MSI Assassins Bundle

Microsoft veröffentlicht TLS-Zertifikat mitsamt des privaten Schlüssels

reported by doelf, Dienstag der 12.12.2017, 14:55:35 Uhr

Am 14. August 2017 machte der Software-Entwickler Matthias Gliwka eine unglaubliche Entdeckung: Im Zertifikat-Manager seiner Sandbox-Testumgebung von Microsoft Dynamics 365 for Finance and Operations stand - für jedermann klar sichtbar - ein gültiges TLS-Zertifikat für die Wildcard-Domain *.sandbox.operations.dynamics.com nebst des zugehörigen privaten Schlüssels. Auf dem Silbertablett serviert von Microsoft selbst!

Microsoft erkennt die Gefahr nicht
Und dieses Zertifikat funktioniert mit allen auf Azure gehosteten Sandbox-Umgebungen von Microsoft Dynamics 365 for Finance and Operations - also auch mit jenen, die dort für andere Microsoft-Kunden gehostet werden. Mit diesem Zertifikat wird die gesamte Kommunikation zwischen Microsofts Cloud-Server und den Kunden verschlüsselt. Dass jeder mit Zugriff auf eine dieser Sandbox-Umgebungen den Generalschlüssel für alle anderen erhält, fällt eigentlich in die Kategorie Mega-Fail, doch Microsofts Security Response Center erklärte in einer Antwort vom 22. August 2017 lapidar, dass die Latte für eine echte Sicherheitslücke wesentlich höher hänge. Erstaunlich!

Risiko Testumgebung
Offenbar war man bei Microsoft der Ansicht, dass diese Testumgebungen keines besonderen Schutzes bedürfen. Doch die meisten Unternehmen führen praxisnahe Tests mit ihren echten Unternehmensdaten durch. Microsoft bietet hierfür sogar eine Importfunktion an, welche die Daten aus der Produktivumgebung in die Testumgebung kopiert. Mit Hilfe des Zertifikats und des privaten Schlüssels kann ein Angreifer in einer privilegierten Netzwerkposition vortäuschen, der Cloud-Sever zu sein. Der Angreifer kann dann alle Daten unverschlüsselt mitlesen, manipulieren und anschließend an den echten Cloud-Server weiterleiten. Und die Unternehmen, die Microsoft Dynamics 365 for Finance and Operations einsetzen, sind äußerst attraktive Ziele!

Der lange Weg zum Fix
Lediglich der Zertifikat-Manager stand einem Missbrauch im Weg, denn dieser verweigert den Export des privaten Schlüssels. Da es aber keine generelle Sperre gab, reichten ein paar Zeilen C++ Code aus, um den privaten Schlüssel doch noch zu exportieren. Gliwka ließ daher nicht locker, auch wenn sich Microsofts Security Response Center alle Mühe gab, seine E-Mails zu verlieren. Doch erst als Gliwka den deutschen Journalisten Hanno Böck - hier sein Bericht auf Golem - kontaktierte und sich dieser den Weg über Microsofts PR-Abteilung einschlug, kam Bewegung in die Sache. Am 5. Dezember 2017, also dreieinhalb Monate nach der ersten Fehlermeldung, wurde die Sicherheitslücke endlich gestopft und die unsicheren Zertifikate widerrufen. Was für ein Hyper-Giga-Mega-Fail!

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]