganz unterschiedliche Zugangsrechte erwerben. Die beiden Forscher haben den Hersteller bereits über die entdeckten Schwächen informiert. Von der Oracle-Zentrale liegt derzeit noch keine Reaktion vor.