SOC Cyber Security Operations Center CSOC Köln Bonn

CSOC-Event der Woche KW34: CSOC-Event der Woche – Unverschlüsselte Passwörter

KW34: CSOC-Event der Woche – Unverschlüsselte Passwörter


Durchschnittliche CSOC-Gesamtevents pro Tag
:      28.142
Detektionshäufigkeit: 125

Eventbeschreibung Unverschlüsselte Passwörter / Kritikalität = hoch (9 / 10)

Diese Woche berichten wir über eine Schwachstelle deren Kritikalität sich viele nicht bewusst sind. Viele Webseiten und Dienste werden noch immer nur unverschlüsselt angeboten und verwendet.

Bei Webseiten ist dies in den meisten Browsern an dem Fehlen des Schlosses in der Adresszeile und dem Beginn der URL mit http:// anstatt https:// zu erkennen. In diesem Fall werden alle Daten ohne eine Verschlüsselung übertragen. Das heißt im Unternehmenskontext, dass zum Beispiel auch Anmeldungen an einem unverschlüsselten E-Mail-Webinterface fast im Klartext übertragen werden. An dieser Stelle sind Benutzername und Passwort zwar mit Base64 encodiert. Dabei handelt es sich aber nur um eine Umwandlung in eine für Computer besser zu verarbeitende Zeichenkette und nicht um eine Verschlüsselung der Zugangsdaten.

Die große Gefahr besteht darin, dass diese unverschlüsselten Daten zum Beispiel in einem öffentlichen WLAN ohne erkennbare Anzeichen mitgeschnitten werden können. Ein potenzieller Angreifer bekommt somit ohne großen Aufwand die Zugangsdaten zu dem E-Mail-Postfach direkt vom Benutzer geliefert. Er muss lediglich die Base64 Zeichenkette zurückrechnen und kann sich im Namen des Benutzers am E-Mail-Webinterface anmelden. Da die meisten Unternehmen die Benutzer zwischen E-Mail-Postfächern und den Benutzerkonten für das Unternehmensnetzwerk synchronisieren, kann der Angreifer im schlimmsten Fall über einen externen Zugang einen direkten Zugriff auf das Unternehmensnetzwerk erlangen.

Folglich stellen jegliche unverschlüsselte Übertragungen von Zugangsdaten, Bankdaten oder persönlichen Informationen ein erhebliches Risiko für den Benutzer und das Unternehmen dar.

Technische Darstellung:

Im folgenden Bild ist zu sehen, dass das Tool Wireshark zur Paketdatenanalyse von Netzwerkverkehr im Abschnitt „Authorization“ eine automatische Umwandlung von Base64 in ein lesbares Format vornimmt. Die Zugangsdaten könne somit direkt im Klartext weiterverwendet werden. Wir haben zu Demonstrationszwecken Benutzername und Passwort durch admin:admin ersetzt.

SOC Cyber Security Operations Center CSOC Köln Bonn