Menü
Alert!
Security

Microsoft warnt vor XSS-Lücke in Sharepoint

vorlesen Drucken Kommentare lesen 5 Beiträge

Microsofts SharePoint-Produkte weisen eine Cross-Site-Scripting-Schwachstelle (XSS) auf, mit der Angreifer eigenen JavaScript-Code im Browser eines Opfers im Kontext des Servers ausführen können. Angreifer können auf diese Weise das Authentifizierungscookie auslesen, das Konto des Anwenders manipulieren oder auf vertrauliche Daten zugreifen. Um Opfer eines Angriffs zu werden, muss man jedoch auf einen manipulierten Link klicken.

Dass man XSS-Lücken aber nicht auf die leichte Schulter nehmen sollte, zeigt auch der kürzlich gemeldete Einbruch in Server der Apache Software Foundation. Auch dort fing der sehr zielgerichtete Angriff mit einer XSS-Lücke an; auch dort klickten erfahrene Administratoren auf manipulierte Links.

Ursache des aktuellen Problems in SharePoint ist die ungenügende Filterung der Variable cid0 im Skript /_layouts/help.aspx, die sich für reflektives XSS missbrauchen lässt. Betroffen sind SharePoint Server 2007 und SharePoint Services 3.0. Nicht betroffen sind SharePoint Services 2.0, SharePoint Portal Server 2001, SharePoint Portal Server 2003 Service Pack 3 sowie SharePoint Server 2010.

Nach Angaben von Microsoft soll das Problem in Zusammenarbeit mit dem Internet Explorer 8 nicht zum Tragen kommen, da dort der XSS-Filter den Angriff erkennt und verhindert. Bis zur Bereitstellung eines Patches empfiehlt Microsoft, den Zugriff auf das fehlerhafte Skript zu verhindern. Administratoren müssen nach Angaben von Microsoft dazu auf dem Share-Point-Server folgende Befehle durchführen:

cacls "%ProgramFiles%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx" /E /P everyone:N

cacls "%ProgramFiles(x86)%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx" /E /P everyone:N

Damit stellt der Server jedoch keine Hilfefunktionen mehr bereit. Nach Installation des Patches kann man die Änderungen wieder rückgängig machen. Eine Anleitung dazu findet sich ebenfalls in Microsofts Warnung.

Siehe dazu auch:


(dab)