Systeme für Single-Sign-On geknackt

Forscher der Ruhr-Universität Bochum (RUB) haben 14 sogenannte Single-Sign-on-Systeme auf ihre Sicherheit überprüft - mit alarmierendem Ergebnis. Solche Systeme, die häufig in Unternehmen oder Portalen eingesetzt werden, ermöglichen das einmalige Anmelden an zahlreiche Ressourcen und Anwendungen, für die der jeweilige Nutzer die Berechtigung hat. Rund 80 Prozent der untersuchten Systeme wiesen gravierende Sicherheitslücken auf, lautet das Ergebnis der Bochumer Forscher.

Die meisten dieser Systeme basieren auf der Security Assertion Markup Language (SAML), einem XML-Framework, das dem Austausch von Authentifizierungs- und Autorisierungsinformationen dient. Die für die Anmeldung erforderlichen Informationen sind in einer SAML-Nachricht gespeichert und durch eine digitale Signatur geschützt. Den Bochumer Forschern gelang es mit einem neuartigen XML-Signature-Wrapping-Angriff, diesen Schutz zu umgehen, berichtet Prof. Dr. Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit. "Dadurch", erklärt Schwenk, "konnten wir uns jede beliebige Identität aneignen und uns sogar als Systemadministratoren ausgeben."

Von den 14 getesteten Systemen erwiesen sich 12 als angreifbar - darunter der Clouddienst Salesforce, das IBM DataPower Security Gateway, Onelogin (benutzt in Joomla, Wordpress, SugarCRM und Drupal) und das Framework OpenSAML (Shibboleth, SuisseID und OpenSAML).

Nach ihrer Entdeckung kontaktierten der Sicherheitsexperte Andreas Mayer und seine Kollegen die betroffenen Firmen und schlugen Gegenmaßnahmen vor. Zwischenzeitlich konnten die Schwachstellen in den Produkten geschlossen werden. Beim heute stattfindenden 21. USENIX Security Symposium in Bellevue, Washington (USA) stellt Juraj Somorovsky von der RUB die Forschungsergebnisse, die auch im Internet veröffentlicht sind, vor. (ur)