Не только Apple — Microsoft также оставила открытыми ключи от своего королевства.
2 минута. читать
Опубликовано
Поделиться этой статьей
Улучшите это руководство
Прочтите нашу страницу раскрытия информации, чтобы узнать, как вы можете помочь MSPoweruser поддержать редакционную команду. Читать далее
Недавно мы разместили на некоторое количество серьезные проблемы с безопасностью от Apple что дало бы знающим людям легкий доступ к вашему ПК или даже к дому.
Однако, как это часто бывает, это просто искушение судьбы, как оказалось, у Microsoft была своя очень серьезная проблема с безопасностью, и, в отличие от Apple, они очень медленно реагировали на проблему.
Об этом сообщает ITNews.Разработчик программного обеспечения Матиас Гливка обнаружил, что Microsoft включила так называемый групповой сертификат безопасности транспортного уровня (TLS), который включал закрытый ключ, при настройке среды тестирования песочницы для Dynamics 365, Microsoft Customer Relationship Manager и программного обеспечения для планирования ресурсов предприятия. Ключ при экспорте позволял любому хакеру расшифровывать трафик, зашифрованный с помощью цифровых учетных данных, и выдавать себя за сервер, раскрывая сообщения клиентов, не будучи обнаруженным. Он также охватывает все домены *.sandbox.operations.dynamics.com (даже для других компаний), что означает, что сертификат будет иметь доступ ко всем средам песочницы Dynamics 365. Песочницы, используемые для тестирования, часто содержат полное зеркало окончательной базы данных.
Конечно, каждая компания совершает ошибки, но медленная реакция Microsoft на проблему была действительно непростительной. Gliwka сообщил об уязвимости в центр реагирования Microsoft (MSRC) в середине августа, но Microsoft не думала, что проблема соответствует «планке обслуживания безопасности», поскольку считала, что злоумышленнику потребуются учетные данные администратора. Гливка предпринимал дальнейшие попытки до октября, когда он публично спросил Microsoft в Твиттере о проблеме. Только тогда ему сказали, что это скоро будет исправлено.
Однако, несмотря на это заверение, Microsoft не отзывала просочившийся сертификат Dynamics 365 до тех пор, пока в ноябре к делу не подключились немецкие СМИ, и журналист не открыл тикет в системе отслеживания ошибок Mozilla.
Microsoft завершила решение проблемы только на прошлой неделе, спустя целых 100 дней после первого сообщения.
Как упоминалось ранее, каждая компания допускает ошибки, но они превращаются в ошибки только в том случае, если вы отказываетесь их исправлять. Учитывая, что базы данных CRM содержат огромное количество данных, как правило, общедоступных, такое небрежное отношение кажется довольно сложным для оправдания, и мы надеемся, что в будущем компания сможет добиться большего успеха.
Подробнее о проблеме читайте на Сообщение Gliwka на Medium здесь.
