据外媒 12 月 11 日报道,微软意外暴露了一个 Dynamics 365 TLS 证书和私钥,暴露时间至少超过 100 天,这个情况使得沙箱环境被公开,以至于可能导致用户遭受 中间人(MiTM) 攻击。
软件开发人员 Matthias Gliwka 在使用 Microsoft ERP 系统 的云版本时发现了这个问题。据悉,微软于去年开始提供 该 产品。该产品是由 Azure 托管的 SaaS 解决方案,可通过一个全面的控制面板( Life Cycle Services )来访问。
根据 Gliwka 的说法,TLS 证书用于加密用户和服务器之间的 web 通信,若攻击者提取出证书,那么将可以访问任何沙箱环境。相关人员透露,沙箱环境的主机名是customername.sandbox.operations.dynamics.com。
在此次事件中,TLS 证书在用于用户验收测试(也称为“ 沙箱 ”)的 Dynamics 365 沙箱环境中被公开。用户验收的作用是反映生产环境的设置 ,并且提供具有管理功能的 RDP 访问权限。所以通过 RDP 能够访问沙箱环境,从而可以了解微软如何设置一个服务器来承载关键业务应用程序。
据悉,在 Gliwka 向微软反映了这个问题后,微软花了一定时间来解决它。此外,Gliwka 还联系了德国技术自由职业者 Hanno Bock 来获取此次事件的覆盖范围。 据 Gliwka 称, Bock 试图用 Mozilla 的 bug 追踪器提交一个 bug 标签来引发微软的行动。相关人士透露,此次事件已在在 12 月 5 日得到解决。
消息来源:Security Affairs,编译:榆榆,校审:FOX
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接。
请登录后发表评论
注册