Computerworld News Service: "Det mest sandsynlige angrebsscenarium er, at en hacker sender et skadeligt link til en bruger, som er logget ind på sin virksomheds SharePoint-server. Hvis brugeren klikker på linket, vil hackerens JavaScript, der er indlejret i linket, automatisk blive kørt af brugeren," forklarer en trio af sikkerhedsudviklere fra Microsoft i et blogindlæg på virksomhedens blog Security Research & Defense.
Fejlen, som blev afsløret i sidste uge af den schweiziske sikkerhedskonsulent High-Tech Bridge, kan udnyttes af hackere til at gå på rov i fortrolig information fra virksomheders SharePoint-servere, som udbredt bruges til intranet i erhvervslivet og som internt samarbejdssystem.
Selvom Microsoft arbejder på en rigtig rettelse, så har virksomheden endnu ikke sat dato på denne opdatering.
I stedet tilbyder Microsoft en midlertidig løsning, der involverer at lukke ned for adgangen til SharePoints hjælpe-system ved at køre et par kommandoer fra kommando-prompten. Disse kommandoer ændrer i adgangskontrollisten (ACL), som er Windows' liste over tilladelser i forbindelse med filadgang.
"Man kan roligt antage, at fejlen eller i det mindste den kendte angrebsvektor ligger i dette område af koden," siger Andrew Storms, der er sikkerhedsdirektør hos nCircle Security.
Lav risiko
Derudover anbefaler Microsoft, at man som administrator benytter Internet Explorer 8, som indeholder et cross-site scripting-filter, der kan reducere risikoen ved dette sikkerhedshul. Administratorerne vil dog være nødt til at ændre i browserens indstillinger for at slå filteret til for sikkerhedszonen Lokal Intranet, da den her som standard er slået fra.
Netværksadministratorer kan også benytte gruppepolitikker for at slå filteret til for sikkerhedszonen Lokal Intranet hos alle brugere af IE 8, påpeger Microsoft.
Jonathan Ness, der er udvikler hos Microsoft Security Response Center (MSRC), advarer administratorerne om at være forsigtige med, hvad de klikker på.
"Hvis du er administrator på en SharePoint-server, skal du ikke klikke på nogen e-mailede mistænkelige links til serveren," siger Ness via Twitter.
SharePoint-administratorerne er sandsynligvis mål her, da de har bredere adgang til servernes data og indstillinger, end den normale bruger har.
Microsoft rangerer ikke sårbarheder, som endnu ikke er rettede, men Storms vurderer truslen til - indtil videre - at være knap så alvorlig.
"Den er af rimelig lav risiko for øjeblikket, i lyset af at der kræves brugerhandlinger og særlig information for at målrette angrebet mod et offer," siger han i et interview.
Det er kun SharePoint Server 2007 og SharePoint Services 3.0, der indeholder sårbarheden. Den nyere SharePoint Server 2010, som nåede milepælen release to manufacturing (RTM) tidligere på måneden, men som ikke lanceres officielt før 12. maj, når den kommer i handlen samtidig med Office 2010, er immun overfor dette angreb.
Sidste gang Microsoft rettede SharePoint var i oktober 2007, da virksomheden udgav sikkerhedsopdateringen MS07-059.
"Jeg er overrasket over, at folk ikke har fundet flere fejl i denne applikation, der øjensynligt er temmelig populær, især når man tænker over, hvad der oftest ligger i SharePoint, såsom virksomheders fortrolige dokumenter," reflekterer Storms.
Microsofts næste planlagte sikkerhedsopdatering, den såkaldte Patch Tuesday, sker 11. maj.
Oversat af Thomas Bøndergaard
