USD 93.44
ЕВРО 99.58
Другие новости
Toshiba TV интегрировала чип REGZA Engine ZRi на базе искусственного интеллекта
Состоялся визит МСП из России в Цзянся для налаживания торгово-экономического сотрудничества
Вице-президент «Тинькофф» рассказал о планах банков создать альтернативную платежную систему
Андрей Борис рассказал о втором гражданстве как способе свободного передвижения по миру
«Здоровое Отечество» поучаствует в проведении мероприятий для инвалидов
ЕвроХим ввел в эксплуатацию современный комплекс по производству фосфатных удобрений в Бразилии
В Microsoft Dynamics CRM обнаружена уязвимость ‘Self-XSS’
Экономика
Компания информационной безопасности High-Tech Bridge представила отчет об уязвимости.
Уязвимость обнаружена в Microsoft Dynamics CRM, и она может позволить удаленным хакерам обмануть вошедшего в систему пользователя и заставить его ввести вредоносный код в поле ввода на уязвимом веб-сайте.
Компания информационной безопасности High-Tech Bridge недавно представила отчет, описывающий данную уязвимость. Согласно данным команды безопасности компании, несмотря на то, что фактор риска уязвимости можно считать низким, ее существование – момент серьезный. Данная уязвимость DOM-модели (Document Object Model) на основе «self-XSS» была найдена в Microsoft Dynamics CRM 2013 SP1, и может быть использована для выполнения атак межсайтового скриптинга против настоящих пользователей веб-сайтов.
Уязвимость существует из-за «недостаточной фильтрации» данных, вводимых пользователем, переданных в «/Biz/Users/AddUsers/SelectUsersPage.aspx» после неудачной попытки отправить запрос XML SOAP пользователем. Удаленный злоумышленник поэтому имеет теоретическую возможность обмануть пользователя, вошедшего в сервис, заставив его ввести вредоносный HTML и код скрипта в поле «newUsers_ledit», прежде, чем код выполнится в браузере пользователя.
Но как злоумышленник заставит пользователя сделать это? Согласно High-Tech Bridge, простые приемы социальной инженерии могут обмануть пользователя и заставить его скопировать «легитимный» текст из заранее подготовленной вредоносной страницы в буфер обмена пользователя, прежде чем вставить в уязвимую веб-страницу.
Простой вредоносный код ниже показывает легитимный текст для пользователя, но заменяет текст, скопированный в буфер обмена пользователя, вредоносным кодом, как показано ниже:
Жертва видит следующий текст в браузере: HIDDEN USERS&&DISPLAY
Тем не менее, скрипт скопирует и вставит следующий зловредный код:
Сама Microsoft не считает проблему self-XSS уязвимостью. А Dynamics CRM использует даже правительство США. Тем не менее, High-Tech Bridge считает, что это проблема безопасности, учитывая рост кампании self-XSS в прошлом году, и предлагает пользователям блокировать доступ к уязвимому скрипту WAF или конфигурации веб-сервера, как временное решение.
Илья Колоченко, генеральный директор High-Tech Bridge прокомментировал:
«Принимая во внимание, что одни и те же уязвимости активно и успешно эксплуатировались хакерами в 2014 году, эта уязвимость XSS довольно серьезна, несмотря на низкую «категорию», которую ей присвоили в связи с относительно сложной эксплуатацией. Я думаю, что решение Microsoft не выпускать патч для уязвимости неправильное, поскольку, независимо от их общей политики, они должны думать прежде всего о безопасности своих клиентов.
Такие уязвимости могли быть проигнорированы в прошлом, но не в 2015 году, особенно в таких популярных и чувствительных продуктах, как Dynamics CRM».
