RUB-Forscher

SAML für SSO unsicherer als gedacht

Thomas Cloer war viele Jahre lang verantwortlich für die Nachrichten auf computerwoche.de.
Er sorgt außerdem ziemlich rund um die Uhr bei Twitter dafür, dass niemand Weltbewegendes verpasst, treibt sich auch sonst im Social Web herum (auch wieder bei Facebook) und bloggt auf teezeh.de. Apple-affin, bei Smartphones polymorph-pervers.
Bochumer Forscher haben die in vielen Single-Sign-On-Systemen (SSO) verwendete SAML-Signatur (Security Assertion Markup Language) ausgehebelt.

Tagtäglich fordern viele unterschiedliche IT-Systeme den Nutzer auf, sich immer wieder über Benutzername und Passwort zu identifizieren. Beim sogenannten Single Sign-On weist sich der Nutzer genau einmal aus, alle weiteren Authentifizierungen erfolgen automatisch. Diese Einmal-Anmeldung sei längst nicht so sicher ist wie bislang angenommen, erklären nun Forscher vom Horst Görtz Institut für IT-Sicherheit der Ruhr-Universität Bochum (RUB) - ungefähr 80 Prozent der untersuchten Systeme wiesen demnach massive Sicherheitslücken auf.

Viele SSO-Systeme setzen auf die weit verbreitete Security Assertion Markup Language (SAML). Die Identitätsinformationen werden dabei in einer SAML-Nachricht gespeichert und durch eine digitale Signatur geschützt. Die Bochumer Forscher fanden einen Weg, diesen Schutz zu umgehen. "Mit einem neuartigen XML-Signature-Wrapping-Angriff haben wir sämtliche Sicherheitsfunktionen der digitalen Signatur komplett ausgehebelt", sagt Professor Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit. Dadurch habe man sich jede beliebige Identität aneignen und sogar als Systemadministrator ausgeben können.

Die Wissenschaftler testeten 14 weit verbreitete SAML-Anbieter und -Systeme. Davon wiesen zwölf kritische Lücken auf. Anfällig waren unter anderem der Cloud-Anbieter Salesforce, das IBM "DataPower Security Gateway", "Onelogin" (benutzt in Joomla, Wordpress, SugarCRM und Drupal) und das Framework OpenSAML (Shibboleth, SuisseID und OpenSAML).

Die betroffenen Firmen beziehungsweise Anbieter wurden umgehend kontaktiert und Gegenmaßnahmen vorgeschlagen; die Schwachstellen sind mittlerweile entfernt. Heute stellt Juraj Somorovsky vom Lehrstuhl für Netz- und Datensicherheits die Ergebnisse beim USENIX Security Symposium in Washington vor. Das Paper ist bereits im Internet veröffentlicht unter http://www.nds.rub.de/research/publications/BreakingSAML.