Microsoft допустила утечку закрытого ключа TLS-сертификата для Dynamics 365

Компания Microsoft случайно допустила утечку TLS-сертификата, используемого для MS Dynamics 365, и соответствующего ему закрытого ключа, выяснил немецкий разработчик Маттиас Гливка (Matthias Gliwka) в процессе работы с облачной версией платформы.

Сертификат и ключ были доступны в так называемой «песочнице» Dynamics 365, предназначенной для тестирования приложений на уровне пользователя. В отличие от производственных серверов и серверов для разработки, «песочница» предоставляет администраторам возможность доступа по RDP. Получив доступ к «песочнице», (customername.sandbox.operations.dynamics.com) Гливка обнаружил, что встроенный диспетчер сертификатов содержит действительный TLS-сертификат для *.sandbox.operations.dynamics.com и соответствующий ему закрытый ключ. По его словам, данный сертификат действует для всех «песочниц», даже принадлежащих другим клиентам Microsoft. Сертификат используется для шифрования web-трафика между пользователями и сервером.

Имея доступ к сертификату (который может быть экспортирован при помощи обычных инструментов), злоумышленник получает возможность просматривать коммуникации в незашифрованном виде и скрыто модифицировать контент.

Сразу же после обнаружения уязвимости в августе нынешнего года Гливка предпринял несколько попыток проинформировать Microsoft о проблеме. После череды электронных писем и привлечения к процессу третьих лиц компания все же отреагировала на сообщения разработчика и устранила уязвимость в начале декабря нынешнего года – спустя почти четыре месяца после выявления проблемы.

Microsoft Dynamics 365 – единая платформа бизнес-приложений для планирования ресурсов предприятия (ERP) и управления взаимоотношениями с клиентами (CRM), состоящая из нескольких функциональных модулей.

Источник