События

Microsoft допустила утечку закрытого ключа TLS-сертификата для Dynamics 365

Компания Microsoft случайно допустила утечку TLS-сертификата, используемого для MS Dynamics 365, и соответствующего ему закрытого ключа, выяснил немецкий разработчик Маттиас Гливка (Matthias Gliwka) в процессе работы с облачной версией платформы.

Сертификат и ключ были доступны в так называемой «песочнице» Dynamics 365, предназначенной для тестирования приложений на уровне пользователя. В отличие от производственных серверов и серверов для разработки, «песочница» предоставляет администраторам возможность доступа по RDP. Получив доступ к «песочнице», (customername.sandbox.operations.dynamics.com) Гливка обнаружил, что встроенный диспетчер сертификатов содержит действительный TLS-сертификат для *.sandbox.operations.dynamics.com и соответствующий ему закрытый ключ. По его словам, данный сертификат действует для всех «песочниц», даже принадлежащих другим клиентам Microsoft. Сертификат используется для шифрования web-трафика между пользователями и сервером.

Имея доступ к сертификату (который может быть экспортирован при помощи обычных инструментов), злоумышленник получает возможность просматривать коммуникации в незашифрованном виде и скрыто модифицировать контент.

Сразу же после обнаружения уязвимости в августе нынешнего года Гливка предпринял несколько попыток проинформировать Microsoft о проблеме. После череды электронных писем и привлечения к процессу третьих лиц компания все же отреагировала на сообщения разработчика и устранила уязвимость в начале декабря нынешнего года – спустя почти четыре месяца после выявления проблемы.

Microsoft Dynamics 365 – единая платформа бизнес-приложений для планирования ресурсов предприятия (ERP) и управления взаимоотношениями с клиентами (CRM), состоящая из нескольких функциональных модулей.

Источник

Автор: Сергей Куприянов
11.12.2017 (20:07)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.