Không chỉ Apple- Microsoft cũng để lộ chìa khóa vương quốc của họ
2 phút đọc
Được đăng trên
Đọc trang tiết lộ của chúng tôi để tìm hiểu cách bạn có thể giúp MSPoweruser duy trì nhóm biên tập Tìm hiểu thêm
Chúng tôi đã đăng gần đây trên một số vấn đề an ninh nghiêm trọng của Apple điều này sẽ giúp những người hiểu biết dễ dàng truy cập vào PC của bạn hoặc thậm chí là ở nhà.
Tuy nhiên, như thường lệ, đó chỉ là sự cám dỗ của số phận, vì hóa ra Microsoft có lỗ hổng bảo mật rất nghiêm trọng của riêng mình và không giống như Apple, họ phản ứng rất chậm với vấn đề này.
ITNews đưa tin tnhà phát triển phần mềm Matthias Gliwka nhận thấy Microsoft đã đưa vào cái gọi là chứng chỉ bảo mật lớp vận chuyển ký tự đại diện (TLS) bao gồm khóa riêng khi thiết lập môi trường thử nghiệm hộp cát cho Dynamics 365, Trình quản lý quan hệ khách hàng và phần mềm Lập kế hoạch nguồn lực doanh nghiệp của Microsoft. Khóa khi được xuất ra cho phép bất kỳ hacker nào giải mã lưu lượng truy cập được xáo trộn bằng thông tin xác thực kỹ thuật số và mạo danh máy chủ, làm lộ thông tin liên lạc của khách hàng mà không bị phát hiện. Nó cũng bao gồm tất cả các miền *.sandbox.Operations.dynamics.com (ngay cả đối với các công ty khác), nghĩa là chứng chỉ sẽ có quyền truy cập vào tất cả môi trường hộp cát Dynamics 365. Hộp cát, được sử dụng để thử nghiệm, thường chứa bản sao đầy đủ của cơ sở dữ liệu cuối cùng.
Tất nhiên, mọi công ty đều mắc sai lầm, nhưng phản ứng chậm chạp của Microsoft đối với vấn đề này là một phần thực sự không thể tha thứ được. Gliwka đã báo cáo lỗ hổng này cho trung tâm phản hồi bảo mật (MSRC) của Microsoft vào giữa tháng 8 nhưng Microsoft không cho rằng vấn đề này đáp ứng được “tiêu chuẩn phục vụ bảo mật” vì họ tin rằng kẻ tấn công sẽ yêu cầu thông tin xác thực của quản trị viên. Gliwka đã nỗ lực hơn nữa cho đến tháng 10, khi anh công khai hỏi Microsoft trên Twitter về vấn đề này. Chỉ đến lúc đó anh mới được thông báo rằng nó sẽ sớm được sửa chữa.
Tuy nhiên, bất chấp sự đảm bảo này, Microsoft đã không thu hồi chứng chỉ Dynamics 365 bị rò rỉ cho đến khi truyền thông Đức vào cuộc vào tháng XNUMX và một nhà báo đã mở một vé trên hệ thống theo dõi lỗi của Mozilla.
Microsoft chỉ mới giải quyết xong vấn đề vào tuần trước, tròn 100 ngày sau báo cáo đầu tiên.
Như đã đề cập trước đó, công ty nào cũng mắc lỗi, nhưng chúng chỉ trở thành sai sót nếu bạn từ chối sửa chữa. Do cơ sở dữ liệu CRM chứa một lượng lớn dữ liệu, thường là của công chúng, thái độ lỏng lẻo như vậy có vẻ khó bào chữa và chúng tôi hy vọng công ty có thể làm tốt hơn trong tương lai.
Đọc thêm chi tiết về vấn đề tại Bài đăng trên Medium của Gliwka tại đây.
Diễn đàn người dùng
Tin nhắn 0