« vorheriges nächstes »
Seiten: [1]   Nach unten

Autor Thema: Microsofts SQL Server verraten Passwörter  (Gelesen 448 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 191383
  • Ohne Input kein Output
    • DVB-Cube
Microsofts SQL Server verraten Passwörter
« am: 08 September, 2009, 11:17 »
Kann der Administrator ein Sicherheitsproblem darstellen oder nicht? An dieser Frage entbrennt derzeit ein kleiner Streit zwischen dem Anbieter von Datenbanksicherheitslösungen Sentrigo und Microsoft. Offenbar legt Microsofts SQL Server die zur Anmeldung verwendeten Passwörter im Klartext im Hauptspeicher ab – von wo sie der Admin wieder auslesen kann.

Da Anwender die gleichen Passwörter oftmals für verschiedene Systeme verwenden, würde man einem Angreifer das Kompromittieren weiterer Anwendungen unnötig leicht machen, moniert Sentrigo. Beim SQL Server 2000 und 2005 können Angreifer die Schwachstelle aus der Ferne ausnutzen. Beim SQL Server 2008 ist das MS-Tool DBCC Utility zum Auslesen des Speichers nicht mehr verfügbar.

Microsoft streitet die Möglichkeit nicht ab, argumentiert aber, dass der Angreifer administrativen Zugriff auf das System haben müsse, um den Speicher auszulesen. Daher sei es keine Schwachstelle. Nach Ansicht der Redmonder habe man gegen böswillige Administratoren ohnehin wenig Chancen, Manipulationen oder Spionage zu verhindern.

Allerdings muss es gar nicht der Admin selbst sein, der die Passwörter ausspäht. Es genügt, wenn sein Passwort ausgespäht oder geknackt wurde, beispielsweise über eine SQL-Injection-Lücke in der auf die Datenbank aufsetzenden Anwendung.

Nach Meinung von Sentrigo läuft es ohnehin den üblichen Security Best Practices zuwider, dass ein Administrator die Passwörter einsehen kann – egal ob nun gut- oder böswillig. Oftmals verbiete in Unternehmen auch ein Rollen- und Rechtekonzept, dass der Admin dies dürfe beziehungsweise könne. Die meisten Anwendungen legen Passwörter daher auch als Hashes auf der Festplatte und im Speicher ab.

Abhilfe gegen das Ausspähen auf MS-SQL-Servern verspricht das Tool Passwordizer von Sentrigo, das die Passwörter im Speicher löschen soll. Neben dem Tool gibt es eine FAQ zur Bedienung. Laut Microsoft ist die SQL-Authentifizierung, bei der Passwörter im Speicher landen, aber ohnehin standardmäßig deaktiviert. Stattdessen nutzt der SQL Server die Windows-Authentifizierung, die das Problem nicht aufweist.

Siehe dazu auch:

    * SQL Server information disclosure non-vulnerability, Blogeintrag von Microsoft

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )
Seiten: [1]   Nach oben
« vorheriges nächstes »