Klue/Salesforce: Wenn OAuth-Tokens zum Datenabfluss werden

Nicht jeder Perimeter sieht aus wie ein VPN-Gateway. Im SaaS-Zeitalter besteht er aus OAuth-Tokens, Connected Apps und API-Berechtigungen, die oft weniger streng überwacht werden als menschliche Admin-Konten. Genau dieses Muster zeigte sich im Juni bei der Kompromittierung der Klue-Battlecards-Integration für Salesforce.

Klue ist eine Competitive-Intelligence-Plattform, die sich mit Salesforce verbindet, um Battlecards, Win/Loss-Daten und CRM-Kontext in Vertriebsprozesse einzubetten. Laut ReliaQuest wurde eine kompromittierte Klue-Integration genutzt, um über OAuth-Tokens und automatisierte REST-API-Abfragen Salesforce-CRM-Daten zu exfiltrieren. Eine Salesforce-Schwachstelle stand dabei nicht im Mittelpunkt; missbraucht wurde eine bereits vertrauenswürdige Drittanbieter-Verbindung. Salesforce deaktivierte die Klue-Battlecards-Verbindungen vorübergehend und erklärte, es gebe keinen Hinweis auf eine Schwachstelle in der eigenen Plattform.

Technisch lief der Angriff weitgehend innerhalb legitimer SaaS-Mechanismen: OAuth-Tokens, Objekt-Enumeration, Query- und QueryMore-Aufrufe über die Salesforce REST API. ReliaQuest beobachtete in einer Umgebung eine Abfragekette über fast 24 Stunden; in einem anderen Fall fast tausend API-Queries innerhalb von 15 Minuten. Damit wird der persistente OAuth-Refresh-Token zur modernen Variante des gestohlenen VPN-Zugangs — nur oft schlechter überwacht.

Der Vorfall ist Teil eines größeren SaaS-Supply-Chain-Problems: Drittanbieter-Apps besitzen dauerhaft Zugriff auf CRM-, Vertriebs- und Kundendaten, während ihre Berechtigungen selten regelmäßig überprüft werden. Cybersecurity Dive berichtete, dass unter anderem LastPass, Recorded Future und Tanium Zugriffe auf bestimmte CRM- bzw. Geschäftskontaktdaten bestätigten; ihre Kernprodukte seien nach bisherigem Stand nicht betroffen gewesen.

SaaS-Integrationen sind privilegierte Maschinenidentitäten. Jede Connected App mit Zugriff auf Salesforce, Microsoft 365, ServiceNow, GitHub oder Slack braucht Inventarisierung, Least-Privilege-Scopes, regelmäßige Token-Rotation, IP-Allowlisting, Monitoring auf ungewöhnliche API-Volumina und einen sauberen Offboarding-Prozess.

Der eigentliche Blind Spot liegt nicht in einem einzelnen Anbieter, sondern in der Annahme, dass eine einmal genehmigte Integration dauerhaft vertrauenswürdig bleibt.

ReliaQuest: „Klue Integration Abused in Salesforce Data Theft“
https://reliaquest.com/blog/threat-spotlight-integration-abused-in-crm-data-theft/

Cybersecurity Dive: „Klue investigating supply chain attack that targeted Salesforce integrations“
https://www.cybersecuritydive.com/news/klue-investigating-supply-chain-attack-salesforce-integrations/823532/

Weitere News im Juni

Unser Top-Thema im Juni: High-Street Retailer im Ziel von Ransomware-Gruppen

Sicherheitslücke durch inetpub: Wie ein gelöschter Ordner Windows verwundbar macht

Im April 2025 sorgte ein unscheinbarer Ordner namens inetpub auf Windows-Systemen für Aufsehen – und für ein ernstzunehmendes Sicherheitsproblem. Was zunächst wie ein harmloses Überbleibsel aus alten IIS-Zeiten wirkte, entpuppte sich als kritischer Bestandteil eines Sicherheitsupdates und als potenzielles Einfallstor für Angreifende.

Was ist passiert?

Mit dem April-Patchday legte Microsoft auf Windows 10- und 11-Systemen automatisch den Ordner C:\inetpub an. Dieser sollte laut Microsoft helfen, die Sicherheitslücke CVE-2025-21204 (Base Score: 7,8 von 10) zu entschärfen, die mit symbolischen Links (Symlinks) zusammenhängt. Dokumentation dazu fehlte zunächst – viele Nutzende hielten den Ordner für überflüssig und löschten ihn kurzerhand.

Das eigentliche Problem

Genau hier beginnt das Sicherheitsdilemma: Wenn der Ordner gelöscht wird, können zukünftige Windows-Updates fehlschlagen. Für die Ausnutzung dieser Sicherheitslücke ist kein ausgefeilter Angriff nötig. Es muss lediglich ein symbolischer Link von „inetpub” zu einer anderen Datei erstellt werden. Das System bleibt dann auf einem unsicheren Stand.

Microsofts Reaktion

Nachdem Sicherheitsforscher Kevin Beaumont auf das Problem aufmerksam gemacht hatte, veröffentlichte Microsoft ein PowerShell-Skript namens Set-InetpubFolderAcl.ps1. Dieses stellt den Ordner wieder her und setzt die korrekten Zugriffsrechte. Das Skript prüft auch, ob der Ordner manipuliert wurde und verhindert so weitere Missbrauchsmöglichkeiten.

Fazit: Ein Lehrstück in Kommunikation und Sicherheit

Der Fall zeigt, wie wichtig klare Kommunikation bei sicherheitsrelevanten Änderungen ist. Ein leerer Ordner mag harmlos wirken, doch in diesem Fall war er ein zentraler Bestandteil eines Sicherheitsmechanismus. Wer ihn entfernte oder manipulierte, öffnete sein System ungewollt für Angriffe.

Nutzende sollten prüfen, ob der Ordner inetpub vorhanden ist und ggf. das Microsoft-Skript ausführen, um die Sicherheit des Systems wiederherzustellen.

https://doublepulsar.com/microsofts-patch-for-cve-2025-21204-symlink-vulnerability-introduces-another-symlink-vulnerability-9ea085537741

https://www.heise.de/news/Microsoft-Abhilfe-fuer-Sicherheitsluecke-durch-geloeschte-inetpub-Ordner-10437103.html

https://www.golem.de/news/windows-10-und-11-mysterium-um-inetpub-ordner-teilweise-aufgeloest-2504-195313.html

https://www.golem.de/news/windows-leerer-inetpub-ordner-schafft-ein-neues-sicherheitsproblem-2504-195563.html

https://www.chip.de/news/Wie-ein-leerer-Ordner-fuer-Windows-zum-Sicherheitsproblem-wird_185936620.html

https://www.borncity.com/blog/2025/06/07/microsoft-veroeffentlicht-script-um-inetpub-neu-anzulegen/

https://nvd.nist.gov/vuln/detail/cve-2025-21204

TM SGNL – (k)eine Signal-Alternative

Wir erinnern uns an die als Signalgate bekannt gewordene Affäre zu geleakten klassifizierten Informationen über einen Signal-Chat. Wie sich nun herausstellt, nutzten die Angehörigen der US-Regierung nicht den offiziellen Signal-Client, sondern eine abgeänderte Version von TeleMessage, einem israelischen Unternehmen. Diese Version von Signal ermöglichte aufgrund eines trivialen Fehlers den Zugriff auf Chats. @micahflee@infosec.exchange und @ljrk@todon.eu haben interessante Details gefunden.

Für alle Kryptografie-Interessierten empfehlen wir den Blog von @soatok@furry.engineer zu dem Thema, in dem zu lesen ist, was eine Signal-Alternative zu erfüllen hat (und warum die meisten Messenger bereits dort scheitern).

Windows RDP-Cache – Wenn der Cache länger hält, als er soll

Windows RDP-Caches erlauben Log-ins mit alten Credentials, die bereits rotiert wurden. Microsoft behauptet allerdings, dass dies ein Feature sei, damit man sich nicht aussperrt. Die IT-Sicherheits-Szene reagierte irritiert. Es empfiehlt sich, einen Blick auf die eigenen Konfigurationen dazu zu werfen.

https://arstechnica.com/security/2025/04/windows-rdp-lets-you-log-in-using-revoked-passwords-microsoft-is-ok-with-that

Kritische Schwachstelle in WooCommerce Wishlist lange Zeit ohne Patch

In den WordPress-Fällen der letzten Monate ist uns das Modul WooCommerce öfter aufgefallen. Nun stellte sich heraus: Bereits im März wurde eine kritische Lücke (CVE-2025-47577) dem Hersteller gemeldet, worauf dieser aber nicht reagierte. Bei der Lücke handelt es sich um ein „pre-Auth RCE“, also die Möglichkeit zur Ausführung von Schadcode ohne vorhergehende gültige Benutzeranmeldung. Die technischen Details sind im verlinkten Artikel einsehbar.

Dieser Vorfall sollte die Wichtigkeit von Supply-Chains und weiterführenden Mitigationsmaßnahmen neben dem Patchen klar machen, denn manchmal steht kein Patch zur Verfügung.

https://patchstack.com/articles/unpatched-critical-vulnerability-in-ti-woocommerce-wishlist-plugin