Schwerwiegende Schwachstelle im Microsoft Team Foundation Server

Veröffentlicht am von

Auf IT-Sicherheitskonferenz IT-Defense erstmals gezeigt

Pressemeldung der Firma cirosec GmbH

cirosec, der Spezialist im IT-Sicherheitsbereich, weist auf eine schwerwiegende Schwachstelle im Team Foundation Server von Microsoft hin. Joshua Tiago, Senior Berater bei der cirosec GmbH, stellte heute auf der IT-Sicherheitskonferenz IT-Defense vor, wie er mit Hilfe von manipulierten Unit-Tests die volle Kontrolle über den Team Foundation Server übernehmen kann.

Der Team Foundation Server (TFS) ist das zentrale Produkt von Microsoft für Software-Entwickler, auf dem mehrere Entwickler-Teams gemeinsam an unterschiedlichen Softwareprojekten arbeiten können. Der Server kann sowohl intern im Unternehmen aufgesetzt als auch als Service in der Microsoft Cloud genutzt werden.

Ein ausführliches Rechte- und Rollenkonzept innerhalb des TFS soll eigentlich die Rechte der einzelnen Entwickler begrenzen und die Projekte unterschiedlicher Teams voneinander trennen.

Durch das gezielte Einbringen von bösartigen Unit-Tests kann ein Angreifer die einzelnen Server der TFS-Umgebung unter seine Kontrolle bringen. Dadurch kann er Einblick in sämtliche dort abgelegte Projekte nehmen, unabhängig vom eingestellten Berechtigungsmodell innerhalb des TFS.

cirosec empfiehlt daher, keine gemeinsam genutzte TFS-Installation zu verwenden, wenn Teile oder einzelne Projekte sensibel oder vertraulich sind. Auch die Nutzung des TFS in der Microsoft Cloud sollte gut überlegt sein, da die Schwachstelle auch bei einem Team Foundation Server in der Microsoft-Cloud nachgewiesen wurde und man damit auch in der Cloud das Rechte- und Rollenmodell des TFS aushebeln kann.

Die Schwachstelle wurde vom cirosec-Berater Joshua Tiago im August 2013 an Microsoft gemeldet. Im November 2013 reagierte Microsoft mit dem Hinweis, dass es sich hier nicht um eine Sicherheitslücke, sondern um designbedingtes Verhalten handelt.



Firmenkontakt und Herausgeber der Meldung:
cirosec GmbH
Edisonstraße 21
74076 Heilbronn
Telefon: +49 (7131) 59455-0
Telefax: +49 (7131) 59455-99
http://www.cirosec.de

Ansprechpartner:
Daniela Strobel
Leitung Marketing
+49 (7131) 59455-60

Die cirosec GmbH ist ein spezialisiertes Unternehmen mit Fokus auf IT- und Informationssicherheit und berät seine Kunden im deutschsprachigen Raum. Das Angebotsspektrum umfasst die Bereiche Konzepte, Reviews und Analysen, Management-Beratung (ISO 27001, Risikomanagement, Erstellung von Prozessen, Policies, Richtlinien), die Durchführung von Audits und Penetrationstests, Incident Response und Forensik, sowie die Konzeption, neutrale Evaluationen und Implementation von Produkten und Lösungen. Die Schwerpunkte der technischen Lösungen liegen auf Applikationssicherheit, Schutz vor gezielten Angriffen, Sicherheit im internen Netz, Netzwerkzugangskontrolle, Bring your own Device, Mobile / Wireless Security, Security Management und Nachvollziehbarkeit administrativer Zugriffe.


Weiterführende Links

Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die Huber Verlag für Neue Medien GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die Huber Verlag für Neue Medien GmbH gestattet.