{"id":258647,"date":"2021-11-05T00:14:00","date_gmt":"2021-11-04T23:14:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=258647"},"modified":"2023-08-17T16:37:32","modified_gmt":"2023-08-17T14:37:32","slug":"passwort-schwachstelle-bei-windata-9-banking-software","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/11\/05\/passwort-schwachstelle-bei-windata-9-banking-software\/","title":{"rendered":"Festes SA SQL-Passwort bei windata 9-Banking-Software"},"content":{"rendered":"

\"SicherheitBei der Banking-Software windata 9 gab es in \u00e4lteren Versionen eine Sicherheitsl\u00fccke, weil das SA-Passwort f\u00fcr die beim Speichern der Daten verwendete SQL-Server-Datenbank bei der Installation fest codiert war. Nachdem der Hersteller von mir auf die Sicherheitsl\u00fccke aufmerksam gemacht wurde, hat dieser innerhalb einer Woche eine Installationsdatei freigegeben, bei dem dieses Problem behoben wurde. In den windata professional Versionen 9.1.0.3 bis 9.1.0.5 wurde in allen Installationen das Passwort ge\u00e4ndert. Nachfolgend erfolgt die Offenlegung des Sachverhalts.<\/p>\n

<\/p>\n

Was ist windata?<\/h2>\n

Bei windata professional handelt es sich um eine Finanzsoftware (Banking-Software), die zur sicheren Abwicklung des nationalen und internationalen Zahlungsverkehrs dient. Diese Finanzsoftware wurde speziell f\u00fcr die Bed\u00fcrfnisse von professionellen Anwendern wie Unternehmen, Verwaltungen, Organisationen, Gesch\u00e4fts- und Gewerbekunden sowie Vereinen entwickelt.<\/p>\n

Die Netzwerk- und Terminal-Server-f\u00e4hige Softwarel\u00f6sung l\u00e4uft unter Windows und besitzt umfangreicher Schnittstellen zu ERP- bzw. Finanzbuchhaltungsprogrammen sowie die M\u00f6glichkeit zur Verwaltung mehrerer Mandanten. Daher wird das Programm auch \u00fcber Banken (siehe hier<\/a> und hier<\/a>) f\u00fcr Kunden angeboten. Historisch bedingt gibt es verschiedene Versionen, wobei windata professional 9 die aktuelle Version ist. Der Hersteller windata stellt auf dieser Unternehmensseite<\/a> weitere Informationen bereit.<\/p>\n

Problem: Festcodiertes SA-Passwort<\/h2>\n

Die Finanzsoftware windata professional 9 setzt auf einer SQL Server-Datenbank auf, um die Finanzdaten zu speichern. Bei der Installation eines SQL-Servers\u00a0 wird ein sogenanntes SA-Passwort (System Administrator Passwort) f\u00fcr den Zugriff auf die SQL-Datenbank ben\u00f6tigt. \u00dcber dieses SA-Kennwort kann jeder, dem dieses Passwort bekannt ist, auf die gespeicherten Datenbanken des SQL-Server zugreifen. Das ist unabh\u00e4ngig von der Benutzer- und Rechteverwaltung innerhalb der jeweiligen Anwendung. Geht das Kennwort verloren, haben Windows Administratoren die M\u00f6glichkeit, dieses SA-Passwort zur\u00fcckzusetzen (siehe<\/a>). Mitte Februar 2021 meldete sich Blog-Leser R\u00fcdiger L. per Mail und berichtete von seiner Beobachtung.<\/p>\n

Hallo Herr Born, bereits vor einiger Zeit habe ich herausgefunden dass das SA Passwort des SQL-Servers bei allen windata 9 Netzwerk Installationen gleich ist. Das Passwort ist festcodiert und wird beim Installieren der Software gesetzt. Hintergrund der Aktion ist, dass der Admin das Passwort nicht kennen soll und somit die Daten vor ihm sicher sind!\u00a0 Die Clients verbinden sich direkt mit dem SA Benutzer auf die Datenbank. Die Software wird sowohl von der Sparkasse als auch den Volksbanken vertrieben.<\/p><\/blockquote>\n

Der Leser stie\u00df auf das Problem, als er die Software bei einem Unternehmen installieren sollte und dort schon ein 2017er SQL-Server im Einsatz war. Von windata wurde aber ein SQL-Server 2014 mitgeliefert. Dazu schrieb mir der Leser:<\/p>\n

Ich wollte den SQL-Server daher manuell einrichten. Ich verwende, so wie sich das geh\u00f6rt, f\u00fcr jede Software eine eigene Instanz. Beim Studieren der Installationsanleitung fiel mir auf, dass keine Passwort-Einstellungen dokumentiert sind. Ein Anruf bei windata GmbH ergab, dass man das nicht selber einrichten k\u00f6nne, da man das Passwort nicht kennen soll. Eine Einrichtung des SQL-Servers sei in diesem Fall nur durch die windata GmbH selber m\u00f6glich. Nat\u00fcrlich mit Extrakosten. Das nahm ich so auch erst einmal hin.<\/p>\n

Dann fiel mir aber ein das ich das Passwort bei der Installation der Clients dann auch nicht kenne und wie das dann wohl funktionieren sollte. Ich habe die Software daher in einer VM getestet und habe das Passwort ermitteln k\u00f6nnen.<\/p><\/blockquote>\n

Der Leser schrieb mir, dass ihm die Erfahrung fehle, wie man mit so etwas umgeht. Das Ganze ist bei mir etwas liegen geblieben, aber im Mai fragte ich beim Leser zum Sachstand nach. Es hie\u00df, dass der Versuch einer Kontaktaufnahme mit dem Anbieter windata gescheitert sei, da dies einen Supportvertrag voraussetze.<\/p>\n

Anmerkungen: <\/strong>An dieser Stelle wird von mir auf die Nennung der Details zur Ermittlung des Passworts verzichtet, um ggf. alte Installationen, die noch nicht aktualisiert wurden, nicht zu gef\u00e4hrden.<\/p>\n

Weiterhin hat der Leser an dieser Stelle die im Beitrag Entwickler meldet Modern-Solution-Datenleck, darauf Anzeige und Hausdurchsuchung<\/a> sowie die im Beitrag CDU Connect: Staatsanwalt stellt Verfahren gegen Wittmann & Co. ein<\/a> aufgeworfene Problematik vermieden.<\/p><\/blockquote>\n

Austausch mit dem Hersteller<\/h2>\n

Auf Grund des Austauschs mit dem Leser habe ich dann den Hersteller windata Anfang Mai 2021 per Mail kontaktiert und auf die Problematik hingewiesen. Zwei Tage sp\u00e4ter gab es einen ersten telefonische Austausch und in Folge weitere Kontakte. Dabei wurden mehrere Punkte mit der windata Gesch\u00e4ftsleitung und deren Entwickler besprochen.<\/p>\n

Eingeschr\u00e4nkter Support<\/h3>\n

So kl\u00e4rte sich beispielsweise auf, warum dem Leser bei seiner Anfrage wegen des fehlenden Supportvertrags keine Informationen gegeben wurde. Der Hersteller f\u00fchrte aus, dass die Finanzsoftware windata teilweise \u00fcber Banken vertrieben werde. Je nach vertraglicher Konstellation zwischen windata und dem lizenzausgebenden Kreditinstitut soll kein direkter Kontakt zwischen windata und den Endkunden der Bank stattfinden. Das ist f\u00fcr mich nachvollziehbar.<\/p>\n

\u00c4nderung der SA Passwort-Zuweisung<\/h3>\n

Bereits eine Woche nach der ersten Kontaktaufnahme wurde vom Hersteller ein neues Setup zur Installation zur Verf\u00fcgung gestellt, in welchem kein Passwort mehr auslesbar ist. Alle vorhandenen Installationen wurden damit ersetzt.<\/p>\n

Zur Verwendung eines fest kodierten SA Passworts f\u00fcr die SQL-Server-Installation lieferte der Hersteller folgende Erkl\u00e4rung:<\/p>\n

Der Ablaufbeschreibung m\u00f6chten wir vorwegschicken, dass die Einrichtung eines eigenen SQL-Servers unter Verwendung eines eigenen Passworts in windata professional 9 SQL schon immer m\u00f6glich ist. Diese Option wird auch von sehr vielen Kunden genutzt. Das Thema mit dem vordefinierten Datenbankpasswort tritt nur bei Kunden auf, welche eine windata-Installation ohne eigenes Passwort vergeben haben.<\/p><\/blockquote>\n

Weiterhin hat windata in der Zwischenzeit \u00fcber verschiedene Versionen der Software die Passwort-Problematik entsch\u00e4rft bzw. beseitigt.<\/p>\n