Der Sicherheitsanbieter Duo Security macht auf eine Schwachstelle aufmerksam, die Nutzer von Single-Sign-on-Lösungen (SSO) betrifft. Die Schwachstelle betrifft SAML (Security Assertion Markup Language). Ein Angreifer ist unter Umständen in der Lage, sich ohne Kenntnis der eigentlichen Log-in-Daten im Namen eines Opfers bei einer Website oder einem Dienst anzumelden. CERT führt die Schwachstelle unter Vulnerability Note VU#475445.
Um die Schwachstelle ausnutzen zu können, muss ein Hacker die Antwort abfangen, die ein SSO-System nach der Überprüfung von Nutzername und Passwort an den Browser des Nutzers verschickt. Wird diese Antwort anschließend verändert, verändert sich auch die Signatur, wodurch sie eigentlich unbrauchbar wird. Das Problem ist, dass die Signatur von bestimmten SSO-Systemen die auf SAML basieren, nicht richtig geprüft wird.
Allerdings hat der Bug nicht für alle Systeme dieselben Auswirkungen. „Das Vorhandensein des Fehlers ist nicht gut, aber er ist nicht immer ausnutzbar“, ergänzten die Forscher. Unter anderem kann eine XML-Verschlüsselung die Folgen eines Angriffs mindern, weil dadurch Daten während der Übertragung geschützt werden. Auch eine Anmeldung in zwei Schritten bietet zusätzlichen Schutz.
Duo Security zufolge sind unter anderem Produkte von OneLogin, Clever, OmniAuth-SAML und Shibboleth anfällig. Auch Duo Securities eigenes Network Gateway benötigt ein Firmware-Update, das bereits zur Verfügung steht.
Ein OneLogin-Sprecher wies darauf hin, dass seine Nutzer nichts unternehmen müssten. Die notwendigen Maßnahmen beträfen ausschließlich Entwickler von Apps, die eine anfällige Single-Sign-on-Lösung implementiert hätten.
Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
