Privilegienerhöhung in Cloud-CRM: Microsoft meldet Lücke in Dynamics 365
Aus der Ferne konnten Angreifer sich Rechte in Microsofts cloudbasiertem CRM erschleichen. Admins und Nutzer brauchen nicht zu handeln.
(Bild: StockStudio/Shutterstock.com)
Microsoft hat in seinem Cloud-CRM-System (Customer Relationship Management) Dynamics 365 eine Sicherheitslücke beseitigt, mittels der sich Angreifer Rechte erschleichen konnten. Der Konzern hat die Lücke beseitigt und meldet, sie sei nicht aktiv ausgenutzt worden.
In einem kurzen Sicherheitshinweis schätzt Microsoft die Gefährlichkeit der Lücke mit CVE-2024-38182 als "kritisch" ein und vergibt den CVSS-Punktwert von 9,0. Besonders die Tatsache, dass Angreifer das Sicherheitsproblem aus der Ferne ausnutzen konnten und dazu keine vorhandenen Rechte wie ein gültiges Nutzerkonto benötigten, führt zu dieser Einschätzung. Lediglich die offenbar recht hohe Komplexität des Angriffs senkt das Risiko ein wenig.
Keine Details
Über Details der Lücke schweigen die Redmonder sich aus, sie sei zudem vollständig behoben. Zudem scheint sich die Sicherheitslücke nicht auf die on-premise-Version von Dynamics zu beziehen. Admins und Nutzer des CRM müssen sich also offenbar nicht kümmern.
Erst vor wenigen Tagen hatte Microsoft Probleme mit seiner Azure-Cloud, die sich als Auswirkungen eines DDoS-Angriffs entpuppten. Und nach dem Crowdstrike-Debakel Mitte Juli wurde kürzlich bekannt, dass Delta Airlines auch den Redmonder Konzern mit Schadenersatzforderungen belegt.
(cku)
