Nejen Apple – Microsoft také nechal klíče od svého království odhalené
2 min. číst
Publikované dne
Sdílejte tento článek
Vylepšete tuto příručku
Přečtěte si naši informační stránku a zjistěte, jak můžete pomoci MSPoweruser udržet redakční tým Dozvědět se více
Nedávno jsme zveřejnili na počet vážný bezpečnostní problém od společnosti Apple který by znalým lidem umožnil snadný přístup k vašemu počítači nebo dokonce domů.
Jak se však často stává, je to jen pokušení osudu, jak se ukázalo, Microsoft měl svůj vlastní velmi vážný bezpečnostní problém a na rozdíl od Applu na problém reagoval velmi pomalu.
Informuje o tom ITNews tVývojář softwaru hat Matthias Gliwka zjistil, že společnost Microsoft zahrnula takzvaný certifikát zabezpečení transportní vrstvy (TLS), který zahrnoval soukromý klíč, při nastavování testovacího prostředí sandbox pro Dynamics 365, Microsoft Customer Relationship Manager a Enterprise Resource Planning software. Klíč při exportu umožnil jakémukoli hackerovi dešifrovat provoz zakódovaný pomocí digitálního pověření a vydávat se za server, čímž odhalil zákaznickou komunikaci, aniž by byl detekován. Pokryl také všechny domény *.sandbox.operations.dynamics.com (i pro jiné společnosti), což znamená, že certifikát bude mít přístup ke všem prostředím karantény Dynamics 365. Sandboxy, používané pro testování, často obsahují úplné zrcadlo finální databáze.
Samozřejmě, každá společnost dělá chyby, ale pomalá reakce Microsoftu na problém byla ta část, která byla opravdu neomluvitelná. Gliwka nahlásil zranitelnost centru Microsoft Security response Center (MSRC) v polovině srpna, ale Microsoft si nemyslel, že problém splňuje „laťku pro bezpečnostní servis“, protože se domníval, že útočník bude vyžadovat pověření správce. Gliwka dělal další pokusy až do října, kdy se na problém veřejně zeptal Microsoftu na twitteru. Teprve tehdy mu bylo řečeno, že to bude brzy opraveno.
Navzdory tomuto ujištění však Microsoft neodvolal uniklý certifikát Dynamics 365, dokud se v listopadu nezačala angažovat německá média a novinář otevřel lístek na systém sledování chyb Mozilly.
Microsoft dokončil řešení problému teprve minulý týden, celých 100 dní po první zprávě.
Jak již bylo zmíněno, každá společnost dělá chyby, ale ty se promění v chyby pouze tehdy, když je odmítnete opravit. Vzhledem k tomu, že databáze CRM obsahují obrovské množství dat, obvykle široké veřejnosti, zdá se, že takový laxní přístup se jen těžko omlouvá a doufáme, že se společnosti bude v budoucnu dařit lépe.
Přečtěte si více podrobností o problému na Zde je příspěvek Gliwky Medium.
