Deutsch | English | Español

Gefahren im SAP Transportwesen Teil 2: AUTHORITY-CHECKS transaktionsspezifisch umgehen

2. November 2017

Blog_Transportwesen.pngDer erste Beitrag dieser Serie behandelte das globale Ausschalten von Berechtigungsprüfungen für einzelne Berechtigungsobjekte per Transport. Ein ähnliches Risiko ergibt sich aus der Möglichkeit, Berechtigungsprüfungen transaktionspezifisch auszuschalten. Ein Angriff ist bei dieser Methode noch schwerer zu entdecken, da die Auswirkungen unter Umständen auf eine Transaktion beschränkt sind.

Ausgangspunkt für den Angriff bildet die Transaktion SU24. Mit ihr kann man für einzelne Transaktionen Vorschlagswerte für die darin enthaltenen Berechtigungsobjekte definieren. Fügt man später eine solche Transaktion im Profilgenerator beim Anlegen oder Ändern einer Rolle unter dem Reiter „Menü“ ein, so werden diese Vorschlagswerte bei der Bearbeitung der Berechtigungen automatisch hinterlegt. Dies stellt eine erhebliche Erleichterung für den Berechtigungsadministrator dar, da er sich nicht detailliert mit jeder Anwendung auseinandersetzen muss.

Die Transaktion SU24 bietet jedoch auch die Möglichkeit, Berechtigungsprüfungen auf einzelne Berechtigungsobjekte auszuschalten. Diese Möglickeit setzt voraus, dass der Profilparameter auth/no_check_in_some_cases den Wert „Y“ besitzt. Da die Verwendung des Profilgenerators diesen Wert jedoch ebenfalls voraussetzt, ist diese Bedingung so gut wie immer erfüllt.

Sämtliche Änderungen über Transaktion SU24 werden in Transportaufträgen aufgezeichnet. Der dahinter liegende Objekttyp ist R3TR SUSK. Leider sieht man dem Transportauftrag und dessen Exportprotokoll bei einer manuellen Prüfung nicht an, ob über ein solches Objekt lediglich Vorschlagswerte für den Profilgenerator gepflegt wurden oder ob einzelne oder alle Berechtigungsprüfungen der Transaktion deaktiviert wurden.

Natürlich ist die Transaktion SU24 durch Berechtigungen geschützt, sodass nur Berechtigungsadministratoren Zugriff haben sollten. Wenn man jedoch bedenkt, dass Berechtigungen auf Entwicklungssystemen immer noch oft sehr weitreichend vergeben sind, so erweitert sich dadurch in der Regel aber der Benutzerkreis, der Berechtigungsobjekte deaktivieren kann. So ist es z.B. auch möglich, die dem Transportobjekt R3TR SUSK hinterlegte Tabelle USOBX_C programmatisch zu manipulieren und den zugehörigen Tabellensatz oder das entsprechende R3TR SUSK Objekt zu der betreffenden Transaktion in einen Transportauftrag zu stellen. Wird die Tabelle USOBX_C dann noch in einem Pflegeview oder Viewcluster „versteckt“, bedarf es schon einer sehr großen Sorgfalt und Kenntnis, einen Angriff zu entdecken.

Für die Auftragsprüfung lässt sich zusammenfassend sagen:

  • R3TR SUSK <Transaktionsname>
    • Angriffsversuch möglich
    • Wird in der Regel jedoch zur Pflege von Vorschlagswerten verwendet
  • R3TR TABU USOBX_C
    • Definitiver Angriffsversuch!
      Die Objektliste des Transportauftrags wurde manuell gepflegt.

Um einen Angriff zusätzlich zu verschleiern, können Einträge zur Tabelle USOBX_C auch in einem übergeordneten Objekt getarnt werden. Hierzu zählen:

  • View Cluster (R3TR CDAT <beliebiger Objektname>)
  • Pflegeview (R3TR VDAT <beliebiger Objektname>)
  • Customizingdaten (R3TR TDAT <beliebiger Objektname>)

In diesen Fällen ist jeder Eintrag ebenfalls als definitiver Angriffsversuch zu bewerten! Nur eine Prüfung aller Transportaufträge, wie oben beschrieben, hilft effektiv gegen einen solchen Angriff.

Diesen und über 100 weitere Tests führt der VirtualForge TransportProfiler für interne und externe Transportaufträge automatisch durch. Machen Sie den ersten Schritt auf dem Weg zu einem wirklich sicheren SAP Transportwesen und vereinbaren Sie noch heute einen Termin für eine unverbindliche Risikobewertung und Präsentation.               

Der nächste Beitrag zeigt, wie leicht es ist, sich per Transport in die Jobverwaltung des Produktivsystems einzuklinken.



@Virtual_Forge auf Social Media:

social_twitter_active.png social_xing_active.png social_linkedin_active.png social_google_active.png