Cross-Site-Scripting-Lücke in Microsoft Dynamics CRM entdeckt

Das Sicherheitsunternehmen High-Tech Bridge hat auf eine Schwachstelle in Microsoft Dynamics CRM hingewiesen. Eine Cross-Site-Scripting-Lücke (XSS) ermöglicht es demnach, einen angemeldeten Nutzer dazu zu verleiten, Schadcode in Eingabefelder in anfälligen Websites einzufügen, der dann vom Browser des Nutzers ausgeführt wird. Das demonstriert High-Tech Bridge unter anderem in einem Video.

Der Fehler steckt nach Angaben des Unternehmens in Dynamics CRM 2013 SP1. Das von ihm ausgehende Risiko stuft High-Tech Bridge als gering ein. Trotzdem handele es sich um eine ernst zu nehmende Anfälligkeit. Auslöser sei eine „unzureichende Filterung“ von Nutzereingaben, die nach einer gescheiterten XML-SOAP-Anfrage eines Nutzers an „/Biz/Users/AddUsers/SelectUsersPage.aspx“ weitergeleitet werden. Die XSS-Lücke wiederum kann mit HTML- und Skript-Code ausgenutzt werden.

Laut High-Tech Bridge könnte ein Hacker einen Nutzer per Social Engineering dazu verleiten, „legitimen“ Text von einer präparierten schädlichen Website in die Zwischenablage zu kopieren, um ihn anschließend in eine anfällige Website einzufügen. Während der Nutzer in seinem Browser „normalen Text“ sieht, befindet sich in der Zwischenablage jedoch der auszuführende Schadcode.

Microsoft selbst bestreitet jedoch, dass es sich bei dem XSS-Fehler in Dynamics CRM, das unter anderem von der US-Regierung verwendet wird, um eine Schwachstelle handelt. Angesichts der Zunahme von Cross-Site-Scripting-Kampagnen im vergangenen Jahr rät High-Tech Bridge jedoch, den Zugang zum anfälligen Skript „WAF“ oder die Web-Server-Konfiguration zu sperren.

„Wenn man bedenkt, dass dieselben Anfälligkeiten 2014 aktiv und erfolgreich von Hackern eingesetzt wurden, dann ist diese XSS-Lücke sehr ernst“, sagte Ilia Kolocheno, CEO von High-Tech Bridge. Die Ausnutzung der Lücke sei allerdings sehr komplex, weswegen das Risiko eines Angriffs auch als gering eingestuft worden sei. Microsofts Entscheidung, den Fehler nicht zu patchen, sei aber trotzdem falsch. „Früher konnte man eine solche Anfälligkeit ignorieren, aber nicht 2015, vor allem nicht bei einem derartig beliebten und sensiblen Produkt wie Dynamics CRM.“

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Yippie-Ya-Yay, Schweinebacke!

Bruce Willis per Deepfake: Der Die Hard Star hat seine Persönlichkeitsrechte für einen digitalen Zwilling…

1 Tag ago

Quantum Builder verbreitet Trojaner

Der Remote Access Trojaner (RAT) Agent Tesla wird mittels Spear Phishing über einen im Dark…

1 Tag ago

Red Hat kündigt OpenStack Platform 17 an

Die neue Version der OpenStack Platform 17 unterstützt Service-Provider beim Aufbau umfangreicher, sicherer und moderner…

1 Tag ago

Digitale Souveränität gefordert

Auf dem IONOS Summit in der Messe Karlsruhe ging es um den Cloud-Markt und neue…

1 Tag ago

Google stellt Stadia ein

Google wird seinen Spieledienst Stadia am 18. Januar 2023 abschalten. Die Spieler erhalten ihr Geld…

1 Tag ago

Der Wandel ist die neue Konstante

Mitarbeiter verlassen sich heute auf digitale Tools am Arbeitsplatz, um entspannter zusammenzuarbeiten, aber gleichzeitig sind…

1 Tag ago