Bedrohungen für Lync Web App

Sitzungsfixierung

Bei einem Angriff mit Sitzungsfixierung legt der Angreifer das Sitzungstoken des Benutzers fest, bevor die Sitzung zwischen dem Benutzer und dem Webserver eingerichtet wird. Der Angreifer ist dann bereits im Besitz der Sitzungs-ID und muss diese nicht nach dem Einrichten der Sitzung bestimmen. Lync Web App ist darauf ausgelegt, Bedrohungen dieser Art zu minimieren.

Session-Hijacking

Beim Session-Hijacking (wörtl. etwa: "Entführen einer Kommunikationssitzung") greift der Angreifer auf die Sitzung eines Benutzers zu, indem er unverschlüsselten Datenverkehr im Netzwerk aufspürt. In Lync Web App wird diese Bedrohung minimiert, indem SSL als standardmäßiges Kommunikationsprotokoll zwischen dem Client und Lync Web App verwendet wird.

Session-Riding/Double-Riding

Beim Session-Riding versucht ein Angreifer, in einer eingerichteten Sitzung zwischen einem Benutzer und einer webbasierten Anwendung Befehle auszuführen, während er sich als der Benutzer ausgibt. Der Angreifer erreicht dies, indem er dem Benutzer eine E-Mail-Nachricht sendet oder ihn auf andere Weise dazu bringt, eine Website zu besuchen, die speziell zum Ausführen von Malware entwickelt wurde. Die Befehle, die vom Angreifer ausgeführt werden können, umfassen das Öffnen von Firewalls, das Löschen von Daten und das Ausführen anderer Befehle innerhalb des internen Netzwerks.

Lync Web App ist darauf ausgelegt, Angriffe zu verhindern, bei denen ein Angreifer die Lync Web App-Sitzung eines Benutzers über eine bösartige Website zu kontrollieren versucht.

Siteübergreifendes Skripting (CSS, XSS, Codeeinfügung)

Ein Angriff mittels siteübergreifendem Skripting (manchmal auch als CSS, XSS oder Codeeinfügungsangriff bezeichnet) findet statt, wenn ein Angreifer eine Webanwendung dazu nutzt, Malware an einen Zielbenutzer zu senden. Normalerweise geschieht dies in Form eines Skripts. Der Browser des Zielbenutzers kann nicht erkennen, dass das Skript nicht vertrauenswürdig ist, und führt es aus. Wenn die Malware ausgeführt wird, kann sie auf Cookies, Sitzungstoken oder andere vertrauliche Informationen zugreifen, die im Browser des Endbenutzers hinterlegt sind. Skripts dieser Art können sogar die Inhalte der HTML-Seite umschreiben.

Angriffe mittels siteübergreifendem Skripting können gespeichert oder reflektiert werden. Bei gespeicherten Angriffen wird der bösartige Code permanent auf dem betroffenen Webserver gespeichert, beispielsweise in Datenbanken, Nachrichtenforen, Besucherprotokollen und Kommentarfeldern. Wenn der Benutzer auf den Webserver zugreift, wird das Skript vom Browser des Benutzers ausgeführt. Bei reflektierten Angriffen mittels siteübergreifendem Skripting wird ein Benutzer dazu gebracht, auf einen Link zu klicken oder ein speziell zu diesem Zweck erstelltes Formular mit Malware zu senden. Wenn der Benutzer auf den Link zum Übermitteln der Formulardaten klickt, wird die URL mit der Malware zusammen mit den Daten des Benutzers an den Webserver gesendet. Wenn die Informationen dem Benutzer auf der Website angezeigt werden, sieht es so aus, als ob sie von einer vertrauenswürdigen Quelle stammen. Die Informationen enthalten jedoch Malware, die dann auf dem Computer des Benutzers ausgeführt wird.

Dieses Sicherheitsrisiko besteht nur auf Websites, die die Benutzereingaben nicht ordnungsgemäß überprüfen. Lync Web App nutzt umfangreiche Benutzereingabenprüfungen, um diese Bedrohung zu verhindern.

Tokenbedrohungen

HTTP ist ein verbindungsloses Protokoll. Für jede Webseite sind mehrere Serveranforderungen und -antworten erforderlich, um die Seite zu vervollständigen. Es werden verschiedene Methoden angewendet, um die Sitzung zwischen den Seitenanforderungen aufrechtzuerhalten. Bei einer dieser Methoden stellt der Webserver ein Token an den Clientbrowser aus, der die Anforderung sendet. Diese Methode wird auch von Lync Web App verwendet.

Nachdem ein interner oder externer Benutzer erfolgreich von Lync Web App authentifiziert wurde, stellt die Anwendung ein Token in einem Sitzungscookie aus. Dieses wird an den Client zurückgegeben. Dieses Cookie wird für eine einzige Sitzung zum Zugriff auf den Server verwendet. Für eine ordnungsgemäße Funktion müssen die Clients daher Cookies von Lync Web App akzeptieren. Es ist denkbar, dass ein Angreifer dieses Token entwendet und wiederverwendet. Bei Lync Web App wird die Bedrohung durch Token vermindert, indem jeweils nur ein Sitzungscookie mit SSL (falls aktiviert) übertragen wird. Nach dem Ende der Sitzung wird das Token gelöscht, sodass es nach einem bestimmten Zeitraum der Inaktivität von Seiten des Clients abläuft.

Tokenping

Bei einem Tokenping (auch als Aufrechterhaltung des Tokens bezeichnet) sendet ein authentifizierter Benutzer wiederholt eine Anforderung an den Webserver, um das Ablaufen der Sitzung und damit des Sitzungstokens zu verhindern. Ein Tokenping-Angriff kann durchaus als Bedrohung angesehen werden, da er die in den Server integrierte Timeoutlogik umgeht. Diese Bedrohung ist jedoch auf einer niedrigen Ebene angesiedelt, da der Benutzer zuerst authentifiziert werden muss.

Phishing (Password Harvesting Fishing)

Phishing funktioniert über Spoofing und ist eine Art Man-in-the-Middle-Angriff. Ein nicht autorisierter Angreifer gibt sich als autorisierte Instanz aus und versucht so, Informationen über die Benutzer einzuholen. Normalerweise versucht der Angreifer, den Benutzer dazu zu bringen, ein Kennwort oder eine Kontonummer in einer gefälschten Website, in einem Webformular oder in einer E-Mail-Nachricht einzugeben. Klären Sie die Endbenutzer darüber auf, mit welchen Methoden die Angreifer versuchen, an persönliche Informationen zu gelangen.