Das Sicherheitsunternehmen High-Tech Bridge hat in Microsoft Dynamics CRM eine Schwachstelle entdeckt. Demnach können angemeldete Nutzer eine Cross-Site-Scripting-Lücke (XSS) ausnutzen, um Schadcode in Eingabefelder anfälliger Websites einzufügen. Der Browser des Nutzers führt diesen anschließend aus. In einem Video demonstrieren die Sicherheitsexperten die Schwachstelle.
Der Fehler betreffe Dynamics CRM 2013 SP1, teilte das Unternehmen mit. High-Tech Bridge stuft das ausgehende Risiko als gering ein. Dennoch sollte die Anfälligkeit ernstgenommen werden. Eine “unzureichende Filterung” von Nutzereingaben sei der Auslöser. Diese werden nach einer gescheiterten XML-SOAP-Anfrage eines Nutzers an “/Biz/Users/AddUsers/SelectUsersPage.aspx” weitergeleitet. Mit HTML- und Skript-Code lässt sich die XSS-Lücke ausnutzen.
Angreifer können per Social Engineering High-Tech Bridge zufolge einen Nutzer dazu verleiten, einen “legitimen” Text von einer manipulierten Website in die Zwischenablage zu kopieren, um ihn anschließend in eine anfällige Website einzufügen. In seinem Browser sieht der Nutzer “normalen Text”, der auszuführende Schadcode befindet sich allerdings in der Zwischenablage.
Der XSS-Fehler in Dynamics CRM – das unter anderem von der US-Regierung genutzt wird – ist nach Ansicht von Microsoft keine Schwachstelle. Dennoch rät High-Tech Bridge den Zugang zum anfälligen Skript “WAF” oder die Web-Server-Konfiguration zu sperren. Im vergangenen Jahr hätten die Cross-Site-Scripting-Kampagnen zugenommen.
“Wenn man bedenkt, dass dieselben Anfälligkeiten 2014 aktiv und erfolgreich von Hackern eingesetzt wurden, dann ist diese XSS-Lücke sehr ernst”, sagte Ilia Kolocheno, CEO von High-Tech Bridge. Jedoch sei die Ausnutzung der Lücke äußerst komplex. Aus diesem Grund sei das Angriffsrisiko auch als gering eingestuft worden. Trotzdem sei es von Microsoft falsch, keinen Patch zu entwickeln. “Früher konnte man eine solche Anfälligkeit ignorieren, aber nicht 2015, vor allem nicht bei einem derartig beliebten und sensiblen Produkt wie Dynamics CRM.”
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
In Deutschland ist der Infostealer Formbook weiterhin Spitzenreiter und für rund 18,5 Prozent aller Malware-Infektionen…
HP Wolf Security-Studie: fehlende Lieferanten-Audits, schwache BIOS-Passwörter, Fear of Making Updates, Epidemie verlorener Geräte und…
Datenpannen sorgen nicht nur für aufmerksamkeitsstarke Schlagzeilen – sie sind eine Erinnerung an die Schwachstellen,…
Das Zusammenspiel von Cloud und KI stellt Hyperscaler, IT-Partner und Endkunden vor neue Herausforderungen.
Auf Basis der Lösungen Customer 360 und Data Cloud im Zusammenspiel mit Agentforce will Hotelkette…
Mikroautomatisierungen sind ein wichtiger Bestandteil der aktuellen Entwicklungen, sagt Sofiane Fessi von Dataiku im Interview.