Passwortschutz in Oracle-Datenbanken leicht zu umgehen

Sicherheitsforscher Esteban Martinez Fayo von AppSec hat gezeigt, wie einfach sich Oracle-Datenbanken hacken lassen. Kaspersky Lab fasst seinen in Argentinien gehaltenen Vortrag zusammen. Demnach benötigt Fayo nur fünf Stunden und ein selbst geschriebenes Werkzeug, um den Passwortschutz zu umgehen und auf Nutzerdaten zuzugreifen.

“Es ist ziemlich einfach”, sagte Martinez Fayo dem Blog Dark Reading. “Der Angreifer muss nur einen gültigen Nutzernamen der Datenbank kennen und den Namen der Datenbank selbst. Das ist alles.”

Schuld sei demnach ein Fehler im kryptografischen Verfahren von Oracles Passwort-Authentifizierung. Dadurch werde eine Brute-Force-Attacke extrem vereinfacht. Man benötige nicht einmal einen “Man in the Middle”, um eine Vielzahl von Nutzern vorzutäuschen – der Server stelle dem Angreifer selbst wichtige Informationen zur Verfügung.

Der Sicherheitsforscher Fayo habe laut eigenen Angaben den Hersteller Oracle erstmals im Mai 2010 über das Problem informiert. Im Jahr darauf sei es behoben worden. Nicht jedoch in den aktuellen Versionen. Daher sind die Datenbanken 11.1 und 11.2 noch für den Angriff anfällig. Die allerjüngste Version 12 wiederum weise diese Lücke nicht auf, wie der Forscher berichtet.

Allerdings können Firmen, die die anfälligen Versionen nutzen, einen Workaround implementieren: “Schalten Sie das Protokoll in Version 11.1 aus und nutzen Sie stattdessen eine ältere Version, etwa 10g.” Das halte er für eine extrem wichtige Maßnahme.

Im Januar hatte Oracle 78 Lecks in verschiedenen Produkten behoben, die unter anderem ein Eindringen in die Datenbank aus der Ferne ermöglichten. Daneben ist Java ein weiteres Problemkind des Konzerns.

[mit Material von Florian Kalenda, News.com]

Tipp: Wie gut kennen Sie Hightech-Firmen, die an der Börse notiert sind? Testen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.