Das Sicherheitsunternehmen High-Tech Bridge hat auf eine Schwachstelle in Microsoft Dynamics CRM hingewiesen. Eine Cross-Site-Scripting-Lücke (XSS) ermöglicht es demnach, einen angemeldeten Nutzer dazu zu verleiten, Schadcode in Eingabefelder in anfälligen Websites einzufügen, der dann vom Browser des Nutzers ausgeführt wird. Das demonstriert High-Tech Bridge unter anderem in einem Video.
Der Fehler steckt nach Angaben des Unternehmens in Dynamics CRM 2013 SP1. Das von ihm ausgehende Risiko stuft High-Tech Bridge als gering ein. Trotzdem handele es sich um eine ernst zu nehmende Anfälligkeit. Auslöser sei eine „unzureichende Filterung“ von Nutzereingaben, die nach einer gescheiterten XML-SOAP-Anfrage eines Nutzers an „/Biz/Users/AddUsers/SelectUsersPage.aspx“ weitergeleitet werden. Die XSS-Lücke wiederum kann mit HTML- und Skript-Code ausgenutzt werden.
Laut High-Tech Bridge könnte ein Hacker einen Nutzer per Social Engineering dazu verleiten, „legitimen“ Text von einer präparierten schädlichen Website in die Zwischenablage zu kopieren, um ihn anschließend in eine anfällige Website einzufügen. Während der Nutzer in seinem Browser „normalen Text“ sieht, befindet sich in der Zwischenablage jedoch der auszuführende Schadcode.
Microsoft selbst bestreitet jedoch, dass es sich bei dem XSS-Fehler in Dynamics CRM, das unter anderem von der US-Regierung verwendet wird, um eine Schwachstelle handelt. Angesichts der Zunahme von Cross-Site-Scripting-Kampagnen im vergangenen Jahr rät High-Tech Bridge jedoch, den Zugang zum anfälligen Skript „WAF“ oder die Web-Server-Konfiguration zu sperren.
„Wenn man bedenkt, dass dieselben Anfälligkeiten 2014 aktiv und erfolgreich von Hackern eingesetzt wurden, dann ist diese XSS-Lücke sehr ernst“, sagte Ilia Kolocheno, CEO von High-Tech Bridge. Die Ausnutzung der Lücke sei allerdings sehr komplex, weswegen das Risiko eines Angriffs auch als gering eingestuft worden sei. Microsofts Entscheidung, den Fehler nicht zu patchen, sei aber trotzdem falsch. „Früher konnte man eine solche Anfälligkeit ignorieren, aber nicht 2015, vor allem nicht bei einem derartig beliebten und sensiblen Produkt wie Dynamics CRM.“
[mit Material von Charlie Osborne, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Diesmal geht es um das neue Abomodell für Facebook und Instagram. Die Verbraucherschützer klagen auf…
Infostealer-Infektionen haben laut Kaspersky-Studie zwischen 2020 und 2023 um mehr als das sechsfache zugenommen.
Betroffen sind Millionen IoT- und M2M-Geräte Geräte weltweit. Unter anderem können Angreifer per SMS Schadcode…
Von ihr geht ein hohes Risiko aus. Angreifbar sind Chrome für Windows, macOS und Linux.
Forschende des KIT haben ein Modell zur Emotionsanalyse entwickelt, das affektive Zustände ähnlich genau wie…
Sie decken die Identität des Kopfs der Gruppe auf. Britische Behörden fahnden mit einem Foto…
