Deutsch | English | Español

Virtual Forge Blog

Seit über 10 Jahren helfen wir SAP-Anwenderunternehmen auf der ganzen Welt, die Sicherheit und Stabilität ihrer SAP-Landschaften zu optimieren. Auf dem Virtual Forge-Blog stellen unsere Experten relevante Beiträge bereit, die Ihnen helfen, IT-Risiken besser zu verstehen und zu meistern.

Teaser-Blog-neu.png

Thomas Fritsch, Virtual Forge GmbH

Find me on:

Recent Posts

Transport Threat Detection – von  scheinbarer Sicherheit zu echtem Schutz

22. November 2018 Von Thomas Fritsch, Virtual Forge GmbH

Ich erinnere mich an einen Einsatz während meiner Bundeswehrzeit, da mussten wir ausrücken, weil die S-Draht-Rollen (die mit den kleinen scharfen Messerchen), die normalerweise auf dem Außenzaun des Geschwaders befestigt waren, ersetzt wurden. Wir sollten zum temporären Schutz entsprechende Rollen innen vor den Maschendrahtzaun legen. Auf die Frage hin, was das denn bringe, es könne doch momentan jeder von außen auf den Zaun klettern und dann die ca. 40 cm breiten und hohen  Rollen überspringen, kam die Antwort: „Das machen wir, damit keiner unten durchkriechen kann!“.

Zum Beitrag

Topics: Transport Security

Software-Updates in SAP: Eine Einladung für jeden Hacker

Kaum jemand wird wohl bestreiten, dass das Einspielen externer Transporte in ein SAP-System immer mit einem leicht mulmigen Gefühl verbunden ist. In der Regel muss man darauf vertrauen, dass der Hersteller des Transportauftrags vertrauenswürdig ist und weder absichtlich, noch unabsichtlich Code oder Tabelleninhalte mitbringt, die die Systemsicherheit beeinträchtigen oder gar vollends aushebeln. Ebenso denkbar ist das unbemerkte Manipulieren oder Ersetzen des Transportauftrags durch Fremde während der Lieferkette. 

Zum Beitrag

Gefahren im SAP Transportwesen: Wie man in einer Minute sein Gehalt verdoppelt

Die Research-Abteilung der Virtual Forge hat eine extrem kritische Sicherheitslücke im Transportwesen entdeckt.

Zum Beitrag

Topics: UnderstandYourRisk

Gefahren im SAP Transportwesen Teil 6: Transport verbotener Tabelleninhalte

13. Februar 2018 Von Thomas Fritsch, Virtual Forge GmbH

Es existieren weit über 100 Tabellen in SAP®, deren Inhalte nicht transportiert werden dürfen. Jeder Transportauftrag wird beim Sichern und vor dem Export auf solche Tabellen hin überprüft. Dabei sind die relevanten Tabellen im Funktionsbaustein SYSTAB_CHECK „hart verdrahtet“. Bei den betroffenen Tabellen handelt es sich fast ausschließlich um Systemtabellen, die Teilinformationen eines umfassenden Objektes aus dem Workbench-Bereich enthalten und deren separater Transport zu schweren Inkonsistenzen im Zielsystem führen kann.

Zum Beitrag

Gefahren im SAP® Transportwesen Teil 5: Logische Dateinamen und Betriebssystem-Kommandos

21. Dezember 2017 Von Thomas Fritsch, Virtual Forge GmbH

Damit Entwickler sich beim Zugriff auf Dateien oder bei der Ausführung von Betriebssystem-Kommandos aus einem ABAP-Report heraus keine Gedanken über Spezifika des zugrunde liegenden Betriebssystems machen müssen, verwendet die SAP® das Konzept der logischen Dateinamen und der logischen Betriebssystemkommandos. Dabei wird einem logischen Dateinamen (und Dateipfad) für jede infrage kommende Plattform ein physikalischer Dateiname (Dateipfad) hinterlegt. Analog dazu erfolgt die Zuweisung plattformabhängiger physikalischer Kommandos zu einem gemeinsamen logischen Kommando.

Zum Beitrag

Gefahren im SAP Transportwesen Teil 4: Automatische Code-Ausführung beim Import

7. Dezember 2017 Von Thomas Fritsch, Virtual Forge GmbH

Nahezu jeder SAP-Basis Administrator weiß um die Gefährlichkeit von XPRA-Einträgen in Transportaufträgen (R3TR XPRA <Reportname>). Prinzipiell lässt sich hiermit jeder Report, der keine expliziten Parameter benötigt, unmittelbar nach dem Import automatisch ausführen. Ist der gewünschte Report im Zielsystem noch nicht vorhanden, kann man ihn entweder gleich im selben Auftrag mit importieren oder mit einem anderen Transportauftrag schon vorher ins Zielsystem bringen. Letztere Vorgehensweise kann einen Angriff besser verschleiern, da der unmittelbare Zusammenhang zwischen Code einschleusen und Code ausführen so nicht zu erkennen ist.

Zum Beitrag

Gefahren im SAP Transportwesen Teil 3: Manipulation der Jobverwaltung

23. November 2017 Von Thomas Fritsch, Virtual Forge GmbH

Die Jobverwaltung im SAP® bietet eine große Angriffsfläche für Manipulationen von außen. Die Möglichkeiten reichen hier vom Ausnutzen von Schwachstellen bestimmter SAP-Standardjobs über die Änderung kritischer Jobeigenschaften bis hin zur kompletten Jobdefinition und -einplanung per Transportauftrag.

Zum Beitrag

Gefahren im SAP Transportwesen Teil 2: AUTHORITY-CHECKS transaktionsspezifisch umgehen

2. November 2017 Von Thomas Fritsch, Virtual Forge GmbH

Der erste Beitrag dieser Serie behandelte das globale Ausschalten von Berechtigungsprüfungen für einzelne Berechtigungsobjekte per Transport. Ein ähnliches Risiko ergibt sich aus der Möglichkeit, Berechtigungsprüfungen transaktionspezifisch auszuschalten. Ein Angriff ist bei dieser Methode noch schwerer zu entdecken, da die Auswirkungen unter Umständen auf eine Transaktion beschränkt sind.

Zum Beitrag

Gefahren im SAP Transportwesen Teil 1: AUTHORITY-CHECKs umgehen

Die Meinungen über das SAP-Berechtigungskonzept gehen weit auseinander. Sicherlich lässt sich eine gewisse Komplexität und der damit verbundene Pflegeaufwand nicht abstreiten. Die wichtigste Anforderung aber, die lückenlose Absicherung aller Lese- und Schreibzugriffe innerhalb eines Programms, lässt sich damit sehr gut realisieren – zumindest theoretisch. In der Praxis gibt es einige Möglichkeiten, Berechtigungsprüfungen zu umgehen.

Zum Beitrag