Eine neue Variante eines alt-bekannten Banken Trojaner Programms scheint derart modifiziert worden zu sein, dass es nun SAP Anwendungen ausspionieren kann. Momentan prüft die Malware einfach nur die infizierten Computer darauf, ob SAP installiert ist.

Letzte Woche haben Forscher von RSA Europe eine entsprechende Warnung veröffentlicht. Der Trojaner Trojan.ibank würde nach SAP GUI Installationen suchen mit ERP Schwachstellen und typischerweise Informationen sammeln, die an Dritte auf dem Schwarzmarkt verkauft werden können.

Es könnte jedoch noch ein gefährlicheres Motiv für den Trojaner Einsatz gegen SAP geben. Demnach wäre ein Szenario denkbar bei dem abgewartet wird, bis eine genügend große Anzahl von Systemen infiziert sind, um dann ein Spezialmodul hochzuladen welches verheerende Auswirkungen in Kombination mit der Passwortdiebstahl Funktion von ibank haben könnte. Auch DoS-Attacken seien denkbar.

In einem Untersuchungsbericht wurde aufgezeigt, dass eine der Schlüsselstellen der Probleme eine extrem kritische Heap-overflow Schwachstelle sei. Diese Schwachstelle erlaubt es Angreifern volle Kontrolle über den SAP-Router innerhalb eines TCP Paketes zu bekommen und auch Zugang zu internen Firmennetzwerken. Das Problem wurde im Mai behoben, aber ein halbes Jahr später waren lediglich 15 % der SAP Router gepatched.

Alexander Polyakov, Chefingenieur von ERPScan verweist betroffene Anwender auf die Arbeit seiner Firma auf deren Webseite www.EAS-SEC.org. Dort gäbe es ein Rahmenkonzept zur Sicherung, Einführung, Wartung und Entwicklung von kundenspezifischen Anwendungen. Es sei eine Art OWASP (Open Web Application Security Project, eine Non-Profit-Organisation mit Ziel, die Sicherheit von Anwendungen und Diensten im WWW zu verbessern) für Firmenanwendungen, welches die schlimmsten Probleme zuallererst aufspürt.

Artikel von darkreading.com, 04.11.2013: Is A Tsunami Of SAP Attacks Coming?
Artikel von computerworld.com, 01.11.2013: New malware variant suggests cybercriminals targeting SAP users