TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt
Mit dem TLS-Zertifikat inklusive dem privaten Schlüssel hätten Angreifer Kommunikation von Dynamics-365-Nutzern belauschen können.
(Bild: pixabay)
Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. Darauf ist der Softwareentwickler Matthias Gliwka gestoßen, als er mit der Sandbox-Umgebung von Dynamics 365 arbeitete.
Das TLS-Zertifikat stellt unter anderem eine verschlüsselte Kommunikation von Dynamics-365-Kunden mit den Servern sicher. Ein Angreifer hätte das Zertifikat und den Schlüssel vergleichsweise einfach extrahieren können. Als Man in the Middle hätte er dann die Kommunikation im Klartext mitlesen können. Auch eine Manipulation von Daten wäre vorstellbar gewesen ohne, dass irgendwo Alarmglocken schrillen.
Reaktionszeit: Mehr als 100 Tage
Gliwka zufolge reagierte Microsoft nicht angemessen auf das von ihm am 17. August gemeldete Problem. Erst als er den Sicherheitsforscher Hanno Boeck ins Boot holte und dieser ein Ticket in Mozillas Bug-Tracker wegen des Zertifikats-Problems veröffentlichte, handelte Microsoft am 5. Dezember und sicherte die Schwachstelle ab. (des)
