Schwachstelle in Microsoft SharePoint Server

Der in Genf domizilierte Sicherheitsspezialist High-Tech Bridge hat die XSS-Lücke entdeckt und nach eigenen Angaben am 12. April an Microsoft gemeldet. In der vergangenen Woche ist der Schweizer Security-Experte damit an die Öffentlichkeit gegangen und hat auch gleich noch einen Demo-Exploit veröffentlicht. Microsoft hat daraufhin eine Sicherheitsmitteilung veröffentlicht. Die Schwachstelle befindet sich nach Angaben der Genfer in dem Script «/_layouts/help.aspx», das in der Variablen «cid0» steckende Benutzereingaben nicht ausreichend filtert. Ein Angreifer mit ein wenig Insider-Wissen könnte einem SharePoint-Nutzer einen präparierten Link senden, der Javascript-Code enthält. Klickt ein Anwender mit höheren (SharePoint-)Berechtigungen auf den Link, könnte der Angreifer mit dessen Benutzerrechten Schaden anrichten, etwa Daten ausspionieren oder manipulieren.

In der Sicherheitsmitteilung 983438 geben die Redmonder an, betroffen seien Microsoft Office SharePoint Server 2007 sowie Windows SharePoint Services 3.0, mit allen Service Packs und sowohl in den 32-Bit- als auch in den 64-Bit-Versionen. Nicht anfällig seien hingegen ältere Versionen sowie auch SharePoint Server 2010. Der XSS-Filter im Internet Explorer 8 könne Angriffe dieser Art in der Internet-Zone verhindern. In der Intranet-Zone sei der XSS-Filter hingegen standardmässig nicht eingeschaltet.

Als Abhilfe bis zur Bereitstellung eines Sicherheits-Updates empfiehlt Microsoft den Zugriff auf die SharPpoint-Seite Help.aspx zu verhindern. Die Folge wäre allerdings, dass der SharePoint Server keine Hilfefunktionen mehr anbieten kann. Weitere technische Details und eine Alternative zur Hilfefunktion finden Sie auch in einem Beitrag im Microsoft-Blog Security Research & Defense. Wann ein Sicherheits-Update zu erwarten ist, hat Microsoft noch nicht bekannt gegeben. Man arbeite derzeit daran und werde das Update veröffentlichen, sobald es die Qualitätsanforderungen erfülle.