Lek in SharePoint nog niet gerepareerd

3 mei 2010
Microsoft heeft nog geen kans gezien een vorige week ontdekt beveiligingslek in SharePoint te repareren. Totdat er een oplossing is, adviseert Microsoft zijn klanten maatregelen te nemen om het risico op diefstal van bedrijfsgegevens te verkleinen.

De zwakke plek in SharePoint is vorige week voor het eerst gemeld door het Zwitserse beveilingsbedrijf High-Tech Bridge. Het betreft een 'zero-day' kwetsbaarheid, een bekend lek waarvoor nog geen patch beschikbaar is en dat daardoor open ligt voor misbruik. Via de mailinglist Bugtraq is inmiddels code gepubliceerd die de zwakke plek exploiteert.

Microsoft heeft het bestaan van het probleem bevestigd. Volgens securitydeskundigen van Microsoft is het aannemelijkste scenario voor misbruik als volgt: een aanvaller stuurt een link naar een medewerker van een bedrijf die is ingelogd op een SharePoint-server. Als de gebruiker op de link klikt, wordt de Javacode uitgevoerd waarnaar de link verwijst. Na een succesvolle aanval zouden buitenstaanders toegang kunnen krijgen tot vertrouwelijke informatie die in SharePoint is opgeslagen.

De kwetsbaarheid zit alleen in SharePoint Server 2007 en SharePoint Services 3.0. De volgende week woensdag (12 mei) te introduceren nieuwe versie SharePoint Server 2010 heeft er geen last van.

Het is nog niet bekend of Microsoft werkt aan een patch voor het SharePoint-lek. De eerste reguliere patchronde van Microsoft is op dinsdag 11 mei. In de tussentijd krijgen klanten het advies om een 'workaround' toe te passen. Deze tijdelijke maatregel neemt het onderliggende probleem niet weg, maar voorkomt wel dat kwaadwillenden gebruikmaken van bekende aanvalsroutes. Hiertoe moeten beheerders de toegang tot het hulpsysteem van SharePoint (help.aspx) afsluiten door vanaf de commandoregel enkele wijzigingen in de Access Control List (ACL) aan te brengen. Na de afsluiting is via de website van Microsoft nog wel hulp voor SharePoint te vinden.

Een tweede advies is het gebruik van Internet Explorer 8, de recentste versie van Microsofts browser. IE8 bevat een filter voor 'cross-site scripting' (XSS Filter) dat het risico kan verkleinen. Het filter moet echter nog wel handmatig worden ingeschakeld bij de instellingen voor de lokale intranetzone. Netwerkbeheerders kunnen het filter ook door middel van group policies inschakelen voor alle gebruikers tegelijk.

Tot slot drukt Microsoft beheerders van SharePoint-servers op het hart voorzichtig te zijn met het aanklikken van verdachte serverlinks die ze via e-mail ontvangen. Kwaadwillenden zullen hun pijlen waarschijnlijk bij voorkeur op SharePoint-beheerders richten omdat zij doorgaans meer toegangsrechten hebben dan gewone eindgebruikers.

Het is moeilijk in te schatten hoe groot het risico is voor bedrijven met SharePoint-servers. In elk geval is interactie van een gebruiker vereist om kwaadaardige code uit te kunnen voeren. Ook zullen aanvallers enige kennis over hun potentiële slachtoffers moeten hebben.

Lees meer over
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.