Nie tylko Apple — Microsoft również wystawił klucze do swojego królestwa

Strona główna » Microsoft

Ikona czasu czytania 2 minuta. czytać

Ikona kalendarza Opublikowany

by Surura Davidsa 

opublikowane w dniu

Udostępnij ten artykuł

Czytelnicy pomagają wspierać MSpoweruser. Możemy otrzymać prowizję, jeśli dokonasz zakupu za pośrednictwem naszych linków. Ikona podpowiedzi

Przeczytaj naszą stronę z informacjami, aby dowiedzieć się, jak możesz pomóc MSPoweruser w utrzymaniu zespołu redakcyjnego Czytaj więcej

Ostatnio opublikowaliśmy Ilość poważny problem bezpieczeństwa przez Apple co dałoby kompetentnym osobom łatwy dostęp do komputera, a nawet domu.

Jak to często bywa, kusi los, ponieważ okazuje się, że Microsoft miał swoją bardzo poważną lukę w zabezpieczeniach i w przeciwieństwie do Apple'a bardzo wolno reagował na ten problem.

Raporty ITNews tMatthias Gliwka, twórca oprogramowania kapeluszowego, odkrył, że podczas konfigurowania środowiska testowego piaskownicy dla Dynamics 365, menedżera relacji z klientami firmy Microsoft i oprogramowania do planowania zasobów przedsiębiorstwa Microsoft dołączył tak zwany certyfikat TLS (ang. wildcard transport layer security), który zawierał klucz prywatny. Wyeksportowany klucz umożliwiał każdemu hakerowi odszyfrowanie ruchu zaszyfrowanego za pomocą cyfrowych danych uwierzytelniających i podszywanie się pod serwer, ujawniając komunikację klienta bez wykrycia. Objęła również wszystkie domeny *.sandbox.operations.dynamics.com (nawet dla innych firm), co oznacza, że ​​certyfikat miałby dostęp do wszystkich środowisk piaskownicy Dynamics 365. Piaskownice, używane do testowania, często zawierają pełne lustrzane odbicie ostatecznej bazy danych.

Oczywiście każda firma popełnia błędy, ale powolna reakcja Microsoftu na ten problem była tą częścią, która była naprawdę niewybaczalna. Gliwka zgłosiła lukę w centrum reagowania Microsoft (MSRC) w połowie sierpnia, ale Microsoft sądził, że problem nie spełnił „poziomu obsługi bezpieczeństwa”, ponieważ uważał, że atakujący będzie wymagał poświadczeń administratora. Gliwka podejmował kolejne próby aż do października, kiedy to publicznie zapytał Microsoft na Twitterze o problem. Dopiero wtedy powiedziano mu, że wkrótce zostanie naprawiony.

Jednak pomimo tego zapewnienia Microsoft nie unieważnił ujawnionego certyfikatu Dynamics 365, dopóki w listopadzie w to nie zaangażowały się niemieckie media, a dziennikarz otworzył zgłoszenie do systemu śledzenia błędów Mozilli.

Microsoft zakończył rozwiązywanie problemu dopiero w zeszłym tygodniu, pełne 100 dni po pierwszym raporcie.

Jak wspomniano wcześniej, każda firma popełnia błędy, ale zmieniają się one w błędy tylko wtedy, gdy odmówisz ich naprawienia. Biorąc pod uwagę, że bazy danych CRM zawierają ogromną ilość danych, zwykle ogółu społeczeństwa, takie pobłażliwe podejście wydaje się raczej trudne do usprawiedliwienia i mamy nadzieję, że w przyszłości firma może radzić sobie lepiej.

Przeczytaj więcej szczegółów na temat problemu na Średni post Gliwki tutaj.

Więcej na tematy: Dynamics 365, Microsoft, bezpieczeństwo

Surura Davidsa

Surura Davidsa Tarcza

Ekspert od smartfonów

Surur Davids jest założycielem WMPoweruser, który później stał się MSPoweruser.com. Jest ekspertem w dziedzinie smartfonów z ponad dziesięcioletnim doświadczeniem.