Schwerwiegende Schwachstelle im Microsoft Team Foundation Server
ID: 1018753
Auf IT-Sicherheitskonferenz IT-Defense erstmals gezeigt
Der Team Foundation Server (TFS) ist das zentrale Produkt von Microsoft für Software-Entwickler, auf dem mehrere Entwickler-Teams gemeinsam an unterschiedlichen Softwareprojekten arbeiten können. Der Server kann sowohl intern im Unternehmen aufgesetzt als auch als Service in der Microsoft Cloud genutzt werden.
Ein ausführliches Rechte- und Rollenkonzept innerhalb des TFS soll eigentlich die Rechte der einzelnen Entwickler begrenzen und die Projekte unterschiedlicher Teams voneinander trennen.
Durch das gezielte Einbringen von bösartigen Unit-Tests kann ein Angreifer die einzelnen Server der TFS-Umgebung unter seine Kontrolle bringen. Dadurch kann er Einblick in sämtliche dort abgelegte Projekte nehmen, unabhängig vom eingestellten Berechtigungsmodell innerhalb des TFS.
cirosec empfiehlt daher, keine gemeinsam genutzte TFS-Installation zu verwenden, wenn Teile oder einzelne Projekte sensibel oder vertraulich sind. Auch die Nutzung des TFS in der Microsoft Cloud sollte gut überlegt sein, da die Schwachstelle auch bei einem Team Foundation Server in der Microsoft-Cloud nachgewiesen wurde und man damit auch in der Cloud das Rechte- und Rollenmodell des TFS aushebeln kann.
Die Schwachstelle wurde vom cirosec-Berater Joshua Tiago im August 2013 an Microsoft gemeldet. Im November 2013 reagierte Microsoft mit dem Hinweis, dass es sich hier nicht um eine Sicherheitslücke, sondern um designbedingtes Verhalten handelt.
Die cirosec GmbH ist ein spezialisiertes Unternehmen mit Fokus auf IT- und Informationssicherheit und berät seine Kunden im deutschsprachigen Raum. Das Angebotsspektrum umfasst die Bereiche Konzepte, Reviews und Analysen, Management-Beratung (ISO 27001, Risikomanagement, Erstellung von Prozessen, Policies, Richtlinien), die Durchführung von Audits und Penetrationstests, Incident Response und Forensik, sowie die Konzeption, neutrale Evaluationen und Implementation von Produkten und Lösungen. Die Schwerpunkte der technischen Lösungen liegen auf Applikationssicherheit, Schutz vor gezielten Angriffen, Sicherheit im internen Netz, Netzwerkzugangskontrolle, Bring your own Device, Mobile / Wireless Security, Security Management und Nachvollziehbarkeit administrativer Zugriffe.
Unternehmensinformation / Kurzprofil:
Die cirosec GmbH ist ein spezialisiertes Unternehmen mit Fokus auf IT- und Informationssicherheit und berät seine Kunden im deutschsprachigen Raum. Das Angebotsspektrum umfasst die Bereiche Konzepte, Reviews und Analysen, Management-Beratung (ISO 27001, Risikomanagement, Erstellung von Prozessen, Policies, Richtlinien), die Durchführung von Audits und Penetrationstests, Incident Response und Forensik, sowie die Konzeption, neutrale Evaluationen und Implementation von Produkten und Lösungen. Die Schwerpunkte der technischen Lösungen liegen auf Applikationssicherheit, Schutz vor gezielten Angriffen, Sicherheit im internen Netz, Netzwerkzugangskontrolle, Bring your own Device, Mobile / Wireless Security, Security Management und Nachvollziehbarkeit administrativer Zugriffe.
Datum: 12.02.2014 - 16:32 Uhr
Sprache: Deutsch
News-ID 1018753
Anzahl Zeichen: 2756
Kontakt-Informationen:
Stadt:
Heilbronn
Kategorie:
New Media & Software
Diese Pressemitteilung wurde bisher 229 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Schwerwiegende Schwachstelle im Microsoft Team Foundation Server"
steht unter der journalistisch-redaktionellen Verantwortung von
cirosec GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
