Context warnt vor Framesniffing-Angriffen gegen Sharepoint

Update NOW!
Das britische Sicherheitsunternehmen Context Information Security warnt vor möglichen Framesniffing-Angriffen gegen Sharepoint 2007 und Sharepoint 2010. In einem Blog-Beitrag erläutert das Unternehmen den Angriffsmechanismus und beschreibt mögliche Gegenmaßnahmen.

Framesniffing-Angriffe

Wie der Blog-Post von Context beschreibt, wird beim Framesniffing die anzugreifende Website mittels eines Inlineframes im Webspace-Kontext des Angreifers geladen. In der Folge kann (mit einigen Browsern) versuchsweise nach beispielsweise bestimmten HTML-Ankern der Zielplattform gesucht werden, um auf diese Weise sensible Informationen auszulesen. Der genaue Ablauf eines solchen Angriffs wird auf der Website von Context detailliert beschrieben und anhand eines Videos verdeutlicht.

Verwundbare Ziele

Der Context-Analyse zufolge ist neben Sharepoint 2007 und 2010 auch LinkedIn verwundbar. Der Grund dafür liegt in einer fehlenden Absicherung gegen das Laden in fremden Frames, zum Beispiel in einem fehlenden X-Frame-Options HTTP Header1. Microsoft, von Context über die Sicherheitslücke informiert, wird mit „Wir bemühen uns, die X-Frame Options in der nächsten SharePoint Version standardmäßig zu implementieren.” als Antwort zitiert. Sharepoint 2007 und 2010 setzen out-of-the-box die X-Frame Options derzeit nicht. Context beschreibt auf der oben genannten Webseite nachvollziehbar, wie Admins vorgehen können, um Framesniffing-Angriffe selbst zu unterbinden.


Fußnote 1:
Der HTTP-Header „X-Frame-Options: deny” verhindern das Rendern in einem Frame, „X-Frame-Options: sameorigin” erlaubt das Rendern nur in Frames gleicher Herkunft. X-Frame-Options wird gewöhnlich verwendet, um Clickjacking zu erschweren. Die Option ist jedoch kein zuverlässiges Instrument, da nicht alle gegenwärtig aktuellen Browser die Anweisung befolgen.

Share on Facebook Share on Twitter Post to Delicious! Post to Diaspora!
Marc Stenzel

Über Marc Stenzel

Marc Stenzel ist Inhaber der New Media Agentur media deluxe sowie freiberuflich als Marketing- und Projektmanager Online, Dozent und Fachjournalist (DFJV) tätig. Marc Stenzel bloggt hier über aktuelle Themen aus dem fachlichen und räumlichen Umfeld des Unternehmens - mal sachlich, mal humorvoll:
Dieser Beitrag wurde unter CMS News, CMS Sicherheitswarnungen abgelegt und mit , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Kommentare sind geschlossen.