Das Sicherheitsunternehmen High-Tech Bridge hat in Microsoft Dynamics CRM eine Schwachstelle entdeckt. Demnach können angemeldete Nutzer eine Cross-Site-Scripting-Lücke (XSS) ausnutzen, um Schadcode in Eingabefelder anfälliger Websites einzufügen. Der Browser des Nutzers führt diesen anschließend aus. In einem Video demonstrieren die Sicherheitsexperten die Schwachstelle.
Der Fehler betreffe Dynamics CRM 2013 SP1, teilte das Unternehmen mit. High-Tech Bridge stuft das ausgehende Risiko als gering ein. Dennoch sollte die Anfälligkeit ernstgenommen werden. Eine “unzureichende Filterung” von Nutzereingaben sei der Auslöser. Diese werden nach einer gescheiterten XML-SOAP-Anfrage eines Nutzers an “/Biz/Users/AddUsers/SelectUsersPage.aspx” weitergeleitet. Mit HTML- und Skript-Code lässt sich die XSS-Lücke ausnutzen.
Angreifer können per Social Engineering High-Tech Bridge zufolge einen Nutzer dazu verleiten, einen “legitimen” Text von einer manipulierten Website in die Zwischenablage zu kopieren, um ihn anschließend in eine anfällige Website einzufügen. In seinem Browser sieht der Nutzer “normalen Text”, der auszuführende Schadcode befindet sich allerdings in der Zwischenablage.
Der XSS-Fehler in Dynamics CRM – das unter anderem von der US-Regierung genutzt wird – ist nach Ansicht von Microsoft keine Schwachstelle. Dennoch rät High-Tech Bridge den Zugang zum anfälligen Skript “WAF” oder die Web-Server-Konfiguration zu sperren. Im vergangenen Jahr hätten die Cross-Site-Scripting-Kampagnen zugenommen.
“Wenn man bedenkt, dass dieselben Anfälligkeiten 2014 aktiv und erfolgreich von Hackern eingesetzt wurden, dann ist diese XSS-Lücke sehr ernst”, sagte Ilia Kolocheno, CEO von High-Tech Bridge. Jedoch sei die Ausnutzung der Lücke äußerst komplex. Aus diesem Grund sei das Angriffsrisiko auch als gering eingestuft worden. Trotzdem sei es von Microsoft falsch, keinen Patch zu entwickeln. “Früher konnte man eine solche Anfälligkeit ignorieren, aber nicht 2015, vor allem nicht bei einem derartig beliebten und sensiblen Produkt wie Dynamics CRM.”
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Aus Sicht vieler Führungskräfte sind junge Talente oft unzureichend auf ihre Jobprofile vorbereitet, da sie…
Umfrage: Bürokratisches Beschaffungswesen, strikte Regulierung und fehlendes Risikokapital bremsen digitale Verteidigungs-Innovationen.
Initiative von Cisco und Amperion ermöglicht schnellere Datenübertragungsgeschwindigkeiten mithilfe der Routed Optical Networking (RON)-Technologie.
Manufacturing-X als Antwort auf internationale Zollkonflikte, globale Lieferkettenprobleme und Abhängigkeit von meist US-amerikanischen Tech-Konzernen.
Laut Studie ist jeder dritte Security-Experte davon überzeugt, dass Cyber-Immunität die Häufigkeit von Angriffen reduzieren…
Intralogistikspezialist SSI Schäfer integriert Bots, Regale, Arbeitsstationen und IT-Umgebungen zu Komplettlösungen für Lagerbetreiber.
