Microsoft-Support gibt Bugreporter Nummer der Marine Spill Response Corp

Etwas verzweifelt wandte sich Gliwka an den Support-Chat von Microsoft und fragte, ob man ihm eine Telefonnummer des MSRC - die Abkürzung für Microsoft Security Response Center - geben könne. Er erhielt eine Telefonnummer, die jedoch einer Firma namens "Marine Spill Response Corp" gehört - abgekürzt ebenfalls MSRC. Mit Microsoft hat diese Firma nichts zu tun, sie kümmert sich um Unfälle in der Ölindustrie.

Stellenmarkt
  1. (Senior) Project Manager für Android- oder iOS-Applikationen (m/w/d)
    ALDI International Services SE & Co. oHG, Mülheim an der Ruhr
  2. SAP Treasury Software Engineer (m/w/d)
    Allianz Technology SE, Stuttgart, Unterföhring (bei München)
Detailsuche

Letztendlich wandte sich Gliwka an Golem.de, in der Hoffnung, dadurch mehr Aufmerksamkeit für das Problem zu bekommen. Laut den Regeln für Zertifizierungsstellen, den sogenannten Baseline Requirements, sollen Zertifikate, deren private Schlüssel kompromittiert sind, innerhalb von 24 Stunden zurückgezogen werden. Der Autor dieses Textes meldete das Problem via Bugtracker an Mozilla und informierte auch einen Chrome-Entwickler und einen Vertreter von Digicert.

Microsoft betreibt keine eigene Root-Zertifizierungsstelle, die Microsoft-Zertifikate sind indirekt von Digicert signiert. Damit ist Digicert indirekt auch für das Zurückziehen mit zuständig.

Als Mozilla sich einschaltet, geht alles plötzlich ganz schnell

Dadurch kam Bewegung in die Sache. Vertreter von Mozilla nahmen direkt mit Microsoft Kontakt auf. Innerhalb von wenigen Tagen wurden beide Wildcard-Zertifikate zurückgezogen. Künftig soll jede Instanz von Dynamics 365 ein eigenes Zertifikat mit eigenem privaten Schlüssel erhalten.

Golem Karrierewelt
  1. C++ Programmierung Grundlagen (keine Vorkenntnisse benötigt): virtueller Drei-Tage-Workshop
    27.02.-01.03.2023, virtuell
  2. Container Management und Orchestrierung: virtueller Drei-Tage-Workshop
    06.-08.03.2023, Virtuell
Weitere IT-Trainings

Auf unsere Anfrage hin teilte Microsoft mit, dass ein Extrahieren des Zertifikats auf der Produktivinstanz nicht möglich gewesen wäre, da dort kein Remote-Desktop-Protocol-Zugriff möglich sei. Man kann auf den Dynamics-365-Instanzen auch eigene Softwaremodule installieren, doch Microsoft teilte uns mit, dass es auch damit nicht möglich sei, den privaten Schlüssel zu extrahieren, da diese Softwaremodule nicht die entsprechenden Rechte hätten.

Doch selbst wenn man den privaten Schlüssel nicht extrahieren kann, wäre das möglicherweise ein Sicherheitsproblem. Ein Angreifer könnte einen Kunden beispielsweise von einer Instanz auf eine andere weiterleiten, weil das Zertifikat ja für alle Instanzen gilt. Somit könnte man eventuell jemanden dazu bewegen, interne Firmendaten in eine fremde Instanz von Dynamics 365 einzugeben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Dynamics 365: Microsoft verteilt privaten Schlüssel an alle Kunden
  1.  
  2. 1
  3. 2


quark2017 13. Dez 2017

Und was tut ihr bzw. dein Unternehmen, wenn der Nutzer keinen Speicherdump mitschickt...

nobs 11. Dez 2017

Nun warte ich nur noch auf den Beweis dass auch das kein Schutz ist. Aber wie schön dass...

SirJoan83 09. Dez 2017

...der Typ erst alle möglichen Stellen kontaktiert (sogar eine Ölfirma) und ganz am...

Avarion 08. Dez 2017

Nicht zwingend. Ich kenne Leute die sogar regelmässig Trail sagen obwohl sie Trial meinen.



Aktuell auf der Startseite von Golem.de
Morgan Stanley
Bank reicht Whatsapp-Millionen-Strafe an Angestellte weiter

Wegen der Nutzung von Whatsapp hatten Finanzregulatoren 2022 mehrere Banken mit hohen Strafen belegt.

Morgan Stanley: Bank reicht Whatsapp-Millionen-Strafe an Angestellte weiter
Artikel
  1. Mac Mini mit M2 Pro im Test: Der perfekte Einstieg in die Mac-Welt
    Mac Mini mit M2 Pro im Test
    Der perfekte Einstieg in die Mac-Welt

    In vielen Anwendungsszenarien kann der M2 Pro im Mac Mini mit dem M2 Max mithalten. Der Umstieg auf MacOS fällt so leicht wie nie zuvor.
    Ein Test von Oliver Nickel

  2. Consumer Reports: Teslas Autopilot im Vergleich nur im Mittelfeld
    Consumer Reports
    Teslas Autopilot im Vergleich nur im Mittelfeld

    Consumer Reports hat Fahrassistenzsysteme von Autos getestet. Anders als vor drei Jahren hat Tesla nur einen Platz im Mittelfeld erhalten.

  3. Galaxus: Onlinehändler macht Retouren- und Garantiequoten öffentlich
    Galaxus
    Onlinehändler macht Retouren- und Garantiequoten öffentlich

    Je mehr Informationen zu einem Produkt bekannt sind, desto besser lässt sich eine Kaufentscheidung fällen. Hierbei will Galaxus mit exklusiven Daten helfen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • XFX RX 7900 XTX 1.199€ • WSV bei MM • Razer Viper V2 Pro 119,99€ • MindStar: XFX RX 6950 XT 799€, MSI RTX 4090 1.889€ • Epos Sennheiser Game One -55% • RAM/Graka-Preisrutsch • Gaming-Stuhl Razer/HP bis -41% • 3D-Drucker 249€ • Kingston SSD 1TB 49€ • Asus RTX 4080 1.399€[Werbung]
    •  /