Wer die Security Patches des SAP Security Days im März (SAP Security Day ist jeder zweite Dienstag im Monat) noch nicht eingespielt hat, läuft Gefahr, dass sein System Opfer einer Remote Code Execution mit. Dies teilten Experten der niederländischen Firma ERPScan auf der Tagung „Troppers Security“ mit. Die Spezialisten hatten zuvor die Patches von SAP ganz genau in Augenschein genommen.
Fehler in der SAP-GUI erlaubt Angriff
Demnach besteht eine schwerwiegende Sicherheitslücke in der SAP-GUI (betroffen sind alle Versionen von 7.2 bis 7.5), welche die Remote Code Execution gestattet. Die Datei regsvr32.exe kann ohne Sicherheitsabfrage ausgeführt werden. Dies macht es potenziellen Angreifern möglich, einen schädlichen ABAP-Code (ABAP ist die SAP-Programmiersprache) in das System einzuschleusen. Der Security Note-Patch 2407616 schließt diese Sicherheitslücke.
Laut der niederländischen Experten handelt es sich um das schwerwiegendste SAP-Sicherheitsproblem „seit Jahren.“ Angreifer könnten nach einer erfolgreichen Attacke Zugriff auf die Geschäftsdaten, die Konfiguration des Systems und den Quellcode erhalten. Theoretisch sei es sogar möglich, dass Hacker einen ganzen Betrieb lahmlegen, weil sie einfach das System komplett abschalten könnten.
SAP-Updates werden nur sehr zögerlich eingespielt
SAP selbst hat die Schwachstelle noch einmal bestätigt und seine Nutzer dazu aufgefordert, die Patches einzuspielen. Bislang, so das Unternehmen, gebe es allerdings keinen Hinweis darauf, dass Kriminelle versucht hätten, die Schwachstelle auszunutzen.
Dies ist vorteilhaft, denn SAP-Updates werden nur überaus zögerlich eingespielt. Dies ist schließlich häufig mit einem kompletten Herunterfahren des Systems verbunden, was negative Auswirkungen auf den Geschäftsbetrieb haben kann. 2016 hatten so Tausende von SAP-Nutzern eine bekannte Sicherheitslücke noch nicht geschlossen, für die das Update schon 2010 kam.