Nicht nur Apple, auch Microsoft ließ die Schlüssel zu ihrem Königreich offen
2 Minute. lesen
Veröffentlicht am
Teile diesen Artikel
Verbessern Sie diesen Leitfaden
Lesen Sie unsere Offenlegungsseite, um herauszufinden, wie Sie MSPoweruser dabei helfen können, das Redaktionsteam zu unterstützen Lesen Sie weiter
Wir haben kürzlich auf gepostet eine Anzahl von ernsthafter Sicherheitsfehler von Apple was sachkundigen Personen einen einfachen Zugang zu Ihrem PC oder sogar zu Hause ermöglichen würde.
Wie es oft der Fall ist, ist dies jedoch nur eine Versuchung des Schicksals, da sich herausstellt, dass Microsoft seinen eigenen sehr schwerwiegenden Sicherheitsfehler hatte und im Gegensatz zu Apple nur sehr langsam auf das Problem reagierte.
ITNews berichtet tDer Softwareentwickler Matthias Gliwka stellte fest, dass Microsoft beim Einrichten einer Sandbox-Testumgebung für Dynamics 365, Microsofts Customer Relationship Manager und Enterprise Resource Planning-Software, ein sogenanntes Wildcard-Transport-Layer-Security-Zertifikat (TLS) beilegte, das einen privaten Schlüssel enthielt. Der exportierte Schlüssel ermöglichte es jedem Hacker, den mit den digitalen Anmeldeinformationen verschlüsselten Datenverkehr zu entschlüsseln und sich als Server auszugeben, wodurch die Kundenkommunikation unentdeckt preisgegeben wurde. Es umfasste auch alle *.sandbox.operations.dynamics.com-Domains (auch für andere Unternehmen), was bedeutet, dass das Zertifikat Zugriff auf alle Dynamics 365-Sandbox-Umgebungen hätte. Sandboxes, die zum Testen verwendet werden, enthalten oft eine vollständige Spiegelung der endgültigen Datenbank.
Natürlich macht jedes Unternehmen Fehler, aber Microsofts langsame Reaktion auf das Problem war der Teil, der wirklich unentschuldbar war. Gliwka meldete die Schwachstelle Mitte August dem Security Response Center (MSRC) von Microsoft, aber Microsoft war der Meinung, dass das Problem nicht „die Messlatte für Sicherheitsdienste“ erfüllt, da es glaubte, dass ein Angreifer Administrator-Anmeldeinformationen benötigen würde. Gliwka unternahm weitere Versuche bis Oktober, als er Microsoft auf Twitter öffentlich zu dem Problem befragte. Erst dann wurde ihm gesagt, dass es bald behoben werden würde.
Trotz dieser Zusicherung widerrief Microsoft das geleakte Dynamics-365-Zertifikat jedoch erst, als im November deutsche Medien eingeschaltet wurden und ein Journalist ein Ticket zu Mozillas Bug-Tracker-System eröffnete.
Microsoft hat die Lösung des Problems erst letzte Woche abgeschlossen, ganze 100 Tage nach dem ersten Bericht.
Wie bereits erwähnt, macht jedes Unternehmen Fehler, aber sie werden nur dann zu Fehlern, wenn Sie sich weigern, sie zu beheben. Angesichts der Tatsache, dass CRM-Datenbanken eine riesige Menge an Daten enthalten, in der Regel von der allgemeinen Öffentlichkeit, scheint eine solch laxe Haltung ziemlich schwer zu entschuldigen, und wir hoffen, dass das Unternehmen in Zukunft besser werden kann.
Lesen Sie mehr Details über das Problem unter Gliwkas Medium-Post hier.
