Cirosec warnt

Microsoft Team Foundation Server mit kritischer Schwachstelle

Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Die IT-Security-Experten von Cirosec haben im Rahmen des Fachkongresses "IT-Defense" auf eine schwerwiegende Sicherheitslücke in Microsofts Entwickler-Plattform Team Foundation Server (TFS) hingewiesen.

Cirosec-Berater Joshua Tiago zeigte, wie er mit Hilfe von manipulierten Unit-Tests die volle Kontrolle über den TFS übernehmen kann. Der TFS bietet Entwickler-Teams die Möglichkeit, gemeinsam an unterschiedlichen Software-Projekten zu arbeiten. Microsoft offeriert den Server sowohl als On-Premise als auch als Service in der Microsoft-Cloud.

Mit einem eigenen Rechten- und Rollenkonzept innerhalb des TFS sollen zwar die Privilegien der einzelnen Anwender begrenzt und Projekte unterschiedlicher Teams voneinander abgeschottet werden. Durch gezieltes Einbringen bösartiger Unit-Tests kann ein Angreifer aber dennoch einzelne TFS-Server unter seine Kontrolle bringen, um Einblick in alle Projekte zu gewinnen, die dort abgelegt sind. Das voreingestellte Rollenkonzept spielt laut Tiago dabei überhaupt keine Rolle.

TFS-Entwickler sollten daher unbedingt darauf achten, dass die verwendete Installation nicht von mehreren Nutzern gemeinsam verwendet wird, rät Cirosec. Das gelte sowohl für die On-Premise- als auch für die Cloud-Variante – der vorgestellte Angriffsvektor funktioniere auch dort, so Tiago. Er habe die Schwachstelle bereits im August 2013 an Microsoft gemeldet – erst im November habe er Antwort aus Redmond erhalten. Aussage: Es handle sich hier nicht um eine Sicherheitslücke innerhalb des TFS, sondern lediglich um ein "designbedingtes Verhalten".