ManageEngine

Die Schwachstelle steckt in ADSelfService Plus von Zoho ManageEngine, einer Software zur Verwaltung von Passwörtern und Selbstbedienungsfunktionen in Verzeichnisdiensten. Über die Funktion für benutzerdefinierte Richtlinien-Skripte kann ein angemeldeter Administrator aus der Ferne beliebige Betriebssystembefehle ausführen – und zwar mit SYSTEM-Rechten, also den höchsten Rechten auf dem Windows-Server. Verschärft wird das Problem durch ein voreingestelltes Standard-Administratorpasswort: Wer dieses kennt, kann die Funktion mit minimalem Aufwand missbrauchen. Zusätzlich lässt sich der Angriff auch mit nur teilweiser Authentifizierung durchführen, weil ein Passwortfeld nicht ausreichend bereinigt wird und sich darüber Befehle in das benutzerdefinierte Skript einschleusen lassen. Dieser Weg öffnet sich insbesondere beim Ändern oder Zurücksetzen eines Passworts. Im Ergebnis kann ein Angreifer das betroffene System vollständig übernehmen und beliebigen Code einschleusen.