Cross-Site-Scripting-Lücke gefährdet Dynamics CRM

Das Sicherheitsunternehmen High-Tech Bridge hat in Microsoft Dynamics CRM eine Schwachstelle entdeckt. Demnach können angemeldete Nutzer eine Cross-Site-Scripting-Lücke (XSS) ausnutzen, um Schadcode in Eingabefelder anfälliger Websites einzufügen. Der Browser des Nutzers führt diesen anschließend aus. In einem Video demonstrieren die Sicherheitsexperten die Schwachstelle.

Der Fehler betreffe Dynamics CRM 2013 SP1, teilte das Unternehmen mit. High-Tech Bridge stuft das ausgehende Risiko als gering ein. Dennoch sollte die Anfälligkeit ernstgenommen werden. Eine “unzureichende Filterung” von Nutzereingaben sei der Auslöser. Diese werden nach einer gescheiterten XML-SOAP-Anfrage eines Nutzers an “/Biz/Users/AddUsers/SelectUsersPage.aspx” weitergeleitet. Mit HTML- und Skript-Code lässt sich die XSS-Lücke ausnutzen.

Angreifer können per Social Engineering High-Tech Bridge zufolge einen Nutzer dazu verleiten, einen “legitimen” Text von einer manipulierten Website in die Zwischenablage zu kopieren, um ihn anschließend in eine anfällige Website einzufügen. In seinem Browser sieht der Nutzer “normalen Text”, der auszuführende Schadcode befindet sich allerdings in der Zwischenablage.

Kein Patch in Planung

Der XSS-Fehler in Dynamics CRM – das unter anderem von der US-Regierung genutzt wird – ist nach Ansicht von Microsoft keine Schwachstelle. Dennoch rät High-Tech Bridge den Zugang zum anfälligen Skript “WAF” oder die Web-Server-Konfiguration zu sperren. Im vergangenen Jahr hätten die Cross-Site-Scripting-Kampagnen zugenommen.

“Wenn man bedenkt, dass dieselben Anfälligkeiten 2014 aktiv und erfolgreich von Hackern eingesetzt wurden, dann ist diese XSS-Lücke sehr ernst”, sagte Ilia Kolocheno, CEO von High-Tech Bridge. Jedoch sei die Ausnutzung der Lücke äußerst komplex. Aus diesem Grund sei das Angriffsrisiko auch als gering eingestuft worden. Trotzdem sei es von Microsoft falsch, keinen Patch zu entwickeln. “Früher konnte man eine solche Anfälligkeit ignorieren, aber nicht 2015, vor allem nicht bei einem derartig beliebten und sensiblen Produkt wie Dynamics CRM.”

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Lesen Sie auch : Deutschland fürchtet KI-gesteuerte Desinformationskampagnen

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.