USD 65.59 ЕВРО 75.18

В Microsoft Dynamics CRM обнаружена уязвимость ‘Self-XSS’

Экономика

Компания информационной безопасности High-Tech Bridge представила отчет об уязвимости.

Уязвимость обнаружена в Microsoft Dynamics CRM, и она может позволить удаленным хакерам обмануть вошедшего в систему пользователя и заставить его ввести вредоносный код в поле ввода на уязвимом веб-сайте.

Компания информационной безопасности High-Tech Bridge недавно представила отчет, описывающий данную уязвимость. Согласно данным команды безопасности компании, несмотря на то, что фактор риска уязвимости можно считать низким, ее существование – момент серьезный. Данная уязвимость DOM-модели (Document Object Model) на основе «self-XSS» была найдена в Microsoft Dynamics CRM 2013 SP1, и может быть использована для выполнения атак межсайтового скриптинга против настоящих пользователей веб-сайтов.

Уязвимость существует из-за «недостаточной фильтрации» данных, вводимых пользователем, переданных в «/Biz/Users/AddUsers/SelectUsersPage.aspx» после неудачной попытки отправить запрос XML SOAP пользователем. Удаленный злоумышленник поэтому имеет теоретическую возможность обмануть пользователя, вошедшего в сервис, заставив его ввести вредоносный HTML и код скрипта в поле «newUsers_ledit», прежде, чем код выполнится в браузере пользователя.

Но как злоумышленник заставит пользователя сделать это? Согласно High-Tech Bridge, простые приемы социальной инженерии могут обмануть пользователя и заставить его скопировать «легитимный» текст из заранее подготовленной вредоносной страницы в буфер обмена пользователя, прежде чем вставить в уязвимую веб-страницу.

Простой вредоносный код ниже показывает легитимный текст для пользователя, но заменяет текст, скопированный в буфер обмена пользователя, вредоносным кодом, как показано ниже:

Жертва видит следующий текст в браузере: HIDDEN USERS&&DISPLAY
Тем не менее, скрипт скопирует и вставит следующий зловредный код:


Сама Microsoft не считает проблему self-XSS уязвимостью. А Dynamics CRM использует даже правительство США. Тем не менее, High-Tech Bridge считает, что это проблема безопасности, учитывая рост кампании self-XSS в прошлом году, и предлагает пользователям блокировать доступ к уязвимому скрипту WAF или конфигурации веб-сервера, как временное решение.

Илья Колоченко, генеральный директор High-Tech Bridge прокомментировал:

«Принимая во внимание, что одни и те же уязвимости активно и успешно эксплуатировались хакерами в 2014 году, эта уязвимость XSS довольно серьезна, несмотря на низкую «категорию», которую ей присвоили в связи с относительно сложной эксплуатацией. Я думаю, что решение Microsoft не выпускать патч для уязвимости неправильное, поскольку, независимо от их общей политики, они должны думать прежде всего о безопасности своих клиентов.
Такие уязвимости могли быть проигнорированы в прошлом, но не в 2015 году, особенно в таких популярных и чувствительных продуктах, как Dynamics CRM».