Sikkerhetshull i Sharepoint 2007

Sikkerhetshull i Sharepoint 2007

Microsoft stresser med å tette hull etter at angrepskode ble frigitt.

I går la det sveitsiske selskapet High-Tech Brigde ut beviskode for et sikkerhetshull i Sharepoint 2007. De hevder å ha varslet Microsoft om hullet 12. april, men det er foreløpig ikke blitt fikset, skriver Computerworlds nyhetstjeneste.

Microsoft har ikke sagt stort om hvilken fare de anser hullet medfører, men sikkerhetseksperter bekymrer seg for at ondsinnede hackere kan utnytte det for stjele sensitiv bedriftsinformasjon fra Sharepoint-brukere som bruker programvaren til nettportaler og interne samarbeidsprosjekter.

Kryssideskripting

Feilen det er snakk om, kan utnyttes via kryssideskripting. Hvis en hacker får brukeren til å klikke på en lenke, kan hullet la angriperen til slutt få kontroll over brukerkontoen.

- Med litt innsidekunnskap kan du sende en link til en Sharepoint-bruker, og hvis du kan kryssideskripte dem, kan du uautorisert hente ut data på alt brukeren har tilgang til, sier Jeremiah Grossman, teknologidirektør i selskapet Whitehat Security.

Kjip timing

- Microsoft har testet hullet i egne systemer, og jobber med en sikkerhetsbulletin som vil gi mer informasjon om hullet og hva kunder kan gjøre for å sikre systemene sine, sier Jerry Briant fra Microsoft.

To uker er ikke lang frist for å fikse et hull, særlig et som ble oppdaget én dag før Microsofts faste, månedlige lappetirsdag, men High-Tech Brigde sier de automatisk legger ut sårbarheter de finner to uker etter å ha varslet leverandøren. Selskapet har ikke vært tilgjengelig for ytterligere kommentar.

Det finnes akkurat nå ingen fiks for svakheten, men Microsoft har kommet med en workaround som går ut på å begrense tilgangen til den sårbare siden, "/_layouts/help.aspx". Ulempen med denne metoden er at hjelp-funksjonaliteten i Sharepoint blir utilgjengelig, ifølge Telenors sikkerhetssenter.

Les om: