MySAPSSO2 Logon Ticket Attack

Ich würde gerne einen meiner Lieblingsangriffe mit Ihnen teilen:

Wie wäre es mit einem Angriff, bei dem Sie sich einen Benutzer Ihrer Wahl, ein System Ihrer Wahl und einen Client Ihrer Wahl aussuchen können und wie von Zauberhand sofortigen Zugriff erhalten?

OK, da ist ein Haken: Sie brauchen Zugriff auf das Dateisystem!
Ist das ein großer Haken? Nun, ich sehe eine Menge Möglichkeiten: Zugriff auf OS-Ebene (wie in fast jedem Breach/Pentest), niedrig privilegierter Benutzerzugriff mit Download-Option und natürlich Schwachstellen mit OS-/Dateizugriff. In den meisten Fällen wird man einen passenden Einstiegspunkt finden.

OK, der Rest ist schnell erledigt:

  1. Beschaffen der SAPSYS.PSE-Datei
  2. Erzeugen Sie damit ein MySAPSSO2-Anmeldeticket für einen Benutzer (DDIC?) Ihrer Wahl in einem Mandanten Ihrer Wahl (000/produktiv).
  3. Verwenden Sie das generierte Ticket zur Anmeldung. Der Einfachheit halber erstellt der werthAUDITOR eine SAP GUI Verknüpfung on the fly.
    Also nur ein Doppelklick und das System ist im Besitz.

Dies funktioniert sogar mit den neuesten S4/HANA Systemen.
Der Screenshot zeigt die Ticket-Erstellungsnachricht in dem werthAUDITOR. Die letzte Zeile enthält den Pfad zur Sap-Gui-Verknüpfung.

Da dieser wirklich oft übersehen wird und eine kritische Auswirkung hat. Ein paar Hinweise zum Schutz:

  1. Zugriff auf Dateisystem / SAPSYS.pse beschränken
  2. Setzen Sie eine Passphrase (standardmäßig keine) für die Schlüssel in der PSE-Datei!
  3. SSO-Ticket deaktivieren (login/accept_sso2_ticket = 0) – nur wenn möglich und wirklich unbenutzt!

Einen Ticketgenerator gibt es auch Open Source bei github: Procter & Gamble Tech · GitHub

Ist der DDIC gesperrt wie es die SAPNote 1998382 empfiehlt, gibt es eine weitere Quelle für Power-User: Die pfl-Dateien im System. Schauen Sie sich die automatisch generierten Änderungskommentare an. Dort finden Sie Benutzernamen mit starken Berechtigungen anstatt „blind“ den DDIC für ein Ticket zu nutzen .