Festes SA SQL-Passwort bei windata 9-Banking-Software

Sicherheit (Pexels, allgemeine Nutzung)Bei der Banking-Software windata 9 gab es in älteren Versionen eine Sicherheitslücke, weil das SA-Passwort für die beim Speichern der Daten verwendete SQL-Server-Datenbank bei der Installation fest codiert war. Nachdem der Hersteller von mir auf die Sicherheitslücke aufmerksam gemacht wurde, hat dieser innerhalb einer Woche eine Installationsdatei freigegeben, bei dem dieses Problem behoben wurde. In den windata professional Versionen 9.1.0.3 bis 9.1.0.5 wurde in allen Installationen das Passwort geändert. Nachfolgend erfolgt die Offenlegung des Sachverhalts.


Anzeige

Was ist windata?

Bei windata professional handelt es sich um eine Finanzsoftware (Banking-Software), die zur sicheren Abwicklung des nationalen und internationalen Zahlungsverkehrs dient. Diese Finanzsoftware wurde speziell für die Bedürfnisse von professionellen Anwendern wie Unternehmen, Verwaltungen, Organisationen, Geschäfts- und Gewerbekunden sowie Vereinen entwickelt.

Die Netzwerk- und Terminal-Server-fähige Softwarelösung läuft unter Windows und besitzt umfangreicher Schnittstellen zu ERP- bzw. Finanzbuchhaltungsprogrammen sowie die Möglichkeit zur Verwaltung mehrerer Mandanten. Daher wird das Programm auch über Banken (siehe hier und hier) für Kunden angeboten. Historisch bedingt gibt es verschiedene Versionen, wobei windata professional 9 die aktuelle Version ist. Der Hersteller windata stellt auf dieser Unternehmensseite weitere Informationen bereit.

Problem: Festcodiertes SA-Passwort

Die Finanzsoftware windata professional 9 setzt auf einer SQL Server-Datenbank auf, um die Finanzdaten zu speichern. Bei der Installation eines SQL-Servers  wird ein sogenanntes SA-Passwort (System Administrator Passwort) für den Zugriff auf die SQL-Datenbank benötigt. Über dieses SA-Kennwort kann jeder, dem dieses Passwort bekannt ist, auf die gespeicherten Datenbanken des SQL-Server zugreifen. Das ist unabhängig von der Benutzer- und Rechteverwaltung innerhalb der jeweiligen Anwendung. Geht das Kennwort verloren, haben Windows Administratoren die Möglichkeit, dieses SA-Passwort zurückzusetzen (siehe). Mitte Februar 2021 meldete sich Blog-Leser Rüdiger L. per Mail und berichtete von seiner Beobachtung.

Hallo Herr Born, bereits vor einiger Zeit habe ich herausgefunden dass das SA Passwort des SQL-Servers bei allen windata 9 Netzwerk Installationen gleich ist. Das Passwort ist festcodiert und wird beim Installieren der Software gesetzt. Hintergrund der Aktion ist, dass der Admin das Passwort nicht kennen soll und somit die Daten vor ihm sicher sind!  Die Clients verbinden sich direkt mit dem SA Benutzer auf die Datenbank. Die Software wird sowohl von der Sparkasse als auch den Volksbanken vertrieben.

Der Leser stieß auf das Problem, als er die Software bei einem Unternehmen installieren sollte und dort schon ein 2017er SQL-Server im Einsatz war. Von windata wurde aber ein SQL-Server 2014 mitgeliefert. Dazu schrieb mir der Leser:


Anzeige

Ich wollte den SQL-Server daher manuell einrichten. Ich verwende, so wie sich das gehört, für jede Software eine eigene Instanz. Beim Studieren der Installationsanleitung fiel mir auf, dass keine Passwort-Einstellungen dokumentiert sind. Ein Anruf bei windata GmbH ergab, dass man das nicht selber einrichten könne, da man das Passwort nicht kennen soll. Eine Einrichtung des SQL-Servers sei in diesem Fall nur durch die windata GmbH selber möglich. Natürlich mit Extrakosten. Das nahm ich so auch erst einmal hin.

Dann fiel mir aber ein das ich das Passwort bei der Installation der Clients dann auch nicht kenne und wie das dann wohl funktionieren sollte. Ich habe die Software daher in einer VM getestet und habe das Passwort ermitteln können.

Der Leser schrieb mir, dass ihm die Erfahrung fehle, wie man mit so etwas umgeht. Das Ganze ist bei mir etwas liegen geblieben, aber im Mai fragte ich beim Leser zum Sachstand nach. Es hieß, dass der Versuch einer Kontaktaufnahme mit dem Anbieter windata gescheitert sei, da dies einen Supportvertrag voraussetze.

Anmerkungen: An dieser Stelle wird von mir auf die Nennung der Details zur Ermittlung des Passworts verzichtet, um ggf. alte Installationen, die noch nicht aktualisiert wurden, nicht zu gefährden.

Weiterhin hat der Leser an dieser Stelle die im Beitrag Entwickler meldet Modern-Solution-Datenleck, darauf Anzeige und Hausdurchsuchung sowie die im Beitrag CDU Connect: Staatsanwalt stellt Verfahren gegen Wittmann & Co. ein aufgeworfene Problematik vermieden.

Austausch mit dem Hersteller

Auf Grund des Austauschs mit dem Leser habe ich dann den Hersteller windata Anfang Mai 2021 per Mail kontaktiert und auf die Problematik hingewiesen. Zwei Tage später gab es einen ersten telefonische Austausch und in Folge weitere Kontakte. Dabei wurden mehrere Punkte mit der windata Geschäftsleitung und deren Entwickler besprochen.

Eingeschränkter Support

So klärte sich beispielsweise auf, warum dem Leser bei seiner Anfrage wegen des fehlenden Supportvertrags keine Informationen gegeben wurde. Der Hersteller führte aus, dass die Finanzsoftware windata teilweise über Banken vertrieben werde. Je nach vertraglicher Konstellation zwischen windata und dem lizenzausgebenden Kreditinstitut soll kein direkter Kontakt zwischen windata und den Endkunden der Bank stattfinden. Das ist für mich nachvollziehbar.

Änderung der SA Passwort-Zuweisung

Bereits eine Woche nach der ersten Kontaktaufnahme wurde vom Hersteller ein neues Setup zur Installation zur Verfügung gestellt, in welchem kein Passwort mehr auslesbar ist. Alle vorhandenen Installationen wurden damit ersetzt.

Zur Verwendung eines fest kodierten SA Passworts für die SQL-Server-Installation lieferte der Hersteller folgende Erklärung:

Der Ablaufbeschreibung möchten wir vorwegschicken, dass die Einrichtung eines eigenen SQL-Servers unter Verwendung eines eigenen Passworts in windata professional 9 SQL schon immer möglich ist. Diese Option wird auch von sehr vielen Kunden genutzt. Das Thema mit dem vordefinierten Datenbankpasswort tritt nur bei Kunden auf, welche eine windata-Installation ohne eigenes Passwort vergeben haben.

Weiterhin hat windata in der Zwischenzeit über verschiedene Versionen der Software die Passwort-Problematik entschärft bzw. beseitigt.

  • Die windata-Installation wurde bereits eine Woche nach der Kontaktaufnahme so angepasst, dass sich das Datenbankpasswort aus und während der Installation nicht mehr auslesen lässt.
  • Mit der windata-Version 9.1.0.3 wurden Vorbereitungen für die Passwortänderung für Netzwerkversionen begonnen. Alle Neuinstallationen erhalten bereits ab Nutzungsbeginn ein neues Datenbankpasswort. Alle Netzwerk-Bestandinstallationen können mit dem bisherigen Datenbankpasswort sowie auch einem neuen Datenbankpasswort genutzt werden.
  • Mit der windata-Version 9.1.0.3 wurde zudem die Passwortänderung für lokale Einzelplatzinstallationen durchgeführt. Alle Neuinstallationen haben ab Nutzungsbeginn ein neues Datenbankpasswort.  Alle Einzelplatz-Bestandinstallationen haben durch das Update auf die Version 9.1.0.3 ebenfalls ein neues Datenbankpasswort erhalten.
  • Mit windata Version 9.1.0.5 wurden alle verbleibenden Installationen auf ein neues Passwort umgestellt. Die Freigabe dieser Version erfolgte Ende September 2021.

Um die windata-Funktionalität auch bei abweichenden Versionsständen innerhalb eines Client-Server-Netzwerks sicherzustellen, ist laut Hersteller für Client-Server-Installationen der Zwischenschritt über die oben nicht erwähnte windata Version 9.1.0.4 notwendig. Mit der Freigabe der windata Version 9.1.0.5 ist die Schwachstelle durch das fest in der Installation kodierte und ermittelbare SA-Kennwort damit für alle Kunden, die sich die SQL-Server-Installation automatisch einrichten ließen, gelöst.

Gemäß obigen Ausführungen haben Nutzer inzwischen die Möglichkeit, das SA-Passwort für den SQL-Server selbst zu setzen. Dazu schrieb mir der Leser Ende August 2021:

Beim Einrichten des Client Programms kann man auswählen das man andere SQL Zugangsdaten eingeben möchte. Dann wird einem aber erst mal ein Dokument (bzw. ein Online Link zu dem Dokument) präsentiert welches man dann ausfüllen soll und danach an windata senden soll. Danach wird die Funktion durch einen Mitarbeiter von windata freigeschaltet.

Hier kann ich noch eine Hintergrundinformation nachliefern. Der Umweg über ein zusätzliche auszufüllendes Dokument ist wegen rechtlicher Anforderungen bedingt. Der Hersteller windata stellt das Programm ja verschiedenen Banken bereit und da gibt es unterschiedliche Vorgaben, so dass sich die Entwickler diesbezüglich absichern müssen.

Vom Hersteller wurde mir mitgeteilt, dass man Administratoren in Firmen ermöglichen möchte, das Master-Passwort zu setzen, sich dann aber absichere, wenn dort das Master-Passwort verloren geht. Bei Endkunden scheint die Vorgabe der Banken zu sein, dass da ein voreingestelltes Masterpasswort gilt. Klang für mich logisch und transparent.

Ebenfalls werden die Inhalte von windata professional 9 von vielen Geschäftsführern und Verantwortlichen als sensible und DSGVO-relevante Inhalte kategorisiert. Daher soll im Sinne der Begrenzung auf notwendige Datenzugriffsrechte den Administratoren kein direkter Zugriff auf die Inhalte, zu denen z. B. auch Lohnzahlungen zählen, gewährt werden.

Alles in allem ist damit die Schwachstelle durch das fest in der Installation kodierte und ermittelbare SA-Kennwort in aktuellen windata-Installationen beseitigt. An dieser Stelle möchte ich anmerken, dass der Hersteller in der gesamten Angelegenheit sehr kooperativ war und die Zwischenschritte abstimmte. Über die einzelnen Implementierungsdetails bin ich allerdings nicht im Bilde.

Zeitablauf:

  • 22.02.2021: Kontaktaufnahme des Lesers
  • 01.05.2021: Erneuter Mailaustausch mit dem Leser
  • 03.05.2021: Kontaktaufnahme mit windata
  • 05.05.2021: Antwort von windata
  • 10.05.2021: Beseitigung der Sicherheitslücke durch ein neues Setup
  • 25.07.2021: Zwischenbescheid von windata
  • 04.10.2021: Windata hat windata-Version 9.1.0.5 ausgerollt

Anmerkung: Der Leser hatte mir noch mitgeteilt, dass im Programmverzeichnis der windata-Software Fernwartungsprogramme verschiedenster Hersteller und  verschiedenster Versionen zu finden seien. Einige dieser Versionen sind vom Änderungsdatum schon etwas älter (z.B. TeamViewer-Dateien von 2014). Da die Software für mehrere Banken als Kunden bereitgestellt wird, umfasst das Installationspaket die von diesen Kunden vorgegebene Fernwartungssoftware. Die windata-Geschäftsführung kümmert sich aber auf Grund meiner Empfehlung um eine Aktualisierung der Fernwartungssoftware.

Fernwartungsprogramme bei windata
Fernwartungsprogramme bei windata


Anzeige

Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

11 Antworten zu Festes SA SQL-Passwort bei windata 9-Banking-Software

  1. René sagt:

    Hallo Günther,
    kümmerst du dich um sowas eigentlich ehrenamtlich, oder ist das Teil deiner Arbeit mit der du auch Geld verdienst?
    Unternehmensberatung ist ja teils sehr teuer und den Hersteller einer Banking-Software über einen so fahrlässigen Fehler ausführlich zu unterrichten, sollte keine Freizeitbeschäftigung sein.

    • Günter Born sagt:

      Das ist, wenn Du so willst, ehrenamtlich. In diesem konkreten Fall kamen zwei Sachen zusammen: Ein Leser, der nicht wusste, wie man damit umgeht (siehe Lilith Wittmann und Modern Solutions), und meine Einstellung, das nicht einfach laufen zu lassen.

      Gut, ist natürlich auch ein Teil dessen, was den Blog hier mittlerweile ausmacht: Den Leuten Informationen bereitstellen, damit sie handeln und entscheiden können oder damit ggf. Misstände ans Licht kommen. Am Ende des Tages bringt mir das Leser – und wenn man so will – auch Geld über die Werbeeinnahmen.

      Unternehmensberatung wollte ich die letzten 28 Jahre nicht machen, weil ich mich auf meine Autorentätigkeit fokussiert habe. Und seit meinem schweren Sportunfall in 3.2015 mit partieller Querschnittssymptomatik (Tetraplegie) wäre das eh nicht mehr gegangen. Habe ich zwar alles überwinden können, aber nun bin ich seit 1.3. Unruheständler und betreibe die Blogs a) als Dank an die Leserschaft (die hat mich seit 2015 nicht hängen lassen, als ich ganz unten war, und nix mehr ging) und b) weil es immer noch Spaß macht. Nun ja, die Blog-Einnahmen kann ich zudem als Betriebsrente betrachten, mit der ich Familienangehörige unterstüze. Also eine Win-Win-Situation :-).

      Zum aktuellen Fall: Ja, es war viel mehr Aufwand, als ich erst erwartet habe – da bringe ich schlicht "Geld mit" (aber der Leser hat mehr investiert und mein Aufwand hält sich gottlob noch in Grenzen – zumindest im Vergleich zu meinen drei Buchmanuskripten zu OpenOffice.org, wo ich jedes Mal einige Zehntausender an Zeit versenkt habe). Aber wenn man in die Bütt geht, muss man halt gelegenlich springen.

  2. Blackii sagt:

    Moin,

    das ist leider bei anderen Softwareprodukten auch so. Für den normalen Anwender vielleicht schön, dass man nicht noch ein Kennwort mehr pflegen oder den Zugang absichern muss, für die anderen nicht :D

    MfG,
    Blackii

  3. mechaniker sagt:

    hallo günter,
    dieser beitrag war jetzt auch für mich der anlass, für dein blog alle blocker zu deaktivieren, sowas muss honoriert werden.
    beispielhafter einsatz, danke dafür.

    gruss
    mechaniker

    • Günter Born sagt:

      Ich überlasse es jedem Leser mit oder ohne Ad-Blocker oder Cookie-Zustimmung hier zu surfen – es ist ein zweischneidiges Schwert. Wer mobil unterwegs ist, und wenig Datenvolumen hat, sollte die Ads blocken (geht, indem man keine Cookies zulässt). Wer es sich leisten kann, und die Ads (über Cookies) zulässt (das sind so ca. 30-40% der Leserschaft), trägt natürlich dazu bei, dass es den Blog noch eine Zeit lang gibt. Von den Zeiten bis 2019, als noch keine Cookie-Auswahlbanner erforderlich waren und nur Ad-Blocker genutzt wurden, träumen alle Publisher.

  4. Sebastian sagt:

    hardcoded passwords gehört zu den top5 security fails immer schon. ich kann das ansinnen von windata schon verstehen aber dann scheidet der sql-server als daten backend nun mal aus. man kann nicht alles haben. (Ich würde ein zufälliges pw generieren und mit DPAPI schützen, mehr kann man offline unter Windows kaum machen.)

    • Dat Bundesferkel sagt:

      Wenn Du wüßtest, was bei anderen Unternehmen / Betrieben, die um ein VIELFACHES größer sind, so abgeht…

      Manche sind in der Zeit stehen geblieben, zu groß, um softwareseitig aufzurüsten. Da kommen dann alte, wirklich ALTE Windows Produkte auf Servern zum Einsatz, deren Access-Datenbanken nur noch bis Access 2013 überhaupt geöffnet werden können (Kunden-Module @ SAGE-Produkten, die sich größtenteils noch immer als KHK-Kaufmann hinter der Fassade outen) und sich hinter löchrigen Citrix-Portalen verstecken (sehr bekannter Urlaubsanbieter mit drei Buchstaben).
      Auch hochspezialisierte Softwareprodukte für Rechtsanwälte, die optisch in 1990 stehen geblieben sind, sind mit fest kodiertem Paßwort auf MS-SQL fixiert.

      Ich würde sagen, der Nutzer / Kunde hat bei dem Produkt seine Wahl getroffen. Ob nun die Richtige, oder die Falsche, sei für jeden selbst dahingestellt.

  5. Roland Heinle sagt:

    Zu diesem Statement
    "Je nach vertraglicher Konstellation zwischen windata und dem lizenzausgebenden Kreditinstitut soll kein direkter Kontakt zwischen windata und den Endkunden der Bank stattfinden. "

    Meine Bank bzw. deren IT Angestellter hat mich infomiert, dass Sie nicht mehr für Probleme mit der Windata Software zuständig seien, sondern ich direkt auf Windata zugehen solle.

    Mfg

    Roland

  6. My1 sagt:

    Wieso verbinden sich die CLIENTS überhaupt mit dem SA Pass?
    Sollte man nicht normal entweder nen Server haben der die Verbindung mit der DB selbst macht, oder aber dass man die Rechteverwaltung der Datenbank nutzt, um Nutzerzugriffe einzuschränken?

    Ist aber gefühlt bei so einiger Business-Software so dass es kaum wirksame Nutzerverwaltung gibt, wo weite Teile der Daten einfach auf einer nicht weiter geschützen SMB-Freigabe und/oder DB liegen, sodass praktisch jeder der Zugriff auf die Software haben soll, auf alles kann.

    und dann sagen Firmen auch noch dass diverse Software "Böse" ist weil open und so obwohl die vom Konzept oft deutlich sicherer sind.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.