Abo
  • Services:

Microsoft-Support gibt Bugreporter Nummer der Marine Spill Response Corp

Etwas verzweifelt wandte sich Gliwka an den Support-Chat von Microsoft und fragte, ob man ihm eine Telefonnummer des MSRC - die Abkürzung für Microsoft Security Response Center - geben könne. Er erhielt eine Telefonnummer, die jedoch einer Firma namens "Marine Spill Response Corp" gehört - abgekürzt ebenfalls MSRC. Mit Microsoft hat diese Firma nichts zu tun, sie kümmert sich um Unfälle in der Ölindustrie.

Stellenmarkt
  1. M-net Telekommunikations GmbH, München
  2. McService GmbH, München

Letztendlich wandte sich Gliwka an Golem.de, in der Hoffnung, dadurch mehr Aufmerksamkeit für das Problem zu bekommen. Laut den Regeln für Zertifizierungsstellen, den sogenannten Baseline Requirements, sollen Zertifikate, deren private Schlüssel kompromittiert sind, innerhalb von 24 Stunden zurückgezogen werden. Der Autor dieses Textes meldete das Problem via Bugtracker an Mozilla und informierte auch einen Chrome-Entwickler und einen Vertreter von Digicert.

Microsoft betreibt keine eigene Root-Zertifizierungsstelle, die Microsoft-Zertifikate sind indirekt von Digicert signiert. Damit ist Digicert indirekt auch für das Zurückziehen mit zuständig.

Als Mozilla sich einschaltet, geht alles plötzlich ganz schnell

Dadurch kam Bewegung in die Sache. Vertreter von Mozilla nahmen direkt mit Microsoft Kontakt auf. Innerhalb von wenigen Tagen wurden beide Wildcard-Zertifikate zurückgezogen. Künftig soll jede Instanz von Dynamics 365 ein eigenes Zertifikat mit eigenem privaten Schlüssel erhalten.

Auf unsere Anfrage hin teilte Microsoft mit, dass ein Extrahieren des Zertifikats auf der Produktivinstanz nicht möglich gewesen wäre, da dort kein Remote-Desktop-Protocol-Zugriff möglich sei. Man kann auf den Dynamics-365-Instanzen auch eigene Softwaremodule installieren, doch Microsoft teilte uns mit, dass es auch damit nicht möglich sei, den privaten Schlüssel zu extrahieren, da diese Softwaremodule nicht die entsprechenden Rechte hätten.

Doch selbst wenn man den privaten Schlüssel nicht extrahieren kann, wäre das möglicherweise ein Sicherheitsproblem. Ein Angreifer könnte einen Kunden beispielsweise von einer Instanz auf eine andere weiterleiten, weil das Zertifikat ja für alle Instanzen gilt. Somit könnte man eventuell jemanden dazu bewegen, interne Firmendaten in eine fremde Instanz von Dynamics 365 einzugeben.

 Dynamics 365: Microsoft verteilt privaten Schlüssel an alle Kunden
  1.  
  2. 1
  3. 2


Anzeige
Spiele-Angebote
  1. 2,99€
  2. 4,99€
  3. (-46%) 24,99€
  4. 5,99€

quark2017 13. Dez 2017

Und was tut ihr bzw. dein Unternehmen, wenn der Nutzer keinen Speicherdump mitschickt...

nobs 11. Dez 2017

Nun warte ich nur noch auf den Beweis dass auch das kein Schutz ist. Aber wie schön dass...

SirJoan83 09. Dez 2017

...der Typ erst alle möglichen Stellen kontaktiert (sogar eine Ölfirma) und ganz am...

Avarion 08. Dez 2017

Nicht zwingend. Ich kenne Leute die sogar regelmässig Trail sagen obwohl sie Trial meinen.

delphi 08. Dez 2017

Falls mal jemand Bedarf haben sollte: Die E-Mail-Adresse des MSRC und den dazugehörigen...


Folgen Sie uns
       


Touch-Projektoren von Bosch angesehen (CES 2019)

Die Projektoren von Bosch erlauben es, das projizierte Bild als Touch-Oberfläche zu verwenden. Das ergibt einige interessante Anwendungsmöglichkeiten.

Touch-Projektoren von Bosch angesehen (CES 2019) Video aufrufen
WLAN-Tracking und Datenschutz: Ist das Tracken von Nutzern übers Smartphone legal?
WLAN-Tracking und Datenschutz
Ist das Tracken von Nutzern übers Smartphone legal?

Unternehmen tracken das Verhalten von Nutzern nicht nur beim Surfen im Internet, sondern per WLAN auch im echten Leben: im Supermarkt, im Hotel - und selbst auf der Straße. Ob sie das dürfen, ist juristisch mehr als fraglich.
Eine Analyse von Harald Büring

  1. Gefahr für Werbenetzwerke Wie legal ist das Tracking von Online-Nutzern?
  2. Landtagswahlen in Bayern und Hessen Tracker im Wahl-O-Mat der bpb-Medienpartner
  3. Tracking Facebook wechselt zu First-Party-Cookie

IT-Jobs: Ein Jahr als Freelancer
IT-Jobs
Ein Jahr als Freelancer

Sicher träumen nicht wenige festangestellte Entwickler, Programmierer und andere ITler davon, sich selbstständig zu machen. Unser Autor hat vor einem Jahr den Schritt ins Vollzeit-Freelancertum gewagt und bilanziert: Vieles an der Selbstständigkeit ist gut, aber nicht alles. Und: Die Freiheit des Freelancers ist relativ.
Ein Erfahrungsbericht von Marvin Engel

  1. Job-Porträt Cyber-Detektiv "Ich musste als Ermittler über 1.000 Onanie-Videos schauen"
  2. Bundesagentur für Arbeit Ausbildungsplätze in der Informatik sind knapp
  3. IT-Jobs "Jedes Unternehmen kann es besser machen"

Datenschutz: Nie da gewesene Kontrollmacht für staatliche Stellen
Datenschutz
"Nie da gewesene Kontrollmacht für staatliche Stellen"

Zur G20-Fahndung nutzt Hamburgs Polizei eine Software, die Gesichter von Hunderttausenden speichert. Schluss damit, sagt der Datenschutzbeauftragte - und wird ignoriert.
Ein Interview von Oliver Hollenstein

  1. Brexit-Abstimmung IT-Wirtschaft warnt vor Datenchaos in Europa
  2. Österreich Post handelt mit politischen Einstellungen
  3. Digitalisierung Bär stößt Debatte um Datenschutz im Gesundheitswesen an

    •  /