Ikke kun Apple – Microsoft efterlod også nøglerne til deres rige afsløret

Home » microsoft

Ikon for læsetid 2 min. Læs

Kalenderikon Udgivet den

by Surur Davids 

offentliggjort den

Del denne artikel

Læsere hjælper med at understøtte MSpoweruser. Vi får muligvis en kommission, hvis du køber via vores links. Værktøjstip-ikon

Læs vores oplysningsside for at finde ud af, hvordan du kan hjælpe MSPoweruser med at opretholde redaktionen Læs mere

Vi skrev for nylig på et antal alvorlige sikkerhedsproblemer af Apple hvilket ville give kyndige mennesker nem adgang til din pc eller endda hjemme.

Som det ofte er tilfældet, er det dog bare en fristende skæbne, da det viser sig, at Microsoft havde sin egen meget seriøse sikkerhedsbungle, og i modsætning til Apple var de meget langsomme til at reagere på problemet.

ITNews rapporterer tHat-softwareudvikler Matthias Gliwka fandt ud af, at Microsoft inkluderede et såkaldt jokertegnstransportlagsikkerhedscertifikat (TLS), der inkluderede en privat nøgle, når man satte et sandbox-testmiljø op til Dynamics 365, Microsofts Customer Relationship Manager og Enterprise Resource Planning-software. Nøglen, når den blev eksporteret, tillod enhver hacker at dekryptere trafik krypteret med den digitale legitimation og efterligne serveren, hvilket afslørede kundekommunikation uden at blive opdaget. Det dækkede også alle *.sandbox.operations.dynamics.com domæner (selv for andre virksomheder), hvilket betyder, at certifikatet vil have adgang til alle Dynamics 365-sandbox-miljøer. Sandkasser, der bruges til test, indeholder ofte et fuldt spejl af den endelige database.

Selvfølgelig begår alle virksomheder fejl, men Microsofts langsomme reaktion på problemet var den del, der virkelig var utilgivelig. Gliwka rapporterede sårbarheden til Microsofts sikkerhedsresponscenter (MSRC) i midten af ​​august, men Microsoft mente ikke, at problemet opfyldte "baren for sikkerhedsservice", fordi det mente, at en angriber ville kræve administratorlegitimationsoplysninger. Gliwka gjorde yderligere forsøg indtil oktober, hvor han offentligt spurgte Microsoft på Twitter om problemet. Det var først da han fik at vide, at det snart ville blive rettet.

På trods af denne forsikring tilbagekaldte Microsoft dog ikke det lækkede Dynamics 365-certifikat, før tyske medier blev involveret i november, og en journalist åbnede en billet på Mozillas fejlsporingssystem.

Microsoft var først færdig med at løse problemet i sidste uge, hele 100 dage efter den første rapport.

Som tidligere nævnt laver enhver virksomhed fejl, men de bliver kun til fejl, hvis du nægter at rette dem. I betragtning af at CRM-databaser indeholder en enorm mængde data, som regel fra den brede offentlighed, virker en sådan lemfældig holdning ret svær at undskylde, og vi håber, at virksomheden kan gøre det bedre i fremtiden.

Læs mere om problemet på Gliwkas Medium indlæg her.

Mere om emnerne: Dynamics 365, microsoft, sikkerhed

Surur Davids

Surur Davids Shield

Smartphone ekspert

Surur Davids er grundlæggeren af ​​WMPoweruser, som senere blev til MSPoweruser.com. Han er en smartphone-ekspert med mere end ti års erfaring.