Microsoft случайно слила TLS-сертификаты Dynamics 365

11 декабря 2017, 13:12

Компания Microsoft случайно оставила TLS-сертификат Dynamics 365, а также закрытый ключ, в публичном доступе. На исправление этой ошибки, согласно обнаружившему ее разработчику потребовалось 100 дней. Маттиас Глика (Matthias Gliwka), разработчик программного обеспечения, обнаружил недочеты в облачной версии ERP-системы компании. Эксперт утверждает, что сертификат TLS лежал в открытом виде в песочнице Dynamics 365, предназначенной для испытаний. В отличие от серверов, предназначенных для разработки и производства, песочница предоставляет администраторам доступ к RDP, и вот где, по словам Глика, «начинается самое интересное». При помощи этого сертификата (который можно экспортировать с помощью довольно простых инструментов), как утверждает разработчик, любая атака «Человек посередине» (man-in-the-middle) может позволить видеть сообщения пользователей, а также изменять этот контент, оставаясь незамеченным. Глика связался с Microsoft 17 августа, чтобы детализировать проблему, однако она была исправлена только 5 декабря.