Schwere Schwachstelle in Microsoft Team Foundation Server

Über eine designbedingte Schwachstelle im Team Foundation Server können Angreifer alle Projekte auf lokalen Servern und in der Cloud ausspähen.

Während der Sicherheitskonferenz IT-Defense in Köln hat der Veranstalter cirosec auf eine bisher nicht bekannte, schwerwiegende Schwachstelle im Microsoft Team Foundation Server (TFS) hingewiesen. Joshua Tiago, Senior Berater bei cirosec, erläuterte, wie er mit manipulierten Unit-Tests die volle Kontrolle über den Team Foundation Server erhält.

Eigentlich soll ein detailliertes Rollen- und Rechtekonzept innerhalb des Team Foundation Servers die Rechte der einzelnen Entwickler begrenzen und die Projekte unterschiedlicher Teams sauber voneinander trennen. Mithilfe bösartiger Unit-Tests kann ein Angreifer allerdings die Server einer TFS-Umgebung unter Kontrolle bringen und so sämtliche Projekte ausspähen.

Die Schwachstelle wurde von cirosec bereits im August 2013 an Microsoft gemeldet. Erst im November reagierte man dort laut cirosec mit dem Hinweis, dass es sich nicht um eine Sicherheitslücke, sondern um designbedingtes Verhalten handelt.

Cirosec rät nun bei sensiblen Projekten dazu, keine gemeinsam genutzten Installationen von Team Foundation Server einzusetzen. Auch die Nutzung des Team Foundation Servers in der Microsoft-Cloud sehen die Sicherheitsexperten kritisch, da die Schwachstelle auch beim Cloud-TFS nachgewiesen worden sei. Auch in der Microsoft-Cloud lässt sich laut cirosec mit der beschriebenen Schwachstelle das Rollen- und Rechtemodell des Team Foundation Servers aushebeln.

Erfahren Sie mehr über Bedrohungen

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close