SQL Attack..ed – Hacking SQL Server (SQL PASS Region KA) am 25.03.2014

Vorgestern besuchte ich zusammen mit einigen Kollegen seit langem zum ersten Mal wieder eine Veranstaltung der SQL PASS (Professional Association for SQL Server) Region Karlsruhe. Dieses Mal war das Thema „SQL Attack..ed – Hacking SQL Server“ an der Reihe, was für mich als Administrator natürlich ein Reizthema ist. Daher war für mich der Anreiz, mehr über mögliche (und mir nicht bekannte) Angriffsszenarien auf SQL-Server zu erfahren, gegeben. Als Referent konnte die SQL PASS KA für dieses Thema keinen Geringeren als Andreas Wolter, seines Zeichens MCM (Microsoft Certified Master) SQL Server und einer von 10 MCSM (Microsoft Certified Solutions Master) Data Platform, gewinnen.

Der Fokus der Veranstaltung lag klar auf Angriffen per SQL Injection auf an SQL-Server angebundene (Web)Application Layer, also bspw. ein Suchformular auf der Website. Am Rande wurden auch noch kurz einige Möglichkeiten erwähnt, innerhalb des Netzwerkes SQL-Server aufzuspüren.

Zu den Räumlichkeiten muss ich leider sagen, dass die Akustik in dem großen Saal im KSC Clubhaus nicht gerade optimal für einen Vortrag in dieser Größe ohne Mikrofon und Lautsprecher ist. Insbesondere hat der Raum keine Türen und daher ist die Geräuschkulisse aus dem nebenan liegenden Bewirtungsraum sehr störend und führt dazu, dass man den Referenten häufiger nicht verstehen kann. Außerdem war der Tisch als lange Tafel senkrecht zur Leinwand aufgestellt, so dass die am hinteren Ende des Tisches Sitzenden auf der Leinwand nur noch wenig erkennen konnten.
Der Beamer war leider auch etwas wenig lichtstark. Immerhin hatte Andreas aber einen gut ausgestatteten Laptop mit mehreren virtuellen Maschinen im Einsatz, mit denen er sehr gut die Szenarien und die im Hintergrund auf dem Server ablaufenden Prozesse deutlich machen konnte.

Zu Beginn der Veranstaltung ging Andreas kurz auf die allgemeine Sicherheit von SQL-Server (bspw. im Vergleich zu Oracle) ein. Und dabei war ich doch überrascht, dass es seit SQL-Server 2005 SP1 (gefixt mit SP2) keine bekannte Sicherheitslücke mehr gegeben hat. Danach ging es direkt ans Eingemachte und es wurden verschiedene Szenarien durchgespielt, wie über ein Web Application Layer (im Beispiel wurde ein Suchfeld auf der Website benutzt) SQL Injections an den SQL-Server gejagt werden und dadurch Code direkt auf dem SQL-Server ausgeführt wird, der zu mehr oder weniger fatalen Sicherheitseinschnitten führen kann.
Besonders beeindruckend fand ich die Einfachheit mit der über den Status „trustworthy“ eines Benutzers per SQL Injection eine „Privilege Escalation“ für den Benutzer durchgeführt werden kann, was dazu führt, dass der Benutzer an SysAdmin-Rechte (sa) kommt. Mir war tatsächlich nicht bewusst wie einfach der Status „trustworthy“ ausgenutzt werden kann, wenn er den falschen Benutzern zugewiesen ist und in einem Webformular SQL-Statements möglich sind.

Zum Schluss wurden noch kurz ein paar Möglichkeiten gezeigt wie mit Tools wie „nmap“ und „SQL Search“ innerhalb des Netzwerkes relativ einfach SQL-Server aufgespürt werden können. Dieser Teil war für mich jetzt nicht mit „Aha“-Effekten versehen, da ich beide Tools schon kannte und auch mit beiden schon gearbeitet habe. Da ein Angreifer hierfür zunächst einmal Zugriff auf das interne Netzwerk erlangen muss, liegt für mich daher auch der Sicherheits-Ansatz eher schon eine Ebene höher (Verhindern, dass Externe Zugriff auf das interne Netzwerk erlangen).

Fazit: Von der Veranstaltung konnte ich auf jeden Fall die Notwendigkeit einer generellen Vorsicht beim Einbinden von Web Application Forms mit direktem Zugriff auf einen internen SQL-Server mitnehmen. Allerdings muss ich das hier auch nochmal relativieren, da meines Erachtens die Gefahr schon alleine durch eine Eingabe-Einschränkung auf bspw. 15 Zeichen in einem solchen Eingabefeld erheblich reduziert werden kann. Ein Gefühl dafür wie leicht man aber mit unnötigen Benutzerrechten Einfallstore baut ist aber generell angebracht und aus meiner Sicht Pflicht für jeden Administrator.
Zum Referenten kann ich nur sagen: Man merkt, dass er schon langjährige Erfahrung mit SQL-Servern hat. Und die durch die MCSM-Zertifizierung suggerierte Kompetenz ist deutlich zu erkennen. Ich kann Andreas Wolter also wärmstens weiterempfehlen.

Verbesserungsvorschläge an den Veranstalter:

  • Mit einem quer vor der Leinwand aufgestellten Tisch wäre schon viel gewonnen, da dann deutlich mehr Leute nah an der Leinwand sitzen können.
  • Bzgl. Geräuschpegel hilft wohl nur ein anderer Raum, der sich verschließen lässt. Allgemein sind für solche Veranstaltungen kleinere Räume vorzuziehen, da dann schon allein über die Raumgröße nicht so viel von der Lautstärke des Sprechers verloren geht.
Advertisements

Über hecogmbh

Die heco gmbh ist ein Handelshaus sowie ein Produzent für Fittings und Armaturen aus rostfreiem Edelstahl. Unsere Produkte werden im Maschinen-, Anlagen- und Fahrzeugbau sowohl in der chemischen Industrie als auch in der Nahrungsmittelindustrie eingesetzt. Mit mehreren Standorten europaweit sind wir immer in Ihrer Nähe.
Dieser Beitrag wurde unter Samuel Isaac abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s