Das Wirtschaftsprüfungs- und Beratungsunternehmen PricewaterhouseCoopers (PwC) hat eine Software entwickelt, die helfen soll, SAP-Installationen abzusichern. Der Automated Controls Evaluator (ACE) extrahiert sicherheitsrelevante Einstellungen aus dem SAP-System und bewertet diese dann. In diesem Security-Tool entdeckten Forscher der deutschen Sicherheitsfirma ESNC eine kritische Sicherheitslücke, die sie dem Hersteller im August dieses Jahres vertraulich meldeten.

Zunächst zeigte sich PwC auch durchaus interessiert und ließ sich die Natur der Schwachstelle genauer erklären. Auf spätere Nachfragen zum Stand der Dinge kam jedoch nicht etwa ein Patch, sondern ein anwaltliches Schreiben, das ihnen die Veröffentlichung von diesbezüglichen Informationen untersagte. ESNC blieb hart und veröffentlichte nach Ablauf der gesetzten Frist das Security Advisory zu der kritischen Lücke in PwC ACE.

In der PwC-Software klafft demnach eine Sicherheitslücke, über die Angreifer Code auf dem System ausführen und es komplett kompromittieren können. Über das Web-Interface kann man bösartigen ABAP-Shellcode in das System einschleusen, erklärte ein ESNC-Vertreter gegenüber c’t. Dazu muss der Angreifer als Benutzer am System angemeldet sein, kann dann aber etwa den Adminstrator-Account kapern, was PwC in einem Gespräch sogar demonstriert worden sei.

Betroffen ist die ACE-Version 8.10.304 – die Software wird offenbar vor allem von den PwC-Prüfern eingesetzt. Wer ACE nutzt, sollte am besten Kontakt mit dem Hersteller aufnehmen, um sicherzustellen, dass sein System nicht gefährdet ist. Auf eine Anfrage nach Details von c’t reagierte PricewaterhouseCoopers bis zum Redaktionsschluss nicht. (ju@ct.de)

Super-GAU bei Yahoo: Bereits im September musste die Firma beichten, Opfer des größten Datenklaus der IT-Geschichte geworden zu sein. Aber nun setzt der Internet-Konzern noch eins drauf und stellt einen neuen traurigen Rekord auf. Bereits ein Jahr vor dem bisher bekannten Angriff sollen Hacker sage und schreibe eine Milliarde Yahoo-Konten kompromittiert haben. Besonders peinlich: Die Security-Spezialisten der Firma hatten den Hack nicht selbst entdeckt, sondern wurden durch die Polizei informiert. Nach wie vor weiß Yahoo nicht, wie die Angreifer in die Systeme der Firma eingebrochen sind.

Bekannt ist, dass die Hacker im August 2013 die Namen, Mail-Adressen, Telefonnummern, Geburtsdaten und Passwort-Hashes der Nutzer mitgehen ließen. Die Passwörter waren per MD5 gehasht; man kann also getrost davon ausgehen, dass sie bereits vor Jahren geknackt wurden. Außerdem kopierten die Eindringlinge die Sicherheitsfragen (und -antworten) der Konten, welche allesamt im Klartext vorlagen. Neben Nutzern der Yahoo-Webseite und des E-Mail-Dienstes der Firma sind auch Flickr- und Tumblr-Nutzer betroffen – beide Dienste nutzen ebenfalls die Anmeldung über ein Yahoo-Konto.

Nach zwei getrennt voneinander aufgetretenen Rekord-Datenlecks von jeweils einer halben und einer Milliarde Konten hat Yahoos Ruf in der Security-Gemeinde nun endgültig den Tiefpunkt erreicht. Es wurde ebenfalls bekannt, dass es mindestens einer Einbrecher-Gruppe gelang, die Session-Cookies der Nutzerkonten zu generieren, ohne das Passwort des dazugehörigen Nutzers zu kennen. So konnten sie fast nach Belieben in den Konten von Yahoo-Nutzern ein- und ausgehen.

Der Glaube an die Sicherheit der Yahoo-Systeme wurde schon arg erschüttert, als bekannt wurde, dass wichtige Mitarbeiter des firmeneigenen Security-Teams um Sicherheitschef Alex Stamos die Firma Mitte 2015 verlassen hatten, nachdem sie erfuhren, dass die Firmenleitung am eigenen Sicherheitsteam vorbei Software hatte einbauen lassen, um Strafverfolgungsbehörden Zugang zu den E-Mails der Kunden zu geben.

Auch bei Verizon, wo man Yahoo eigentlich für fast 5 Milliarden US-Dollar übernehmen wollte, denkt man wohl darüber nach, den Deal wegen der Pannenserie platzen zu lassen. Am Tag der Verlautbarung zum zweiten Hack fiel der Aktienkurs von Yahoo auf jeden Fall schon mal kräftig. (fab@ct.de)