Das Sicherheitsunternehmen High-Tech Bridge hat auf eine Schwachstelle in Microsoft Dynamics CRM hingewiesen. Eine Cross-Site-Scripting-Lücke (XSS) ermöglicht es demnach, einen angemeldeten Nutzer dazu zu verleiten, Schadcode in Eingabefelder in anfälligen Websites einzufügen, der dann vom Browser des Nutzers ausgeführt wird. Das demonstriert High-Tech Bridge unter anderem in einem Video.
Der Fehler steckt nach Angaben des Unternehmens in Dynamics CRM 2013 SP1. Das von ihm ausgehende Risiko stuft High-Tech Bridge als gering ein. Trotzdem handele es sich um eine ernst zu nehmende Anfälligkeit. Auslöser sei eine „unzureichende Filterung“ von Nutzereingaben, die nach einer gescheiterten XML-SOAP-Anfrage eines Nutzers an „/Biz/Users/AddUsers/SelectUsersPage.aspx“ weitergeleitet werden. Die XSS-Lücke wiederum kann mit HTML- und Skript-Code ausgenutzt werden.
Laut High-Tech Bridge könnte ein Hacker einen Nutzer per Social Engineering dazu verleiten, „legitimen“ Text von einer präparierten schädlichen Website in die Zwischenablage zu kopieren, um ihn anschließend in eine anfällige Website einzufügen. Während der Nutzer in seinem Browser „normalen Text“ sieht, befindet sich in der Zwischenablage jedoch der auszuführende Schadcode.
Microsoft selbst bestreitet jedoch, dass es sich bei dem XSS-Fehler in Dynamics CRM, das unter anderem von der US-Regierung verwendet wird, um eine Schwachstelle handelt. Angesichts der Zunahme von Cross-Site-Scripting-Kampagnen im vergangenen Jahr rät High-Tech Bridge jedoch, den Zugang zum anfälligen Skript „WAF“ oder die Web-Server-Konfiguration zu sperren.
„Wenn man bedenkt, dass dieselben Anfälligkeiten 2014 aktiv und erfolgreich von Hackern eingesetzt wurden, dann ist diese XSS-Lücke sehr ernst“, sagte Ilia Kolocheno, CEO von High-Tech Bridge. Die Ausnutzung der Lücke sei allerdings sehr komplex, weswegen das Risiko eines Angriffs auch als gering eingestuft worden sei. Microsofts Entscheidung, den Fehler nicht zu patchen, sei aber trotzdem falsch. „Früher konnte man eine solche Anfälligkeit ignorieren, aber nicht 2015, vor allem nicht bei einem derartig beliebten und sensiblen Produkt wie Dynamics CRM.“
[mit Material von Charlie Osborne, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Neueste Kommentare
Noch keine Kommentare zu Cross-Site-Scripting-Lücke in Microsoft Dynamics CRM entdeckt
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.