Microsoft lekte tls-privésleutel voor cloud ERP-oplossing

[Captain Kirk]

Microsoft heeft eerder dit jaar de tls-privésleutel voor een cloud ERP-oplossing gelekt, waardoor het mogelijk was om gebruikers van de software aan te vallen, zo laat Matthias Gliwka weten. Microsoft Dynamics 365 for Finance and Operations helpt organisaties en bedrijven bij allerlei bedrijfskritische processen, zoals inkoop, productie, verkoop, productplanning en financiën, en wordt door Microsoft in de Azure-cloud gehost.

Gliwka werkte voor een bedrijf dat met Microsoft Dynamics werkt en besloot via RDP op een installatie van de ERP-software in te loggen. Tot zijn grote verbazing ontdekte hij in de certificaatmanager het geldige tls-certificaat en bijbehorende privésleutel. Het bleek om een wildcard-certificaat te gaan dat voor alle klantomgevingen kon worden gebruikt. Via het certificaat wordt een versleutelde verbinding tussen gebruikers van de ERP-software en de server opgezet. Met het gelekte certificaat en de privésleutel had een aanvaller tussen een gebruiker en de server een man-in-the-middle-aanval kunnen uitvoeren.

Gliwka besloot Microsoft halverwege augustus te informeren, maar dit bleek een lastig proces. Pas toen er eind november een ticket bij Mozilla werd geopend omdat Microsoft het certificaat niet had ingetrokken, terwijl certificaatautoriteiten dit volgens de regels wel horen te doen, kwam er beweging in de zaak. Afgelopen dinsdag, meer dan 100 dagen na de eerste melding, liet Microsoft weten dat het certificaat was ingetrokken en er nu voor alle klantomgevingen een apart certificaat wordt gebruikt.

 

 

bron: security.nl