Rewrite the
LALAKA – shutterstock.com
Die Forscher Jonathan Stross von Pathlock, und Julian Petersohn von Fortinet warnen vor zwei neuen Sicherheitslücken in einer Funktion von SAP GUI, die für die Speicherung der Benutzereingaben in den Windows- (CVE-2025-0055) und Java-Versionen (CVE-2025-0056) zuständig ist .
Dadurch werden sensible Informationen wie Benutzernamen, nationale ID-Nummern und Bankkontonummern gefährdet. Diese sind entweder unverschlüsselt oder mit einem schwachen, wiederverwendbaren XOR-Schlüssel geschützt, warnen die Forscher.
„CVE-2025-0055 und CVE-2025-0056 stellen beide ein erhebliches Risiko für Unternehmen dar, das auf unsichere lokale Datenspeicherpraktiken zurückzuführen ist“, mahnt auch Mayuresh Dani, Security Research Manager bei Qualys. „Selbst wenn Passwortfelder aus dem Eingabeverlauf von SAP GUI ausgeschlossen sind, ist der Umfang der sensiblen Daten, auf die ein Angreifer zugreifen kann, sehr groß.“
SAP hat in Abstimmung mit dem Pathlock-Team im Januar 2025 stillschweigend relevante Sicherheitspatches und Abhilfemaßnahmen veröffentlicht, die nur für SAP-GUI-Kunden zugänglich sind.
Schwache XOR-Verschlüsselung ausnutzbar
Das Hauptproblem von CVE-2025-0055 ist ein einfacher Verschlüsselungsfehler. SAP GUI für Windows speichert zuvor eingegebene Werte wie Benutzer-IDs oder Sozialversicherungsnummern in einer lokalen SQLite-Datenbankdatei unter Verwendung einer exklusiven OR (XOR)-basierten Verschlüsselung. Die Verschlüsselung verwendet jedoch für jeden Eintrag denselben statischen Schlüssel, sodass ein einziger bekannter Wert ausreicht, um den Rest zu entschlüsseln.
„Die Eingaben werden in einer SQLite3-Datenbankdatei (SAPHistory
CVE-2025-0056 basiert auf einen noch laxeren Ansatz in SAP GUI für Java, wo Verlaufsdaten völlig unverschlüsselt gespeichert werden. Das bedeutet, dass serialisierte Java-Objekte, die sensible Benutzereingaben enthalten, für jeden frei zugänglich sind, der Zugriff auf den Rechner hat.
Laut Jason Soroko, Senior Fellow bei Sectigo, ist das Problem bei Java-Clients noch viel größer. „Der gleiche Verlauf wird als einfache, serialisierte Java-Objekte in plattformspezifische Ordner geschrieben – ohne jegliche Verschlüsselung“, betont der Experte. „Jeder, der lokalen oder Remote-Zugriff auf das Dateisystem eines gestohlenen Laptops, einer kompromittierten Workstation oder einer einfachen Phishing-Plattform erhält, kann die Verlaufsdateien sammeln. Damit ist er in der Lage, die laterale Bewegung zu beschleunigen, überzeugende Spear-Phishing-Angriffe zu erstellen oder Daten zu sammeln, die Compliance-Verstöße auslösen.“
Auch Pathlok warnt, dass die Schwachstellen trotz einer mittleren CVSS-Bewertung von 6 von 10 zu Compliance-Problemen führen könnten. Er verweist auf Risiken von Audit-Fehlern gemäß GDPR, PCI DSS oder HIPAA. SAP reagierte nicht auf Anfragen zu diesem Thema.
Die Spitze des Eisbergs?
Dani von Qualys merkte an, dass diese Schwachstellen zu weiteren gezielten Angriffen führen könnte. „Abgesehen davon, dass diese extrahierten Daten Angreifern genügend Munition für Spionageaktivitäten liefern, ermöglichen es die Schwachstellen, die Organisationsstruktur, Nutzungsmuster und Systemkonfigurationen zu verstehen. Angreifer können sie auch für personalisierte Angriffe wie Spear-Phishing nutzen, um einen bestimmten Benutzer effektiv zu kompromittieren und weitere Angriffe vorzunehmen“, so Dani.
Die Untersuchungen von Pathlock führten auch zur Entdeckung einer ähnlichen Schwachstelle in SAP NetWeaver AS ABAP, die unter der Nummer CVE-2025-0059 erfasst wurde. Die Lücke betrifft SAP GUI für HTML, da sie auf dem gleichen Problem beruht. SAP hat diese Variante zwar noch nicht gepatcht, Pathlock befürchtet jedoch, dass ein Patch keine dauerhafte Lösung für diese Probleme ist.
Laut Stross können Fallback-Mechanismen die von SAP veröffentlichten aktualisierten Versionen mit stärkerer Verschlüsselung – SAP GUI für Windows 8.00 Patch Level 9+ und SAP GUI für Java 7.80 PL9+ oder 8.10 – potenziell untergraben und unwirksam machen.
Pathlock empfiehlt Unternehmen, den Eingabeverlauf vollständig zu deaktivieren, um das Risiko dauerhaft zu mindern. (jm)
in well organized HTML format with all tags properly closed. Create appropriate headings and subheadings to organize the content. Ensure the rewritten content is approximately 1500 words. Do not include the title and images. please do not add any introductory text in start and any Note in the end explaining about what you have done or how you done it .i am directly publishing the output as article so please only give me rewritten content. At the end of the content, include a “Conclusion” section and a well-formatted “FAQs” section.
