Sicherheitsforscher knacken Microsoft ERP

Die Sicherheitsforscher des Sicherheitsspezialisten SecureState Tom Eston und Brett Kimmel haben auf der Black-Hat-Konferenz in Abu Dhabi ihr “Projekt Mayhem” vorgestellt. Damit belegen sie, wie ein Angreifer in eine Microsoft-ERP-System eindringen kann und hier großen wirtschaftlichen Schaden anrichten kann.

Die Sicherheitsforscher konnten laut eigenen Angaben über den Great Plains Client auf eine angeschlossene Datenbank Microsoft SQL zugreifen. Dazu ist es jedoch nötig, dass ein Great-Plains-Anwender (Microsoft ERP) auf einen manipulierten Mailanhang klickt oder die Schadsoftware über eine Webseite herunterlädt.

Ist der Hacker einmal in das Microsoft-ERP Great Plains eingedrungen, hat er hier Zugriff auf Anwendungen, die Geschäftsprozesse abbilden und auch auf die Finanzsoftware. Microsoft Dynamics/ERP wird in der Regel von Mittelständischen Unternehmen eingesetzt.

Allerdigns reiche es für einen Hacker nicht aus, alleine technisches Wissen mitzubringen, so SecureState. ERP-Systeme sind komplex und zudem müsste der Hacker auch einen Buchhaltungs-Experten zur Hand haben, der die Informationen interpretieren kann. Zudem müsste der Hacker auch die betroffenen Accounts manipulieren, um den Angriff zu verschleiern. In dem Project Mayhem allerdings haben die SecureState-Mitarbeiter ihre Expertisen vereinigt und seien so in der Lage gewesen, das Sicherheitsleck auszunutzen.

Über den Schad-Code konnten die beiden Sicherheitsexperten über ODBC die Kommunikation zwischen Client und Datenbank abfangen und hier aber auch Befehle einstreuen. Und so sei es möglich, unter anderem Finanzdaten zu manipulieren. Und so hätten die beiden Sicherheitsforscher von SecureState Gelder an ein externes Konto überweisen können.

Die Forscher konnten in dem System Rechnungsadressen ändern, neue Händler anlegen, den Kreditrahmen erhöhen, oder auch die Bilanz in einem Account manipulieren oder neben weiteren Aktionen auch die Unterlagen in der Hauptbuchhaltung ändern.

Doch hätten die Mitarbeiter von SecureStat nicht im Sinn gehabt, eine neue Malware zu schreiben. Der so genannte Proof-of-Concept solle lediglich beweisen, dass diese Manipulationen möglich sind. Die Malware, die dafür nötig sei, sei noch nicht sonderlich ausgereift. Mit dieser Demonstration sollten jedoch nicht nur die Hersteller von ERP-Lösungen gewarnt werden, sondern natürlich auch die Anwender, die häufig die Systeme über lange Perioden hinweg nicht aktualisieren, um Probleme zu vermeiden.

Daher warnt SecureState, dass Anwenderunternehmen, ungeachtet der verwendeten Sicherheitstechnologien, in regelmäßigen Abständen prüfen sollten, ob in Unterlagen ungewöhnliche Eintragungen vorgenommen wurden. Denn auf diese Weise ließen sich Attacken wie das ‘Projekt Mayhem’ schließlich doch noch aufdecken.

Einer der Anbieter, der sich auf die Sicherheit von ERP-Lösungen spezialisiert hat ist Onapsis. In einer Studie im Frühjahr hatte das Unternehmen gezeigt, dass von 600 untersuchten SAP-Systemen 95 Prozent Sicherheitslecks aufwiesen, weil von den Anwendern entsprechende Patches nicht aufgespielt wurden.