Force Vision Threat Detection Enhancement for werthAUDITOR Platform

Die Zukunft der Threat Detection

Wir freuen uns, die bahnbrechende Force Vision Threat Detection Enhancement für die werthAUDITOR Plattform ankündigen zu können!

Unser Force Vision-Modul ist als einzige SAP-Security Lösung in der Lage, unerwünschte privilegierte Anmeldungen in Echtzeit zu erkennen ohne sich dabei auf die übliche und anfällige Mustererkennung zu verlassen. Sicherheitsadministratoren können jetzt zuverlässig Anmeldungen erkennen, die eine Rechteausweitung missbrauchen oder gestohlene Administratoranmeldeinformationen verwenden. Denn Force Vision bewertet automatisch, ob es sich bei der Anmeldung um eine legitime Administratoranmeldung oder die Verwendung gestohlener Anmeldeinformationen handelt. Die integrierte Echtzeit-Erkennung erhöhter Berechtigungen zeigt jede Rechteausweitung bei normalen Benutzern an.

Somit ist eine unmittelbare Reaktion auf unerwünschte Systemzugriffe möglich. 

Ab Sofort ist die Zukunft der Threat Detection auch für unsere Kunden verfügbar!

Aktuelle Patches

SAP NEWS: Patchday September 2023

Hier findet ihr eine Übersicht der SAP Security Notes für September 2023:

1. Score 10  (Hot News)

Nummer: 2622660

Sicherheitsupdates für Browser-Control Google Chromium in SAP Business Client

Beim Anzeigen von Webseiten in SAP Business Client mittels dieses Open-Source-Browser-Controls können sich verschiedene Schwachstellen, wie Speicherschäden, Offenlegung von Informationen usw. manifestieren.  Diese Schwachstellen können sich wie folgt auswirken:

  • Offenlegung von Systeminformationen oder  Systemabsturz
  • Auswirkung auf die Vertraulichkeit, Integrität und Verfügbarkeit eines Systems.
  • Ausnutzung der Informationen zur Durchführung von gezielten Angriffen mit ernsthaften Folgen.

2. Score 9.9   (Hot News)

Nummer: 3273480

[CVE-2022-41272] Falsche Zugriffskontrolle in SAP NetWeaver AS Java (benutzerdefinierte Suche)

Über offene Schnittstellen können von nicht  authentifizierter Angreifern Vorgänge ausgeführt werden, die Benutzer und Daten im gesamten System beeinträchtigen. Der Angreifer erhält vollen Lesezugriff auf Benutzerdaten und kann eingeschränkte Änderungen an Benutzerdaten vornehmen. Zudem kann die Performance des Systems negativ beeinflusst werden.

Dies kann der Vertraulichkeit großen Schaden zufügen und hat begrenzte Auswirkungen auf die Verfügbarkeit und Integrität der Anwendung.

3. Score 9.9   (Hot News)

Nummer: 3320355

[CVE-2023-40622] Schwachstelle bezüglich der Offenlegung von Informationen auf SAP-BusinessObjects-Business-Intelligence-Plattform (Promotion-Verwaltung)

Ein authentifizierten Angreifer kann mit Hilfe der Schwachstelle vertrauliche Informationen lesen, die normalerweise eingeschränkt sind. Vollumfänglich Gefährdung der Anwendung möglich. Starke Beeinträchtigung der Vertraulichkeit, Integrität und Verfügbarkeit möglich.

4. Score 9.9   (Hot News)

Nummer: 3245526

3245526 – [CVE-2023-25616] Code-Injection-Schwachstelle in SAP-Business-Objects-Business-Intelligence-Plattform (CMC) 

Mögliche Ausnutzung einer Code-Injection-Schwachstelle, die einem Angreifer Zugriff auf Ressourcen ermöglicht, für die zusätzliche Berechtigungen erforderlich sind. 

Starke Beeinträchtigung der Vertraulichkeit, Integrität und Verfügbarkeit des Systems

5. Score 9.8   (Hot News)

Nummer: 3340576

[CVE-2023-40309] Fehlende Berechtigungsprüfung in SAP CommonCryptoLib

Die Schwachstelle führt nicht die erforderlichen Authentifizierungsprüfungen durch, was zu fehlenden oder falschen Berechtigungsprüfungen für einen authentifizierten Benutzer führen kann. Dadurch ist eine Rechteausweitung möglich. Abhängig von der Anwendung und der jeweiligen Berechtigungsebene kann ein Angreifer Funktionen missbrauchen, die auf eine bestimmte Benutzergruppe beschränkt sind, und eingeschränkte Daten lesen, ändern oder löschen.

 

6. Score 8.7   (High priority)

Nummer: 3370490

[CVE-2023-42472] Schwachstelle mit Blick auf unzureichende Dateityp-Validierung in SAP-BusinessObjects-Business-Intelligence-Plattform (Web-Intelligence-HTML-Schnittstelle)

Die Schwachstelle ermöglicht es einem Berichtsersteller, Dateien aus dem lokalen System über das Netzwerk in den Bericht hochzuladen. Nach Ausnutzung der Schwachstelle kann der Angreifer sensible Daten lesen und ändern, was große Auswirkungen auf die Vertraulichkeit und Integrität der Anwendung hat.

7. Score 7.5   (High priority)

Nummer: 3327896

[CVE-2023-40308] Speicherbeschädigungsschwachstelle in SAP CommonCryptoLib

Ein authentifizierten Angreifer kann durch eine Aufforderung an einen offenen Port einen Speicherbeschädigungsfehler in einer Bibliothek verursachen, der zu einem Absturz der Zielkomponente führt. Dadurch  ist sie nicht mehr verfügbar. 

8. Score 6.3   (Medium priority)

Nummer: 3357163

[CVE-2023-40621] Code-Injection-Schwachstelle in SAP-PowerDesigner-Client

Die Code-Injection-Schwachstelle ermöglicht es einem Angreifer ohne Berechtigungen, unbemerkt VBScript-Code in ein Dokument hineinzubringen. Durch das Öffnen des Dokumentes führt die Anwendung den Code im Namen des unwissenden Benutzers aus.

Durch die Aktivierung von Sicherheitsoptionen in der Anwendung, die nicht als Standard festgelegt sind, werden nicht vertrauenswürdige Skripte deaktiviert oder der Benutzer wird zu einer Bestätigung der Ausführung aufgefordert.

9. Score 6.2   (Medium priority)

Nummer: 3317702

[CVE-2023-40623] Beliebige Dateilöschung über Verzeichnisverknüpfung in SAP BusinessObjects Suite (Installationsprogramm)

Die Schwachstelle ermöglicht es dem Angreifer bei erfolgreicher Ausnutzung alle Betriebssystemdateien zu löschen. Dies hat eine eingeschränkte Auswirkung auf die Integrität und vollständig beeinträchtigt der Verfügbarkeit des Systems zur Folge.

10. Score 5.7   (Medium priority)

Nummer: 3349805

Denial-of-Service-Schwachstelle (DOS) aufgrund der Verwendung einer anfälligen Version von Commons FileUpload in SAP Quotation Management Insurance (FS-QUO)

 Die Schwachstelle ermöglicht es einem Angreifer mit geringen Rechten einen Angriff aus einem benachbarten Netzwerk starten.

11. Score 5.5   (Medium priority)

Nummer: 3323163

[CVE-2023-40624] Code-Injection-Schwachstelle in SAP NetWeaver AS ABAP (Anwendungen, die auf Unified Rendering basieren)

Ein Angreifer kann einen JavaScript-Code einschleusen, der in der Web-Anwendung ausgeführt werden kann und somit das Systemverhalten der Anwendung steuern.

12. Score 5.4  (Medium priority)

Nummer: 3326361

[CVE-2023-40625] Fehlende Berechtigungsprüfung in App „Einkaufskontrakte verwalten“

Durch die App werden nicht die erforderlichen Berechtigungsprüfungen für einen authentifizierten Benutzer durchgeführt. Ein Angreifer hat somit die Möglichkeit, unbeabsichtigte Aktionen ausführen. Dies führt zu einer Rechteausweitung, mit geringen Auswirkungen auf die Vertraulichkeit und Integrität ohne Auswirkungen auf die Verfügbarkeit des Systems.

13. Score 5.3   (Medium priority)

Nummer: 3352453

[CVE-2023-37489] Schwachstelle mit Blick auf Offenlegung von Informationen auf SAP-BusinessObjects-Business-Intelligence-Plattform (Versionsverwaltungssystem)

 Ein nicht authentifizierten Benutzer kann durch die Schwachstelle Code-Snippets über die UI lesen, was geringe Auswirkungen auf die Vertraulichkeit und keine Auswirkungen auf die Verfügbarkeit oder die Integrität der Anwendung hat.

14. Score 5.3   (Medium priority)

Nummer: 3348142

3348142 – [CVE-2023-41367] Fehlende Berechtigungsprüfung in SAP NetWeaver (Guided Procedures) – SAP for Me

Ein nicht autorisierter Benutzer kann anonym auf die Administratorsicht einer bestimmten Funktion zugreifen. Bei erfolgreicher Ausnutzung der Schwachstelle kann der Angreifer die E-Mail-Adresse des Benutzers anzeigen. Keine Auswirkungen auf die Integrität/Verfügbarkeit.

15. Score 3.5   (Low priority)

Nummer: 3369680

[CVE-2023-41369] External-Entity-Loop-Schwachstelle in SAP S/4HANA (Anwendung „Einzelzahlung anlegen“)

Durch die Anwendung kann ein authentifizierten Angreifer die XML-Datei als Anlage hochladen. Durch Anklicken der XML-Datei  im Anlagenabschnitt wird die Datei im Browser geöffnet, sodass die Entitätsschleifen den Browser verlangsamen.

16. Score 2.7   (Low priority)

Nummer: 3355675

[CVE-2023-41368] IDOR-Schwachstelle (unsichere direkte Objektreferenz) in SAP S/4HANA (Anwendung „Scheckhefte verwalten“)

Die  Anwendung ermöglicht es einem Angreifer mit erweiterten Rechten, den Scheckheftnamen zu ändern was sich teilweise auf die Integrität auswirkt.

Battleing next gen endpoint detection and response

In a recent penetration test i had the pleasure to battle with a well known EDR system. The result was so surprising that I would like to report about it here.

Pattern based detection

The first lesson to learn was that EDR relies heavily on pattern based detection of malware. I had some evidence to support this thesis: known malware and attack patterns were detected and reported immediately.

The sticking point at this time, however, was that I already had a remote shell with NT system rights in which I tested the detection of the „known“ malware.

Bypassing EDR

So how did i manage to get so far without triggering EDR? This was so easy that i myself didn’t even noticed what i already did.

I’ve just been using self created remote shells, so no kind of pattern machting was able to detect them.

System access was possible with gathered credentials and abusing a service running as system.

Both kept undetected by EDR.

Pattern evasion

With a reliable shell i deceided to start powershell. The strong focus on pattern recognition should help me to bypass AMSI. So i just used a heavy obfuscation and a manual approach to disable AMSI. That worked like charm on the first try.

Loading additional powershell scripts didn’t raise any alarms.

Muting EDR

For completeness I have tried to silence the EDR. This was a task of minutes! I had several options. The core idea was to stop communication to the cloud. As i had enough rights to configure Firewall or DNS Resolution i was able to block that communication. From there no more alrams even for well known tools like mimikatz have been raised. Even abusing dumped credentials from lsass for lateral moving didnt trigger any alert.

Lessons learned

Within minutes using trivial methods EDR can bei bypassed! I won’t share any details here, but you know pattern evasion has a thousand possibilities. Blocking traffic is quite simple, too.

So what can a defender do? First, really evaluate your product of choice before implementation!

Second, listen also to the quiet sounds.

Even low suspicious events may be the tip of the iceberg. Be sensible and investigate – early!

Ask yourself, how could this happen? Why don’t I see more messages?

Die 3 häufigsten Fails im Berechtigungsmanagement

Ein durchdachtes und gepflegtes SAP-Berechtigungskonzept ist ein wichtiger Baustein für das Sicherheits- und Compliance-Rahmenwerk eines Unternehmens. Mangelndes Verständnis über die Bedeutung für Sicherheit- und Compliance oder historisch gewachsener Wildwuchs kann jedoch zu vielfältigen Risiken, wie Compliance-Verstößen, Diebstahl, Betrug oder Sabotage führen und erheblichen Schaden verursachen.

Hier sind die häufigsten Berechtigungsfehler, die uns in unserer Praxis begegnen:

Fehler # 1: Berechtigungen mit der Gießkanne verteilen

Die inflationäre Vergabe von Zugriffsrechten ist einer der häufigsten Fehler in Unternehmen.

Wird nicht von Beginn an auf eine saubere Vergabe von Rechten geachtet, entsteht im Laufe der Jahre historisch gewachsener Wildwuchs. Durch geerbte Rollen oder Vertrauen in die Person erlangen Benutzer Zugriff auf sensible Daten oder Funktionen, die sie für ihre Arbeit nicht benötigen. Dadurch können folgende Szenarien entstehen:

• Ein Angreifer kann einen Account übernehmen und in Namen des Benutzers Schaden anrichten

• Ein böswilliger Benutzer kann weitreichende Zugriffsrechte ausnutzen, um eigene Interessen zu verfolgen

Die Vergabe von System- und Benutzerberechtigungen und sogar Notfallberechtigungen ist in der Praxis kein Einzelfall und kann verheerende Folgen für das Unternehmen haben. Dies gilt auch für Standard Benutzerkonten wie z.B. SAP * und DDIC.

Die restriktive Vergabe von kritischen Berechtigungen und die Vermeidung kritischer Rechtekombinationen ist für ein robustes Berechtigungsmanagement von zentraler Bedeutung.

Fehler #2: Schlecht konzipiertes Rollendesign

Die SAP-Benutzerrollen sind als Schnittstelle zu den Berechtigungen ein wichtiger Bestandteil des SAP-Berechtigungsmanagements. Ein schlecht durchdachtes Rollendesign, in dem z.B. Rollen immer weitervererbt und mit zusätzlichen Transaktionen „bereichert“ werden, kann Sicherheitsrisiken, Compliance-Probleme und Ineffizienz zur Folge haben.

Daher sollten Unternehmen einen robusten Designprozess zur Entwicklung von Rollen etablieren, der auf Basis von Jobfunktionen, der Zuordnung der Rollen zu konkreten Funktionen und Daten sowie das Testen der Rollen einbezieht.

Auch das regelmäßige Kontrollieren der Rollen auf Aktualität, Relevanz und Effizienz ist für einen reibungslosen Prozess unabdingbar.

Fehler #3: Ignorieren der Funktionstrennung (SoD)

Bei der Einrichtung von Berechtigungen und Benutzerrollen muss sichergestellt werden, dass kein einzelner User-Funktionen ausführen kann, die zu Missbrauch oder Fehlern führen können. Mit Hilfe der Funktionstrennung (SoD) soll innerhalb einer Organisation der Missbrauch kritischer Kombinationen von Tätigkeiten innerhalb eines Prozesses verhindert werden. Die Praxis jedoch zeigt, dass viele Unternehmen SoD ignorieren. Dadurch können erheblichen Sicherheits- und  Compliance-Risiken entstehen.

Die regelmäßige Kontrolle der Benutzerzugriffe ist ebenso von großer Bedeutung und hilft dabei Konflikte in der Funktionstrennung sowie Verstöße gegen SoD-Richtlinien zu identifizieren und fehlerhafte Vergaben von Berechtigungen zu beheben.

Im Rahmen der SAP-Security ist ein gepflegtes Berechtigungsmanagement ein wichtiger Baustein und als permanenter Prozess zu sehen. Daher ist die regelmäßige Kontrolle der Berechtigungen, Benutzerrollen und Zugriffsrechte von großer Bedeutung. Um ein wirksames Berechtigungskonzept zu etablieren, ist es ebenfalls von großer Bedeutung, bei Administratoren und Benutzern das Bewusstsein für den Stellenwert von Sicherheitsmaßnahmen zu schärfen und Wissen in Form von Aus-und Weiterbildungen zu vermitteln.

Berechtigungsmanagement mit werthAUDITOR

werthAUDITOR bietet eine komfortable und einfache Lösung, um kritische Berechtigungen und – Rechtekombinationen zu identifizieren und in einer übersichtlichen Berechtigungsmatrix abzubilden. Mit Hilfe des integrierten Berechtigungssimulators lassen sich Rollen und Profile auswählen und on the fly analysieren, editieren und exportieren. Somit lässt sich der Prozess erheblich vereinfachen und typische Fehler können vermieden werden.