Der Sicherheitsanbieter Duo Security macht auf eine Schwachstelle aufmerksam, die Nutzer von Single-Sign-on-Lösungen (SSO) betrifft. Die Schwachstelle betrifft SAML (Security Assertion Markup Language). Ein Angreifer ist unter Umständen in der Lage, sich ohne Kenntnis der eigentlichen Log-in-Daten im Namen eines Opfers bei einer Website oder einem Dienst anzumelden. CERT führt die Schwachstelle unter Vulnerability Note VU#475445.
Um die Schwachstelle ausnutzen zu können, muss ein Hacker die Antwort abfangen, die ein SSO-System nach der Überprüfung von Nutzername und Passwort an den Browser des Nutzers verschickt. Wird diese Antwort anschließend verändert, verändert sich auch die Signatur, wodurch sie eigentlich unbrauchbar wird. Das Problem ist, dass die Signatur von bestimmten SSO-Systemen die auf SAML basieren, nicht richtig geprüft wird.
Allerdings hat der Bug nicht für alle Systeme dieselben Auswirkungen. „Das Vorhandensein des Fehlers ist nicht gut, aber er ist nicht immer ausnutzbar“, ergänzten die Forscher. Unter anderem kann eine XML-Verschlüsselung die Folgen eines Angriffs mindern, weil dadurch Daten während der Übertragung geschützt werden. Auch eine Anmeldung in zwei Schritten bietet zusätzlichen Schutz.
Duo Security zufolge sind unter anderem Produkte von OneLogin, Clever, OmniAuth-SAML und Shibboleth anfällig. Auch Duo Securities eigenes Network Gateway benötigt ein Firmware-Update, das bereits zur Verfügung steht.
Ein OneLogin-Sprecher wies darauf hin, dass seine Nutzer nichts unternehmen müssten. Die notwendigen Maßnahmen beträfen ausschließlich Entwickler von Apps, die eine anfällige Single-Sign-on-Lösung implementiert hätten.
Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!
Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.