不只是苹果——微软也暴露了他们王国的钥匙

我们最近发布在 一些 严重的安全混乱 由苹果 这将使知识渊博的人轻松访问您的 PC 甚至家中。

然而，通常情况下，这只是诱人的命运，事实证明，微软有自己非常严重的安全漏洞，而且与苹果不同，他们对这个问题的反应非常缓慢。

ITNews 报道帽子软件开发人员 Matthias Gliwka 发现，在为 Microsoft 的客户关系管理器和企业资源规划软件 Dynamics 365 设置沙盒测试环境时，微软包含了一个所谓的通配符传输层安全 (TLS) 证书，其中包含一个私钥。 导出密钥后，任何黑客都可以解密使用数字凭证加扰的流量并冒充服务器，从而在不被发现的情况下暴露客户通信。 它还涵盖了所有 *.sandbox.operations.dynamics.com 域（即使对于其他公司)，这意味着证书可以访问所有 Dynamics 365 沙盒环境。 用于测试的沙盒通常包含最终数据库的完整镜像。

当然，每家公司都会犯错，但微软对这个问题的反应迟缓才是真正不可原谅的部分。 Gliwka 在 XNUMX 月中旬向微软的安全响应中心 (MSRC) 报告了该漏洞，但微软认为该问题不符合“安全服务的标准”，因为它认为攻击者需要管理员凭据。 Gliwka 做了进一步的尝试，直到 XNUMX 月，他在推特上公开询问微软这个问题。 直到那时他才被告知它将很快修复。

然而，尽管有这样的保证，微软并没有撤销泄露的 Dynamics 365 证书，直到 XNUMX 月德国媒体介入，一名记者在 Mozilla 的错误跟踪系统上开了一张票。

微软上周才完成解决这个问题，距离第一次报告整整 100 天。

如前所述，每家公司都会犯错误，但如果你拒绝修复它们，它们只会变成错误。 鉴于CRM数据库包含大量数据，通常是公众的，这种松懈的态度似乎很难原谅，我们希望公司未来能做得更好。

在以下位置阅读有关该问题的更多详细信息 Gliwka 的中等帖子在这里。