• IT-Karriere:
  • Services:

Microsoft-Support gibt Bugreporter Nummer der Marine Spill Response Corp

Etwas verzweifelt wandte sich Gliwka an den Support-Chat von Microsoft und fragte, ob man ihm eine Telefonnummer des MSRC - die Abkürzung für Microsoft Security Response Center - geben könne. Er erhielt eine Telefonnummer, die jedoch einer Firma namens "Marine Spill Response Corp" gehört - abgekürzt ebenfalls MSRC. Mit Microsoft hat diese Firma nichts zu tun, sie kümmert sich um Unfälle in der Ölindustrie.

Stellenmarkt
  1. Bechtle Onsite Services GmbH, Neckarsulm
  2. BEHG HOLDING AG, Berlin

Letztendlich wandte sich Gliwka an Golem.de, in der Hoffnung, dadurch mehr Aufmerksamkeit für das Problem zu bekommen. Laut den Regeln für Zertifizierungsstellen, den sogenannten Baseline Requirements, sollen Zertifikate, deren private Schlüssel kompromittiert sind, innerhalb von 24 Stunden zurückgezogen werden. Der Autor dieses Textes meldete das Problem via Bugtracker an Mozilla und informierte auch einen Chrome-Entwickler und einen Vertreter von Digicert.

Microsoft betreibt keine eigene Root-Zertifizierungsstelle, die Microsoft-Zertifikate sind indirekt von Digicert signiert. Damit ist Digicert indirekt auch für das Zurückziehen mit zuständig.

Als Mozilla sich einschaltet, geht alles plötzlich ganz schnell

Dadurch kam Bewegung in die Sache. Vertreter von Mozilla nahmen direkt mit Microsoft Kontakt auf. Innerhalb von wenigen Tagen wurden beide Wildcard-Zertifikate zurückgezogen. Künftig soll jede Instanz von Dynamics 365 ein eigenes Zertifikat mit eigenem privaten Schlüssel erhalten.

Auf unsere Anfrage hin teilte Microsoft mit, dass ein Extrahieren des Zertifikats auf der Produktivinstanz nicht möglich gewesen wäre, da dort kein Remote-Desktop-Protocol-Zugriff möglich sei. Man kann auf den Dynamics-365-Instanzen auch eigene Softwaremodule installieren, doch Microsoft teilte uns mit, dass es auch damit nicht möglich sei, den privaten Schlüssel zu extrahieren, da diese Softwaremodule nicht die entsprechenden Rechte hätten.

Doch selbst wenn man den privaten Schlüssel nicht extrahieren kann, wäre das möglicherweise ein Sicherheitsproblem. Ein Angreifer könnte einen Kunden beispielsweise von einer Instanz auf eine andere weiterleiten, weil das Zertifikat ja für alle Instanzen gilt. Somit könnte man eventuell jemanden dazu bewegen, interne Firmendaten in eine fremde Instanz von Dynamics 365 einzugeben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Dynamics 365: Microsoft verteilt privaten Schlüssel an alle Kunden
  1.  
  2. 1
  3. 2


Anzeige
Spiele-Angebote
  1. 23,99€
  2. 31,99€
  3. 16,99€

quark2017 13. Dez 2017

Und was tut ihr bzw. dein Unternehmen, wenn der Nutzer keinen Speicherdump mitschickt...

nobs 11. Dez 2017

Nun warte ich nur noch auf den Beweis dass auch das kein Schutz ist. Aber wie schön dass...

SirJoan83 09. Dez 2017

...der Typ erst alle möglichen Stellen kontaktiert (sogar eine Ölfirma) und ganz am...

Avarion 08. Dez 2017

Nicht zwingend. Ich kenne Leute die sogar regelmässig Trail sagen obwohl sie Trial meinen.

delphi 08. Dez 2017

Falls mal jemand Bedarf haben sollte: Die E-Mail-Adresse des MSRC und den dazugehörigen...


Folgen Sie uns
       


Beoplay H95 im Test: Toller Klang, aber für 800 Euro zu schwache ANC-Leistung
Beoplay H95 im Test
Toller Klang, aber für 800 Euro zu schwache ANC-Leistung

Der Beoplay H95 ist ein ANC-Kopfhörer mit einem tollen Klang. Aber wer dafür viel Geld ausgibt, muss sich mit einigen Kompromissen abfinden.
Ein Test von Ingo Pakalski


    MX Anywhere 3 im Test: Logitechs flache Maus bietet viel Komfort
    MX Anywhere 3 im Test
    Logitechs flache Maus bietet viel Komfort

    Die MX Anywhere 3 gefällt uns etwas besser als Logitechs älteres Mausmodell, das gilt aber nicht für jeden Einsatzzweck.
    Ein Test von Ingo Pakalski

    1. MK295 Logitech macht preisgünstige Tastatur-Maus-Kombo leiser
    2. G915 TKL im Test Logitechs perfekte Tastatur braucht keinen Nummernblock
    3. Logitech Mechanische Tastatur verzichtet auf Kabel und Nummernblock

    Core i7-1185G7 (Tiger Lake) im Test: Gut gebrüllt, Intel
    Core i7-1185G7 (Tiger Lake) im Test
    Gut gebrüllt, Intel

    Dank vier äußerst schneller CPU-Kerne und überraschend flotter iGPU gibt Tiger Lake verglichen zu AMDs Ryzen 4000 eine gute Figur ab.
    Ein Test von Marc Sauter

    1. Tiger Lake Überblick zu Intels 11th-Gen-Laptops
    2. Project Athena 2.0 Evo-Ultrabooks gibt es nur mit Windows 10
    3. Ultrabook-Chip Das kann Intels Tiger Lake

      •  /