Das Sicherheitsunternehmen High-Tech Bridge hat auf eine Schwachstelle in Microsoft Dynamics CRM hingewiesen. Eine Cross-Site-Scripting-Lücke (XSS) ermöglicht es demnach, einen angemeldeten Nutzer dazu zu verleiten, Schadcode in Eingabefelder in anfälligen Websites einzufügen, der dann vom Browser des Nutzers ausgeführt wird. Das demonstriert High-Tech Bridge unter anderem in einem Video.
Der Fehler steckt nach Angaben des Unternehmens in Dynamics CRM 2013 SP1. Das von ihm ausgehende Risiko stuft High-Tech Bridge als gering ein. Trotzdem handele es sich um eine ernst zu nehmende Anfälligkeit. Auslöser sei eine „unzureichende Filterung“ von Nutzereingaben, die nach einer gescheiterten XML-SOAP-Anfrage eines Nutzers an „/Biz/Users/AddUsers/SelectUsersPage.aspx“ weitergeleitet werden. Die XSS-Lücke wiederum kann mit HTML- und Skript-Code ausgenutzt werden.
Laut High-Tech Bridge könnte ein Hacker einen Nutzer per Social Engineering dazu verleiten, „legitimen“ Text von einer präparierten schädlichen Website in die Zwischenablage zu kopieren, um ihn anschließend in eine anfällige Website einzufügen. Während der Nutzer in seinem Browser „normalen Text“ sieht, befindet sich in der Zwischenablage jedoch der auszuführende Schadcode.
Microsoft selbst bestreitet jedoch, dass es sich bei dem XSS-Fehler in Dynamics CRM, das unter anderem von der US-Regierung verwendet wird, um eine Schwachstelle handelt. Angesichts der Zunahme von Cross-Site-Scripting-Kampagnen im vergangenen Jahr rät High-Tech Bridge jedoch, den Zugang zum anfälligen Skript „WAF“ oder die Web-Server-Konfiguration zu sperren.
„Wenn man bedenkt, dass dieselben Anfälligkeiten 2014 aktiv und erfolgreich von Hackern eingesetzt wurden, dann ist diese XSS-Lücke sehr ernst“, sagte Ilia Kolocheno, CEO von High-Tech Bridge. Die Ausnutzung der Lücke sei allerdings sehr komplex, weswegen das Risiko eines Angriffs auch als gering eingestuft worden sei. Microsofts Entscheidung, den Fehler nicht zu patchen, sei aber trotzdem falsch. „Früher konnte man eine solche Anfälligkeit ignorieren, aber nicht 2015, vor allem nicht bei einem derartig beliebten und sensiblen Produkt wie Dynamics CRM.“
[mit Material von Charlie Osborne, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
Hinter 84 Prozent der Zwischenfälle bei Herstellern stecken Schwachstellen in der Lieferkette. Auf dem Vormarsch…
Es kommt angeblich 2028 auf den Markt. Das aufgeklappte Gerät soll die Displayfläche von zwei…
Das System basiert auf Hardware von HPE-Cray und Nvidia. Die Inbetriebnahme erfolgt 2027.
Die Bundesnetzagentur hat ihr Gigabit-Grundbuch aktualisiert. Drei von vier Haushalten sollen jetzt Zugang zu Breitbandanschlüssen…
