Non solo Apple: anche Microsoft ha lasciato scoperte le chiavi del loro regno
2 minuto. leggere
Edizione del
Condividi questo articolo
Migliora questa guida
Leggi la nostra pagina informativa per scoprire come puoi aiutare MSPoweruser a sostenere il team editoriale Per saperne di più
Abbiamo pubblicato di recente su un numero di grave problema di sicurezza di Apple che darebbe alle persone esperte un facile accesso al tuo PC o persino a casa.
Come spesso accade, ciò sta solo tentando il destino, tuttavia, poiché si scopre che Microsoft aveva il suo pasticcio di sicurezza molto serio e, a differenza di Apple, è stata molto lenta nel rispondere al problema.
ITNews riporta tLo sviluppatore di software Hat Matthias Gliwka ha scoperto che Microsoft includeva un cosiddetto certificato TLS (Transport Layer Security) con caratteri jolly che includeva una chiave privata durante la configurazione di un ambiente di test sandbox per Dynamics 365, il software Microsoft Customer Relationship Manager e Enterprise Resource Planning. La chiave, una volta esportata, consentiva a qualsiasi hacker di decrittografare il traffico codificato con le credenziali digitali e impersonare il server, esponendo le comunicazioni dei clienti senza essere rilevato. Copreva anche tutti i domini *.sandbox.operations.dynamics.com (anche per altre aziende), il che significa che il certificato avrebbe accesso a tutti gli ambienti sandbox di Dynamics 365. Le sandbox, utilizzate per i test, contengono spesso un mirror completo del database finale.
Naturalmente, ogni azienda commette errori, ma la lenta risposta di Microsoft al problema è stata la parte davvero imperdonabile. Gliwka ha segnalato la vulnerabilità al centro di risposta alla sicurezza (MSRC) di Microsoft a metà agosto, ma Microsoft non pensava che il problema raggiungesse "il limite per i servizi di sicurezza", perché riteneva che un utente malintenzionato avrebbe richiesto credenziali di amministratore. Gliwka ha fatto ulteriori tentativi fino a ottobre, quando ha chiesto pubblicamente a Microsoft su Twitter il problema. Fu solo allora che gli fu detto che sarebbe stato risolto presto.
Nonostante questa assicurazione, tuttavia, Microsoft non ha revocato il certificato Dynamics 365 trapelato fino a quando i media tedeschi non sono stati coinvolti a novembre e un giornalista ha aperto un ticket sul sistema di bug tracker di Mozilla.
Microsoft ha finito di risolvere il problema solo la scorsa settimana, ben 100 giorni dopo il primo rapporto.
Come accennato in precedenza, ogni azienda commette errori, ma si trasformano in errori solo se ti rifiuti di correggerli. Dato che i database CRM contengono un'enorme quantità di dati, solitamente del pubblico in generale, un atteggiamento così rilassato sembra piuttosto difficile da giustificare e speriamo che l'azienda possa fare di meglio in futuro.
Maggiori dettagli sul problema all'indirizzo Il post medio di Gliwka qui.
