Categories: SoftwareUnternehmen

Oracle-Passwörter in der Kritik

Passwörter, die für die Nutzung von Oracles Datenbanken gebraucht werden, sind angreifbar. Zu diesem Ergebnis kommen zwei Sicherheitsforscher. Es ist ihnen offenbar gelungen, selbst bestens geschützte Passwörter im Klartext auszulesen.

Die Konsequenzen sind schnell erklärt: Wer ein Passwort hat und sich Zugang zum System verschaffen kann, könnte im Namen des Passwortbesitzers alle denkbaren Manipulationen in einer Datenbank ausführen. Dies selbstverständlich im Rahmen der Zugriffsrechte, die der Anwender hat. Zu einem Angriff würde also auch ein guter Einblick in die Firmenstruktur gehören.

Joshua Wright vom internationalen SANS Institute und Carlos Sid, Wissenschaftler am Royal Holloway College an der Londoner Uni rufen den Hersteller Oracle auf, den Passwortschutz in den betreffenden Software-Suiten nachzubessern. In ihrer elfseitigen Untersuchung heißt es, dass einerseits ein Angreifer mit wenig Zugriffsrechten ohne größere Schwierigkeiten höhere Zugriffsrechte erlangen kann. Dafür muss er beispielsweise lediglich das Passwort eines Admins auslesen und verwenden. Das erfordere “nur wenige Minuten”.

Außerdem sei es aufgrund von  Schwächen im Algorithmus des Passwort-Hash möglich, mithilfe von frei gehandelter Standardsoftware eine Passwort-Generierung vorzunehmen. So könnte ein Angreifer ganz unterschiedliche Zugangsrechte erwerben. Die beiden Forscher haben den Hersteller bereits über die entdeckten Schwächen informiert. Von der Oracle-Zentrale liegt derzeit noch keine Reaktion vor.

Silicon-Redaktion

Recent Posts

Sofortzahlungen im Wandel: Sicherheit und KI als treibende Kräfte

In Deutschland hat das Zahlungsverhalten 2024 eine deutliche Entwicklung hin zu Sofortüberweisungen und Instant Payment…

2 Stunden ago

Blockaden und Risiken bei APM-Projekten vermeiden

Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.

2 Tagen ago

BSI-Bericht: Sicherheitslage im Cyberraum bleibt angespannt

Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.

3 Tagen ago

KI-Hype in der Cybersicherheit – oder besser doch nicht?

KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…

3 Tagen ago

Netzwerksegementierung schützt vor Angriffen über die OT

Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…

4 Tagen ago

KI-Bluff bei AIOps erkennen

Die Auswahl einer Lösung sollte anhand von echten Leistungsindikatoren erfolgen, um echte KI von Behauptungen…

4 Tagen ago