Nielen Apple – Microsoft nechal aj kľúče od svojho kráľovstva odhalené

Domov » Microsoft

Ikona času čítania 2 min. čítať

Ikona kalendára Publikované dňa

by Surur Davids 

publikované dňa

Zdieľajte tento článok

Čítačky pomáhajú podporovať MSpoweruser. Ak nakupujete prostredníctvom našich odkazov, môžeme získať províziu. Ikona popisu

Prečítajte si našu informačnú stránku a zistite, ako môžete pomôcť MSPoweruser udržať redakčný tím Čítaj viac

Nedávno sme uverejnili na počet vážny bezpečnostný problém spoločnosťou Apple čo by umožnilo informovaným ľuďom ľahký prístup k vášmu počítaču alebo dokonca domov.

Ako sa však často stáva, je to len pokušenie osudu, pretože sa ukázalo, že spoločnosť Microsoft mala svoj vlastný veľmi vážny bezpečnostný problém a na rozdiel od spoločnosti Apple na tento problém reagovala veľmi pomaly.

Informuje o tom ITNews tVývojár softvéru hat Matthias Gliwka zistil, že spoločnosť Microsoft zahrnula takzvaný certifikát zabezpečenia transportnej vrstvy (TLS) so zástupnými znakmi, ktorý zahŕňal súkromný kľúč pri nastavovaní testovacieho prostredia sandbox pre Dynamics 365, Microsoft Customer Relationship Manager a Enterprise Resource Planning. Kľúč pri exporte umožnil akémukoľvek hackerovi dešifrovať prenos zakódovaný pomocou digitálnych poverení a odcudziť identitu servera, čím odhalil komunikáciu so zákazníkmi bez toho, aby bol odhalený. Vzťahoval sa aj na všetky domény *.sandbox.operations.dynamics.com (aj pre iné spoločnosti), čo znamená, že certifikát bude mať prístup ku všetkým prostrediam karantény Dynamics 365. Sandboxy používané na testovanie často obsahujú úplné zrkadlo finálnej databázy.

Samozrejme, každá spoločnosť robí chyby, ale pomalá reakcia Microsoftu na problém bola tá časť, ktorá bola skutočne neospravedlniteľná. Gliwka ohlásil zraniteľnosť Centru bezpečnostných reakcií spoločnosti Microsoft (MSRC) v polovici augusta, ale Microsoft si nemyslel, že problém spĺňa „latku pre bezpečnostné služby“, pretože sa domnieval, že útočník bude vyžadovať poverenia správcu. Gliwka robil ďalšie pokusy až do októbra, keď sa na problém verejne spýtal Microsoftu na twitteri. Až potom mu povedali, že sa to čoskoro napraví.

Napriek tomuto ubezpečeniu však Microsoft nezrušil uniknutý certifikát Dynamics 365, kým sa v novembri nezačali angažovať nemecké médiá a novinár otvoril lístok na systém sledovania chýb Mozilly.

Microsoft dokončil riešenie problému len minulý týždeň, celých 100 dní po prvej správe.

Ako už bolo spomenuté, každá spoločnosť robí chyby, ale zmenia sa na chyby, len ak ich odmietnete opraviť. Vzhľadom na to, že databázy CRM obsahujú obrovské množstvo údajov, zvyčajne širokej verejnosti, takýto laxný prístup sa zdá byť dosť ťažko ospravedlniteľný a dúfame, že sa spoločnosti v budúcnosti bude dariť lepšie.

Prečítajte si viac podrobností o probléme na Tu je príspevok Gliwka Medium.

Viac o témach: Dynamics 365, microsoft, zabezpečenia

Surur Davids

Surur Davids Shield

Expert na smartfóny

Surur Davids je zakladateľom WMPoweruser, ktorý sa neskôr stal MSPoweruser.com. Je to odborník na smartfóny s viac ako desaťročnými skúsenosťami.