Einstein’s Wormhole: Erfassen von Outlook- und Google-Kalendern über Salesforce – Gastbenutzer-Bug.

Datensicherheit

Einstein Wormhole

Wenn Ihr Unternehmen Salesforce-Communitys und Einstein Activity Capture verwendet, haben Sie möglicherweise unwissentlich die Outlook- oder Google-Kalender-Ereignisse Ihres Administrators dem Internet preisgegeben, und zwar aufgrund eines Fehlers namens Einstein’s Wormhole, der vom Varonis-Forschungsteam entdeckt wurde. Ungeschützte Kalenderereignisse können hochsensible Inhalte wie Namen und E-Mail-Adressen von Teilnehmern, URLs und Passwörter für Besprechungen, Tagesordnungen, Dateianhänge und E-Mail-Antworten an den Organisator enthalten. Das Problem wurde an Salesforce gemeldet und ihr kompetentes und äußerst reaktionsschnelles Team hat den Fehler schnell behoben. Wenn Ihre Salesforce-Community jedoch vor Sommer 2021 erstellt wurde, müssen Sie offene Kalenderereignisse berichtigen. Schritte, die sofort durchgeführt werden müssen:

  1. Ändern Sie die E-Mail-Adresse Ihres Gastbenutzers in eine Dummy-E-Mail (z. B. test@beispiel.de oder gast@ihrunternehmen.de)
  2. Entfernen Sie sensible Kalenderereignisse, die Einstein mit Ihrem Gastbenutzer verknüpft hat.

Weitere detaillierte Schritte finden Sie im Abschnitt „Gegenmaßnahmen“. Wenden Sie sich an unser Team, falls Sie Unterstützung bei der Überprüfung Ihrer Salesforce-Instanz benötigen. Lesen Sie weiter für eine ausführliche Erklärung darüber, wie zwei scheinbar separate Salesforce-Funktionen miteinander verbunden sind und welche Auswirkungen dies auf die Sicherheit hat.

Einstein Activity Capture

Einstein Activity Capture (EAC) ist ein Tool, mit dem Sie E-Mails und Kalenderereignisse zwischen Ihren Microsoft-Exchange- oder Google-Konten und Salesforce synchronisieren können. Einstein Activity Capture ersetzt das ältere und bald nicht mehr verfügbare Lightning Sync. In diesem Artikel geht es um Einstein Activity Capture, aber die gleichen Konzepte sind auch für Lightning Sync relevant. Die Idee hinter Einstein Activity Capture ist es, die Produktivität Ihres Vertriebsteams zu steigern, indem relevante Kunden-E-Mails und Besprechungen in einem zentralen System zusammengefasst werden: Salesforce. Einstein ist intelligent. Wenn Sie also eine Besprechung als Organisator erstellen, versucht es, andere Leute in Salesforce (Benutzer, Leads, Kontakte) zu finden, mit denen diese synchronisiert werden kann. Einstein Activity Capture synchronisiert die Kalender des Benutzers, und das führt zur folgenden Ereigniskette:

  • Salesforce verbindet sich mit dem Kalender, sei es Outlook oder Google Calendar, und ruft die Ereignisse ab.
  • Salesforce fügt die Ereignisse dem Salesforce-Kalender des Benutzers hinzu.
  • Salesforce sucht unter den Teilnehmern des Ereignisses nach Benutzern, Leads und Kontakten mit übereinstimmenden E-Mails.
  • Wenn Salesforce Datensätze mit übereinstimmenden E-Mail-Adressen findet, fügt es die Ereignisse auch zu deren Salesforce-Kalendern hinzu.

Mehr über die Funktionsweise der Ereignissynchronisation hier.

Einstein’s Wormhole

Bis zum Release vom Sommer 2021 wurden Gastbenutzer mit der E-Mail-Adresse des Salesforce-Administrators erstellt. Salesforce-Gastbenutzerprofil Sehen wir uns unseren Einstein-Synchronisationsprozess mit diesem neuen Detail noch einmal an. Stellen Sie sich vor, Ihr CTO sendet eine Outlook-Besprechungseinladung an die Salesforce-Administratorin des Unternehmens (nennen wir sie Judy). Es handelt sich um ein sensibles Roadmap-Meeting, an dem mehrere wichtige Mitarbeiter des Unternehmens beteiligt sind. Da der Gastbenutzer eine E-Mail-Adresse mit Judy teilt, passiert Folgendes (vor dem Release vom Sommer 2021):

  • Salesforce findet die Veranstaltung des CTO, an der die Administratorin teilnimmt.
  • Salesforce sucht Benutzer und andere Objekte mit einer E-Mail-Adresse, die mit den Teilnehmern übereinstimmt.
  • Salesforce findet Judy die Salesforce-Administratorin, und synchronisiert das Ereignis mit ihrem Kalender.
  • Salesforce sucht AUCH den Gastbenutzer und synchronisiert das Ereignis mit seinem Kalender.

Das hat zur Folge, dass das Ereignis und seine Details (Teilnehmer, Thema, Einwahl, Zoom-Link und sogar die Antworten auf die Einladung) über den Gastbenutzer im Internet veröffentlicht werden. Stehlen von Salesforce-Kalenderdaten Die Ereignisse selbst können sensible Informationen enthalten, die dem Unternehmen schaden können. Mit einem Besprechungs-Link, dem Passwort und der Teilnehmerliste kann ein Angreifer unbemerkt an einer Besprechung teilnehmen. Die Informationen können auch von böswilligen Akteuren genutzt werden, um Spear-Phishing-Angriffe auszuführen oder Details aus der Besprechung zu nutzen, um andere Dienste zu kompromittieren, sich lateral zu bewegen usw.

Minderung

Salesforce hat diesen Fehler schnell behoben, sodass alle neuen Community-Sites den Gastbenutzer nicht mit der E-Mail-Adresse eines echten Benutzers verknüpfen. Wenn Ihre Community vor Sommer ’21 erstellt wurde, empfehlen wir Ihnen, die E-Mail des Gastbenutzers für alle Ihre Community-Sites in eine Dummy-E-Mail zu ändern, die nicht mit dem Kalender eines echten Benutzers verknüpft ist. Das folgende Snippet kann in der Development Console ausgeführt werden und ändert die E-Mail-Adressen aller Gastbenutzer:

for (User user: [SELECT Id FROM User WHERE UserType='Guest']) { user.Email = 'guest@company.com'; update user; }

Um die Development Console aufzurufen, klicken Sie auf das Zahnrad oben auf der Seite und wählen Sie „Development Console“ (stellen Sie sicher, dass Sie als Administrator angemeldet sind!): Salesforce Development Console Drücken Sie in der Development Console Strg+E (funktioniert sowohl unter Windows als auch unter Mac), um das Fenster „Execute Anonymous Window“ (anonymes Fenster ausführen) zu öffnen. Anonymes Fenster ausführen Fügen Sie den Code in das Fenster ein und klicken Sie auf „Execute“ (ausführen), um die E-Mail-Adresse aller Gastbenutzer automatisch zu ändern. Sensible Ereignisobjekte zu löschen, die mit dem Gastbenutzer verbunden sind, ist nicht so einfach. Wenn Sie dabei Hilfe benötigen, wenden Sie sich bitte an uns und unser Team hilft Ihnen gerne weiter.

Wichtige Lektionen

Die wichtigste Erkenntnis aus dieser Untersuchung ist, dass das SaaS-Risiko mit zunehmender Vernetzung der Dienste steigt. In diesem Fall sind zwei scheinbar separate Funktionen auf unerwartete und unerwünschte Weise miteinander verbunden. Solche kleinen Fehlkonfigurationen oder geringfügigen Schwachstellen können schwerwiegende Folgen haben. Darüber hinaus müssen Unternehmen bei der Zusammenarbeit mit SaaS-Anbietern unbedingt das Modell der geteilten Verantwortung verstehen. SaaS-Anwendungen sind größtenteils sicher; sobald ein Unternehmen jedoch Daten in diese SaaS-Anwendungen einspeist, liegt es in der Verantwortung des Unternehmens, diese zu schützen. Für Unternehmen ist es wichtig, ihre SaaS-Landschaft zu verstehen und zu wissen, wie Produkte miteinander interagieren. Ziehen Sie in Erwägung, ein Netzwerk-Topologiediagramm für Ihre SaaS-Produkte zu erstellen, um ein klares Bild davon zu erhalten, wie Daten von einer Anwendung zur nächsten fließen. Denken Sie darüber nach, ein Cloud-Sicherheitsprodukt einzusetzen (uns gefällt DatAdvantage Cloud), um genau zu visualisieren, worauf ein Benutzer (sogar ein Gastbenutzer!) über all Ihre verschiedenen SaaS-Apps Zugriff hat. Außerdem lassen sich damit sensible Daten klassifizieren und das Verhalten auf Anomalien überwachen. Timeline der Offenlegung

  • 08.08.2021: An Salesforce gemeldet
  • 11.08.2021: Geprüft
  • 19.08.2021: Behoben

Vielen Dank an NITAY BACHRACH für die Originalversion dieser Forschungsnotiz zur Cybersicherheit.

Avatar

Adrien Rahmati-Georges

Adrien has been formed in Cybersecurity, Risks and Competitive Intelligence at the School of Economic Warfare in Paris, France. He likes to unpack the different layers of geopolitical and technical interests behind an attack, and evangelize about the risks involved. Working as Marketing Coordinator at Varonis from 2017, he is providing French and German content for our Blogs.

 

Möchten Sie Varonis in Aktion erleben?

Vereinbaren Sie eine Demo oder wenden Sie sich an unseren Vertrieb unter +49 89 3803 7990