LALAKA – shutterstock.com
Die Forscher Jonathan Stross von Pathlock, und Julian Petersohn von Fortinet warnen vor zwei neuen Sicherheitslücken in einer Funktion von SAP GUI, die für die Speicherung der Benutzereingaben in den Home windows- (CVE-2025-0055) und Java-Versionen (CVE-2025-0056) zuständig ist .
Dadurch werden wise Informationen wie Benutzernamen, nationale ID-Nummern und Bankkontonummern gefährdet. Diese sind entweder unverschlüsselt oder mit einem schwachen, wiederverwendbaren XOR-Schlüssel geschützt, warnen die Forscher.
„CVE-2025-0055 und CVE-2025-0056 stellen beide ein erhebliches Risiko für Unternehmen dar, das auf unsichere lokale Datenspeicherpraktiken zurückzuführen ist“, mahnt auch Mayuresh Dani, Safety Analysis Supervisor bei Qualys. „Selbst wenn Passwortfelder aus dem Eingabeverlauf von SAP GUI ausgeschlossen sind, ist der Umfang der sensiblen Daten, auf die ein Angreifer zugreifen kann, sehr groß.“
SAP hat in Abstimmung mit dem Pathlock-Crew im Januar 2025 stillschweigend relevante Sicherheitspatches und Abhilfemaßnahmen veröffentlicht, die nur für SAP-GUI-Kunden zugänglich sind.
Schwache XOR-Verschlüsselung ausnutzbar
Das Hauptproblem von CVE-2025-0055 ist ein einfacher Verschlüsselungsfehler. SAP GUI für Home windows speichert zuvor eingegebene Werte wie Benutzer-IDs oder Sozialversicherungsnummern in einer lokalen SQLite-Datenbankdatei unter Verwendung einer exklusiven OR (XOR)-basierten Verschlüsselung. Die Verschlüsselung verwendet jedoch für jeden Eintrag denselben statischen Schlüssel, sodass ein einziger bekannter Wert ausreicht, um den Relaxation zu entschlüsseln.
„Die Eingaben werden in einer SQLite3-Datenbankdatei (SAPHistory<WINUSER>.db) mit einem schwachen XOR-basierten Verschlüsselungsschema gespeichert, wodurch sie mit minimalem Aufwand leicht rückgängig gemacht werden können“, erklärte Stross von Pathlok in einem Blogbeitrag.
CVE-2025-0056 basiert auf einen noch laxeren Ansatz in SAP GUI für Java, wo Verlaufsdaten völlig unverschlüsselt gespeichert werden. Das bedeutet, dass serialisierte Java-Objekte, die wise Benutzereingaben enthalten, für jeden frei zugänglich sind, der Zugriff auf den Rechner hat.
Laut Jason Soroko, Senior Fellow bei Sectigo, ist das Downside bei Java-Purchasers noch viel größer. „Der gleiche Verlauf wird als einfache, serialisierte Java-Objekte in plattformspezifische Ordner geschrieben – ohne jegliche Verschlüsselung“, betont der Experte. „Jeder, der lokalen oder Distant-Zugriff auf das Dateisystem eines gestohlenen Laptops, einer kompromittierten Workstation oder einer einfachen Phishing-Plattform erhält, kann die Verlaufsdateien sammeln. Damit ist er in der Lage, die laterale Bewegung zu beschleunigen, überzeugende Spear-Phishing-Angriffe zu erstellen oder Daten zu sammeln, die Compliance-Verstöße auslösen.“
Auch Pathlok warnt, dass die Schwachstellen trotz einer mittleren CVSS-Bewertung von 6 von 10 zu Compliance-Problemen führen könnten. Er verweist auf Risiken von Audit-Fehlern gemäß GDPR, PCI DSS oder HIPAA. SAP reagierte nicht auf Anfragen zu diesem Thema.
Die Spitze des Eisbergs?
Dani von Qualys merkte an, dass diese Schwachstellen zu weiteren gezielten Angriffen führen könnte. „Abgesehen davon, dass diese extrahierten Daten Angreifern genügend Munition für Spionageaktivitäten liefern, ermöglichen es die Schwachstellen, die Organisationsstruktur, Nutzungsmuster und Systemkonfigurationen zu verstehen. Angreifer können sie auch für personalisierte Angriffe wie Spear-Phishing nutzen, um einen bestimmten Benutzer effektiv zu kompromittieren und weitere Angriffe vorzunehmen“, so Dani.
Die Untersuchungen von Pathlock führten auch zur Entdeckung einer ähnlichen Schwachstelle in SAP NetWeaver AS ABAP, die unter der Nummer CVE-2025-0059 erfasst wurde. Die Lücke betrifft SAP GUI für HTML, da sie auf dem gleichen Downside beruht. SAP hat diese Variante zwar noch nicht gepatcht, Pathlock befürchtet jedoch, dass ein Patch keine dauerhafte Lösung für diese Probleme ist.
Laut Stross können Fallback-Mechanismen die von SAP veröffentlichten aktualisierten Versionen mit stärkerer Verschlüsselung – SAP GUI für Home windows 8.00 Patch Degree 9+ und SAP GUI für Java 7.80 PL9+ oder 8.10 – potenziell untergraben und unwirksam machen.
Pathlock empfiehlt Unternehmen, den Eingabeverlauf vollständig zu deaktivieren, um das Risiko dauerhaft zu mindern. (jm)
