Drucksache: windows.developer Magazin 6.2015 - Angriffsziel TFS
Im windows.developer 6.15 ist ein Artikel über die Sicherheit des Team Foundation Servers erschienen.
Der Team Foundation Server ist als Plattform für die kollaborative Softwareentwicklung theoretisch aus mehreren Richtungen gefährdet. In der Praxis sieht es mit seiner Sicherheit aber gar nicht so schlecht aus.
Bisher sind keine Angriffe auf TFS bekannt geworden, obwohl sie theoretisch möglich sind.
Wobei die Betonung auf "bekannt geworden" liegt, denn wer gibt schon gerne zu, dass zum Beispiel sein Sourcecode von einem Angreifer kopiert oder manipuliert wurde, wenn er das nicht unbedingt muss? Es kann also durchaus bereits Angriffe auf Team Foundation Server gegeben haben, die nur nicht an die große Glocke gehängt wurden. Denn anderswo gab es entsprechende Angriffe bereits. Zum Beispiel wurde bei Adobe Sourcecode kopiert, in den Ad-Server OpenX eine Hintertür eingebaut oder auf GitHub von einem Botnet nach Benutzerkonten mit schwachen Passwörtern gesucht.
Immerhin ist der Sourcecode von Closed-Source-Software für viele interessant. Cyberkriminelle und Geheimdienste könnten darin nach Schwachstellen suchen, Mitbewerber nach Hinweisen für die Verbesserung der eigenen Software. Außerdem ist der Sourcecode der eigenen Produkte meist das Wertvollste, was es im Unternehmen gibt. Allein das sollte schon Grund genug sein, ihn ausreichend zu schützen.
Der Nachteil des TFS ist dabei seine Komplexität und seine Abhängigkeit von weiteren Diensten (SQL Server, SQL Server Reporting Services, IIS, Windows SharePoint Services, Windows), die alle einzeln konfiguriert werden müssen.
Eigentlich ist die Auswahl der sichersten Konfiguration ja ganz einfach: Lokal muss Kerberos genutzt werden, übers Internet HTTPS mit Client-Zertifikaten. Das dann aber einzurichten, ist nicht gerade trivial. Und auch nicht einfach zu beschreiben, sonst hätte ich es hier im Artikel getan und nicht nur auf die entsprechende Dokumente von Microsoft verwiesen.
Zum Schluss noch kurz etwas zum Team Foundation Server 2015: Bisher wurden keine Neuerungen in Bereich Sicherheit angekündigt. Er wird aber zumindest indirekt von den Verbesserungen in Windows 10 wie zum Beispiel der besseren Unterstützung der Multi-Faktor- Authentifizierung profitieren.
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] CVE List Master Copy
- [2] CVE-2012-1892
- [3] CVE-2013-5042
- [4] Microsoft Security Bulletin MS12-061 - Vulnerability in Visual Studio Team Foundation Server Could Allow Elevation of Privilege (2719584)
- [5] Microsoft Security Bulletin MS13-103 - Vulnerability in ASP.NET SignalR Could Allow Elevation of Privilege (2905244)
- [6] Carsten Eilers: "Cross-Site Scripting im Überblick, Teil 1: Reflektiertes XSS" ff.
- [7] Exploits Database by Offensive Security
- [8] Rapid7 Vulnerability & Exploit Database
- [9] Kirill Kruglov; SecureList: "Breaches in corporate network protection: access control"
- [10] Zoltán Balázs; DefCon 22: "Bypass firewalls, application white lists, secure remote desktops under 20 seconds" (Präsentation)
- [11] Zoltán Balázs; MRG Effitas Blog: "Bypass hardware firewalls – DEF CON 22"
- [12] Ryan Kazanciyan, Christopher Glyer; Mandian M-unition: "The "Hikit" Rootkit: Advanced and Persistent Attack Techniques (Part 1)"
- [13] Christopher Glyer, Ryan Kazanciyan; Mandian M-unition: "The "Hikit" Rootkit: Advanced and Persistent Attack Techniques (Part 2)"
- [14] Carsten Eilers: "Was ist ein Advanced Persistent Threat (APT)?" ff.
- [15] MSDN Library: "Permission reference for Team Foundation Server"
- [16] MSDN Library: "Set up HTTPS with Secure Sockets Layer (SSL) for Team Foundation Server"
- [17] MSDN Library: "Configure Team Foundation Server using the advanced configuration"
- [18] TechNet Library: "Plan for Kerberos authentication in SharePoint 2013"
- [19] Rob Carrol; Rob's SQL Server & BI Blog: "Enabling Kerberos Authentication for Reporting Services"
- [20] MSDN Library: "Team Foundation Server, Authentication, and Access"
- [21] Paul Ducklin; Sophos Naked Security: "Adobe source code breach - is it a gateway for new malware and exploits?"
- [22] Paul Ducklin; Sophos Naked Security: "OpenX ad servers "pre-compromised" - official distro contained remote code backdoor"
- [23] Paul Ducklin; Sophos Naked Security: "GitHub users with weak passwords - you have been warned!"
- [24] MSDN Library: "Team Foundation Server Security Concepts"
- [25] MSDN Library: "Team Foundation Server Security Architecture"
- [26] Team Foundation Server 2015 CTP Release Notes
- [27] Carsten Eilers: "Windows 10 und die Sicherheit"; Windows Developer 5.15
Trackbacks