Ne samo Apple - Microsoft je tudi pustil razkrite ključe svojega kraljestva

Domov » Microsoft

Ikona časa branja 2 min. prebrati

Ikona koledarja Objavljeno dne

by Surur Davids 

Objavljeno dne

Dajte v skupno rabo ta članek

Bralci pomagajo pri podpori MSpoweruser. Če kupujete prek naših povezav, lahko prejmemo provizijo. Ikona opisa orodja

Preberite našo stran za razkritje, če želite izvedeti, kako lahko pomagate MSPoweruser vzdrževati uredniško skupino Preberi več

Pred kratkim smo objavili na več resne varnostne napake s strani Apple kar bi poznavalcem omogočilo enostaven dostop do vašega računalnika ali celo doma.

Kot se pogosto zgodi, je to le mamljiva usoda, saj se je izkazalo, da je imel Microsoft svojo zelo resno varnostno napako in za razliko od Applea so se na to težavo zelo počasi odzvali.

ITNews poroča that razvijalec programske opreme Matthias Gliwka je ugotovil, da je Microsoft vključil tako imenovano potrdilo o varnosti transportnega sloja z nadomestnimi znaki (TLS), ki je vključevalo zasebni ključ, ko je nastavil testiranje peskovnika za Dynamics 365, Microsoftovo programsko opremo Customer Relationship Manager in Enterprise Resource Planning. Ključ, ko je bil izvožen, je vsakemu hekerju omogočil dešifriranje prometa, kodiranega z digitalno poverilnico, in lažno predstavljanje strežnika, s čimer je razkril komunikacije strank, ne da bi bil zaznan. Zajel je tudi vse domene *.sandbox.operations.dynamics.com (tudi za druga podjetja), kar pomeni, da bi potrdilo imelo dostop do vseh okolij peskovnika Dynamics 365. Peskovniki, ki se uporabljajo za testiranje, pogosto vsebujejo polno ogledalo končne baze podatkov.

Seveda vsako podjetje dela napake, vendar je bil Microsoftov počasen odziv na težavo tisti del, ki je bil res neopravičljiv. Gliwka je o ranljivosti poročal Microsoftovemu varnostnemu odzivnemu centru (MSRC) sredi avgusta, vendar Microsoft ni menil, da je težava dosegla "bar za varnostne storitve", ker je menil, da bo napadalec zahteval skrbniške poverilnice. Gliwka je nadaljeval poskuse do oktobra, ko je Microsoft na twitterju javno vprašal o težavi. Šele takrat so mu povedali, da bo to kmalu popravljeno.

Kljub temu zagotovilu pa Microsoft ni preklical izdanega potrdila Dynamics 365, dokler se novembra niso vključili nemški mediji in je novinar odprl vstopnico za Mozillin sistem za sledenje napak.

Microsoft je težavo rešil šele prejšnji teden, celih 100 dni po prvem poročilu.

Kot smo že omenili, vsako podjetje dela napake, ki pa se spremenijo v napake le, če jih nočeš popraviti. Glede na to, da baze podatkov CRM vsebujejo ogromno podatkov, običajno širše javnosti, se zdi tako ohlapnost precej težko opravičljiva in upamo, da bo podjetje v prihodnosti bolje.

Več podrobnosti o težavi si preberite na Gliwkina srednja objava tukaj.

Več o temah: Dynamics 365, microsoft, varnost

Surur Davids

Surur Davids Shield

Strokovnjak za pametne telefone

Surur Davids je ustanovitelj WMPoweruser, ki je kasneje postal MSPoweruser.com. Je strokovnjak za pametne telefone z več kot desetletnimi izkušnjami.