Pwning des Mainframes: Wie man die „sicherste“ Plattform der Welt hackt

Wissen Sie, was für Sicherheitsforscher nicht „sexy“ ist? Großrechner.

Diese Hochleistungssysteme, die typischerweise für die Datenverarbeitung im großen Maßstab konzipiert sind, sind die letzte Bastion von Sicherheitstests und -forschung, da sie in der Regel als die sicherste Plattform auf dem Markt gelten Erde. Deshalb sind diese Systeme das Herzstück fast jeder kritischen Transaktion, auf die sich normale Menschen jeden Tag verlassen – Dazu gehören Banküberweisungen und Geldautomatentransaktionen, die Buchung von Flügen und die Abwicklung von Millionen von Zahlungen in Einzelhandelsgeschäften in der Umgebung die Welt.

Was die Attraktivität jedoch nicht steigert, ist die Tatsache, dass der Zugang zu Mainframes bekanntermaßen schwierig ist, was Sicherheitstests schwierig, wenn nicht sogar unmöglich macht.

Ayoub Elaassal, Sicherheitsprüfer beim Beratungsunternehmen Wavestone, war einer der wenigen Glücklichen, die für eine Prüfung auf einen Großrechner zugreifen konnten. Es lief z/OS, ein spezielles Betriebssystem, das IBM für seine Maschinen der z-Serie entwickelt hatte.

Es dauerte nicht lange, bis er eine Schwachstelle entdeckte, die ihm bei Ausnutzung Root-Zugriff auf einen Großrechner und seine wichtigen, sensiblen Daten hätte verschaffen können.

„Wir könnten möglicherweise das gesamte System und alles, was wir wollen, kompromittieren – etwa das Abfangen von Transaktionen und die Durchführung von Überweisungen“, sagte er mir letzte Woche am Telefon.

Elaassal stellte fest, dass wichtige Systembibliotheken oder Verzeichnisse – sogenannte Authorised Program Facilities (APFs) – in vielen Fällen von jedem Benutzer des Mainframes aktualisiert werden konnten. Seiner Schätzung zufolge wiesen bis zu die Hälfte aller Audits auf zugängliche, aktualisierbare Bibliotheken hin und setzten daher betroffene Mainframes einem Angriffsrisiko aus.

Elaassal hat mehrere Skripte geschrieben, die die Berechtigungen eines Benutzers auf die höchste „Root“-Ebene erweitern können. Eines der Skripte kompiliert eine Nutzlast und legt sie in einem dieser sensiblen Verzeichnisse ab, wodurch sie effektiv zu einem vertrauenswürdigen Teil des Systems selbst wird. Die bösartige Nutzlast dreht dann einige Bytes um und gewährt dem Benutzer „Root“- oder „Sonder“-Rechte auf dem Mainframe.

„Sobald man diesen Einfluss – diese Hintertür – hat, kann man tun und lassen, was man will“, erklärte er. „Sie können den Speicher ändern, Benutzer widerrufen, die Maschine herunterfahren – Sie können alles tun.“

Elaassal sollte auf der Black Hat-Konferenz in Las Vegas einen Vortrag halten, ihm wurde jedoch die Einreise in die USA verweigert. Seine Tools sind Open Source und sind auf GitHub verfügbar.

Die gute Nachricht ist, dass es sich nicht um einen völlig stillen Angriff handelt. Da das Skript die Berechtigungen eines Benutzers ändert, sollte ein Unternehmen sicherstellen, dass es dies überwacht, sagte Elaassal.

„Mit dem Tool erhalten Sie einfach Root“, sagte er. „Wenn jemand um 5 Uhr morgens plötzlich zum Admin wird, ist das nicht normal.“

Elaassal sagte, dass die Bedrohung auf diejenigen beschränkt sei, die Zugriff auf den Mainframe hätten, merkte jedoch an, dass jeder mit Remote-Zugriff könnte den Privilege-Escalation-Angriff ausführen, einschließlich Remote- oder Zweigstellenstandorten Personal. „Sie müssen nicht physisch am Großrechner sein“, sagte er. „Wenn Sie zur Bank gehen, hat jeder Bankmitarbeiter Zugriff auf den Großrechner.“

„Wenn es eine Bank ist, kann man Banküberweisungen durchführen, Geld waschen und Nullen auf ein Bankkonto einzahlen“, sagte er. „Sie können den Großrechner abschalten und das Bankgeld verlieren – echtes Geld, das für eine große Bank Millionen betragen kann.“

Mit Root-Rechten, sagte er, „könnte man alles löschen.“

Ich fragte ihn, warum er dann Tools veröffentlichen würde, die die Privilegien eines Benutzers auf ein schädliches Niveau ausweiten würden. Er sagte, die Verantwortung für die Gewährleistung verantwortungsvoller Benutzerberechtigungen und Mainframe-Sicherheit liege eindeutig beim Eigentümer und könne nicht leicht von IBM behoben werden.

„Früher war der Sicherheitsdienst auf einem Großrechner ein Mann mit einer Waffe“, scherzte er. „Jetzt sind diese sensiblen Systemdateien standardmäßig für Hunderttausende Benutzer auf einem Großrechner zugänglich.“

„Für Unternehmen ist es schwierig und zeitaufwändig, genaue Regeln aufzustellen, um genau zu definieren, wer Zugriff auf was erhält“, fügte er hinzu. „Normalerweise kommen sie damit durch: ‚Niemand weiß sowieso, wie man es hackt, warum also die Mühe machen?‘ Jetzt können sie das nicht mehr sagen.

„Es liegt wirklich in den Händen der Kunden, den Zugang zu kontrollieren“, sagte er.