Cirosec warnt

Microsoft Team Foundation Server mit kritischer Schwachstelle

12.02.2014
Von 


Simon Hülsbömer betreut als Senior Project Manager Research Studienprojekte in der IDG-Marktforschung. Zuvor verantwortete er als Program Manager die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT - inhaltlich ist er nach wie vor für das "Leadership Excellence Program" aktiv. Davor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Die IT-Security-Experten von Cirosec haben im Rahmen des Fachkongresses "IT-Defense" auf eine schwerwiegende Sicherheitslücke in Microsofts Entwickler-Plattform Team Foundation Server (TFS) hingewiesen.

Cirosec-Berater Joshua Tiago zeigte, wie er mit Hilfe von manipulierten Unit-Tests die volle Kontrolle über den TFS übernehmen kann. Der TFS bietet Entwickler-Teams die Möglichkeit, gemeinsam an unterschiedlichen Software-Projekten zu arbeiten. Microsoft offeriert den Server sowohl als On-Premise als auch als Service in der Microsoft-Cloud.

Mit einem eigenen Rechten- und Rollenkonzept innerhalb des TFS sollen zwar die Privilegien der einzelnen Anwender begrenzt und Projekte unterschiedlicher Teams voneinander abgeschottet werden. Durch gezieltes Einbringen bösartiger Unit-Tests kann ein Angreifer aber dennoch einzelne TFS-Server unter seine Kontrolle bringen, um Einblick in alle Projekte zu gewinnen, die dort abgelegt sind. Das voreingestellte Rollenkonzept spielt laut Tiago dabei überhaupt keine Rolle.

TFS-Entwickler sollten daher unbedingt darauf achten, dass die verwendete Installation nicht von mehreren Nutzern gemeinsam verwendet wird, rät Cirosec. Das gelte sowohl für die On-Premise- als auch für die Cloud-Variante – der vorgestellte Angriffsvektor funktioniere auch dort, so Tiago. Er habe die Schwachstelle bereits im August 2013 an Microsoft gemeldet – erst im November habe er Antwort aus Redmond erhalten. Aussage: Es handle sich hier nicht um eine Sicherheitslücke innerhalb des TFS, sondern lediglich um ein "designbedingtes Verhalten".