Abo
  • Services:

Microsoft-Support gibt Bugreporter Nummer der Marine Spill Response Corp

Etwas verzweifelt wandte sich Gliwka an den Support-Chat von Microsoft und fragte, ob man ihm eine Telefonnummer des MSRC - die Abkürzung für Microsoft Security Response Center - geben könne. Er erhielt eine Telefonnummer, die jedoch einer Firma namens "Marine Spill Response Corp" gehört - abgekürzt ebenfalls MSRC. Mit Microsoft hat diese Firma nichts zu tun, sie kümmert sich um Unfälle in der Ölindustrie.

Stellenmarkt
  1. BIOTRONIK SE & Co. KG, Berlin
  2. Robert Bosch GmbH, Stuttgart

Letztendlich wandte sich Gliwka an Golem.de, in der Hoffnung, dadurch mehr Aufmerksamkeit für das Problem zu bekommen. Laut den Regeln für Zertifizierungsstellen, den sogenannten Baseline Requirements, sollen Zertifikate, deren private Schlüssel kompromittiert sind, innerhalb von 24 Stunden zurückgezogen werden. Der Autor dieses Textes meldete das Problem via Bugtracker an Mozilla und informierte auch einen Chrome-Entwickler und einen Vertreter von Digicert.

Microsoft betreibt keine eigene Root-Zertifizierungsstelle, die Microsoft-Zertifikate sind indirekt von Digicert signiert. Damit ist Digicert indirekt auch für das Zurückziehen mit zuständig.

Als Mozilla sich einschaltet, geht alles plötzlich ganz schnell

Dadurch kam Bewegung in die Sache. Vertreter von Mozilla nahmen direkt mit Microsoft Kontakt auf. Innerhalb von wenigen Tagen wurden beide Wildcard-Zertifikate zurückgezogen. Künftig soll jede Instanz von Dynamics 365 ein eigenes Zertifikat mit eigenem privaten Schlüssel erhalten.

Auf unsere Anfrage hin teilte Microsoft mit, dass ein Extrahieren des Zertifikats auf der Produktivinstanz nicht möglich gewesen wäre, da dort kein Remote-Desktop-Protocol-Zugriff möglich sei. Man kann auf den Dynamics-365-Instanzen auch eigene Softwaremodule installieren, doch Microsoft teilte uns mit, dass es auch damit nicht möglich sei, den privaten Schlüssel zu extrahieren, da diese Softwaremodule nicht die entsprechenden Rechte hätten.

Doch selbst wenn man den privaten Schlüssel nicht extrahieren kann, wäre das möglicherweise ein Sicherheitsproblem. Ein Angreifer könnte einen Kunden beispielsweise von einer Instanz auf eine andere weiterleiten, weil das Zertifikat ja für alle Instanzen gilt. Somit könnte man eventuell jemanden dazu bewegen, interne Firmendaten in eine fremde Instanz von Dynamics 365 einzugeben.

 Dynamics 365: Microsoft verteilt privaten Schlüssel an alle Kunden
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. Jetzt für 150 EUR kaufen und 75 EUR sparen
  2. (heute u. a. Aerocool P7-C1 Pro 99,90€, Asus ROG-Notebook 949,00€, Logitech G903 Maus 104,90€)

quark2017 13. Dez 2017

Und was tut ihr bzw. dein Unternehmen, wenn der Nutzer keinen Speicherdump mitschickt...

nobs 11. Dez 2017

Nun warte ich nur noch auf den Beweis dass auch das kein Schutz ist. Aber wie schön dass...

SirJoan83 09. Dez 2017

...der Typ erst alle möglichen Stellen kontaktiert (sogar eine Ölfirma) und ganz am...

Avarion 08. Dez 2017

Nicht zwingend. Ich kenne Leute die sogar regelmässig Trail sagen obwohl sie Trial meinen.

delphi 08. Dez 2017

Falls mal jemand Bedarf haben sollte: Die E-Mail-Adresse des MSRC und den dazugehörigen...


Folgen Sie uns
       


BMW stellt seinen Formel-E-Rennwagen vor - Bericht

BMW setzt auf elektrischen Motorsport: Die Münchener treten als zweiter deutscher Autohersteller in der Rennserie Formel E an. BMW hat in München das Fahrzeug für die Saison 2018/19 vorgestellt.

BMW stellt seinen Formel-E-Rennwagen vor - Bericht Video aufrufen
Norsepower: Stahlsegel helfen der Umwelt und sparen Treibstoff
Norsepower
Stahlsegel helfen der Umwelt und sparen Treibstoff

Der erste Test war erfolgreich: Das finnische Unternehmen Norsepower hat zwei weitere Schiffe mit Rotorsails ausgestattet. Der erste Neubau mit dem Windhilfsantrieb ist in Planung. Neue Regeln der Seeschifffahrtsorganisation könnten bewirken, dass künftig mehr Schiffe saubere Antriebe bekommen.
Ein Bericht von Werner Pluta

  1. Car2X Volkswagen will Ampeln zuhören
  2. Innotrans Die Schiene wird velosicher
  3. Logistiktram Frankfurt liefert Pakete mit Straßenbahn aus

Neuer Kindle Paperwhite im Hands On: Amazons wasserdichter E-Book-Reader mit planem Display
Neuer Kindle Paperwhite im Hands On
Amazons wasserdichter E-Book-Reader mit planem Display

Amazon bringt einen neuen Kindle Paperwhite auf den Markt und verbessert viel. Der E-Book-Reader steckt in einem wasserdichten Gehäuse, hat eine plane Displayseite, mehr Speicher und wir können damit Audible-Hörbücher hören. Noch nie gab es so viel Kindle-Leistung für so wenig Geld.
Ein Hands on von Ingo Pakalski


    Mate 20 Pro im Hands on: Huawei bringt drei Brennweiten und mehr für 1.000 Euro
    Mate 20 Pro im Hands on
    Huawei bringt drei Brennweiten und mehr für 1.000 Euro

    Huawei hat mit dem Mate 20 Pro seine Dreifachkamera überarbeitet: Der monochrome Sensor ist einer Ultraweitwinkelkamera gewichen. Gleichzeitig bietet das Smartphone zahlreiche technische Extras wie einen Fingerabdrucksensor unter dem Display und einen sehr leistungsfähigen Schnelllader.
    Ein Hands on von Tobias Költzsch

    1. Keine Spionagepanik Regierung wird chinesische 5G-Ausrüster nicht ausschließen
    2. Watch GT Huawei bringt Smartwatch ohne Wear OS auf den Markt
    3. Ascend 910/310 Huaweis AI-Chips sollen Google und Nvidia schlagen

      •  /