Cirosec-Berater Joshua Tiago zeigte, wie er mit Hilfe von manipulierten Unit-Tests die volle Kontrolle über den TFS übernehmen kann. Der TFS bietet Entwickler-Teams die Möglichkeit, gemeinsam an unterschiedlichen Software-Projekten zu arbeiten. Microsoft offeriert den Server sowohl als On-Premise als auch als Service in der Microsoft-Cloud.

Mit einem eigenen Rechten- und Rollenkonzept innerhalb des TFS sollen zwar die Privilegien der einzelnen Anwender begrenzt und Projekte unterschiedlicher Teams voneinander abgeschottet werden. Durch gezieltes Einbringen bösartiger Unit-Tests kann ein Angreifer aber dennoch einzelne TFS-Server unter seine Kontrolle bringen, um Einblick in alle Projekte zu gewinnen, die dort abgelegt sind. Das voreingestellte Rollenkonzept spielt laut Tiago dabei überhaupt keine Rolle.

TFS-Entwickler sollten daher unbedingt darauf achten, dass die verwendete Installation nicht von mehreren Nutzern gemeinsam verwendet wird, rät Cirosec. Das gelte sowohl für die On-Premise- als auch für die Cloud-Variante – der vorgestellte Angriffsvektor funktioniere auch dort, so Tiago. Er habe die Schwachstelle bereits im August 2013 an Microsoft gemeldet – erst im November habe er Antwort aus Redmond erhalten. Aussage: Es handle sich hier nicht um eine Sicherheitslücke innerhalb des TFS, sondern lediglich um ein "designbedingtes Verhalten".