Schwachstelle in Microsoft Dynamics CRM gefunden

CRMMarketingNetzwerk-ManagementNetzwerkeSicherheitSicherheitsmanagement
security-sicherheit (Bild: Shutterstock)

Betroffen ist Dynamics CRM 2013 SP1. Bei der Anfälligkeit handelt es sich um eine Cross-Site-Scripting-Lücke. Das von ihr ausgehende Risiko stuft das Sicherheitsunternehmen High-Tech Bridge, dass sie entdeckt hat, aufgrund der Komplexität eines möglichen Angriffs allerdings als gering ein. Microsoft sieht bislang offenbar auch keinen Patch für die Lücke vor.

Das Security-Unternehmen High-Tech Bridge hat von einer Schwachstelle in Microsoft Dynamics CRM berichtet. Den Experten zufolge erlaubt es eine Cross-Site-Scripting-Lücke (XSS), einen angemeldeten Anwender dazu zu verleiten, Schadcode in Eingabefelder in anfälligen Websites einzufügen, der dann vom Browser des Nutzers ausgeführt wird. Das demonstriert High-Tech Bridge unter anderem in einem Youtube-Video.

security-sicherheit (Bild: Shutterstock)

Das Leck befindet sich nach Angaben des Unternehmens in Dynamics CRM 2013 SP1. Das von ihm ausgehende Risiko hält High-Tech Bridge selbst jedoch für gering. Dennoch handele es sich um eine ernst zu nehmende Schwachstelle.

Ursache für die Anfälligkeit sei eine “unzureichende Filterung” von Nutzereingaben, die nach einer gescheiterten XML-SOAP-Anfrage eines Anwenders an “/Biz/Users/AddUsers/SelectUsersPage.aspx” weitergeleitet werden. Die XSS-Lücke lässt sich indes mit HTML- und Skript-Code ausnutzen.

High-Tech Bridge zufolge könnte ein Angreifer einen Anwender per Social Engineering dazu verleiten, “legitimen” Text von einer präparierten schädlichen Website in die Zwischenablage zu kopieren, um diesen wiederum in eine anfällige Website einzufügen. Während der Nutzer in seinem Browser “normalen Text” sieht, befindet sich in der Zwischenablage jedoch der auszuführende Schadcode.

Microsoft dementiert allerdings, dass es sich bei dem XSS-Fehler in Dynamics CRM tatsächlich um eine Schwachstelle handelt. Angesichts der Zunahme an Cross-Site-Scripting-Angriffen im vergangenen Jahr empfiehlt High-Tech Bridge aber, den Zugang zum anfälligen Skript “WAF” oder die Web-Server-Konfiguration zu blockieren.

“Wenn man bedenkt, dass dieselben Anfälligkeiten 2014 aktiv und erfolgreich von Hackern ausgenutzt wurden, dann ist diese XSS-Lücke sehr ernst”, sagte Ilia Kolocheno, CEO von High-Tech Bridge. Die Ausnutzung der Lücke sei allerdings sehr komplex, weswegen man das Risiko eines Angriffs auch als gering eingestuft habe.

Microsofts Entscheidung, die Lücke nicht zu patchen, hält Kolocheno dennoch für falsch. “Früher konnte man eine solche Anfälligkeit ignorieren, aber nicht 2015, vor allem nicht bei einem derart verbreiteten und für das Geschäft wichtigen Produkt wie Dynamics CRM.”

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.

SicherKMU

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen