Certified Security Operations Center GmbH

15. November 2018

CSOC-Event der Woche KW45 – XXE-Angriffe: Die Bedrohung in XML-Dokumenten

KW45: CSOC-Event der Woche – XXE-Angriffe: Die Bedrohung in XML-Dokumenten

Durchschnittliche CSOC-Gesamtevents pro Tag:  24.602
Detektionshäufigkeit:      224

Eventbeschreibung: XXE-Angriffe – Die Bedrohung in XML-Dokumenten / Kritikalität = mittelschwer (6 / 10)

In dieser Woche berichten wir über Angriffe, die es 2017 erstmals in die Liste der OWASP TOP 10 aktueller Webapplikations-Schwachstellen geschafft hat. Der Sammelbegriff für die Angriffe lautet: XML External Entities (XXE).

Dieser Angriff kann durch speziell erzeugte XML-Dokumente getätigt werden, welche dann von einer nicht ausreichend sicher konfigurierten XML-Schnittstelle entgegengenommen und verarbeitet werden. XML-Dokumente dienen dem hierarchisch strukturierten Speichern von Daten im Textformat. Dabei können, ähnlich wie in HTML, im Kopf der XML-Datei Vorgaben zur Struktur des Dokuments gemacht werden. Unter anderem kann im Kopf der XML-Datei auf externe Entitäten referenziert werden, die anschließend im weiteren XML-Dokument aufgerufen werden. Als eine mögliche externe Entität könnte beispielsweise eine lokale Systemdatei mit Passwörtern dienen. Wird der Aufruf von der XML-Schnittstelle korrekt und ohne Widersprüche verarbeitet, können die Inhalte der lokalen Systemdatei nun möglicherweise angezeigt werden. Zu den möglichen Folgen einer erfolgreichen XXE-Attacke zählen Zugriffe auf sensible Informationen, Remote-Code-Ausführung und der gezielte Ausfall von IT-Systemen (Denial-of-Service).

Technische Beschreibung:

Als Beispiel stellen wir ein manipuliertes XML-Dokument vor, dass bei fehlerhaftem XML-Parser die lokale Passwortdatei eines Linux-Systems am Bildschirm ausgeben könnte:

[siteorigin_widget class=“Inked_Image_SO_Widget“][/siteorigin_widget]

Weitere Code-Beispiele für XXE-Angriffe, und wie man sich vor diesen schützen kann, finden Sie unter dem hinterlegten Link der technischen Beschreibung.

error: