Microsoft-Support gibt Bugreporter Nummer der Marine Spill Response Corp

Etwas verzweifelt wandte sich Gliwka an den Support-Chat von Microsoft und fragte, ob man ihm eine Telefonnummer des MSRC - die Abkürzung für Microsoft Security Response Center - geben könne. Er erhielt eine Telefonnummer, die jedoch einer Firma namens "Marine Spill Response Corp" gehört - abgekürzt ebenfalls MSRC. Mit Microsoft hat diese Firma nichts zu tun, sie kümmert sich um Unfälle in der Ölindustrie.

Stellenmarkt
  1. DevOps Engineer (m/w/d) Testautomation Platform
    ING Deutschland, Frankfurt, Nürnberg
  2. Prozessmanager Digitalisierung Einkauf (m/w/d)
    Kaufland Dienstleistung GmbH & Co. KG, Heilbronn
Detailsuche

Letztendlich wandte sich Gliwka an Golem.de, in der Hoffnung, dadurch mehr Aufmerksamkeit für das Problem zu bekommen. Laut den Regeln für Zertifizierungsstellen, den sogenannten Baseline Requirements, sollen Zertifikate, deren private Schlüssel kompromittiert sind, innerhalb von 24 Stunden zurückgezogen werden. Der Autor dieses Textes meldete das Problem via Bugtracker an Mozilla und informierte auch einen Chrome-Entwickler und einen Vertreter von Digicert.

Microsoft betreibt keine eigene Root-Zertifizierungsstelle, die Microsoft-Zertifikate sind indirekt von Digicert signiert. Damit ist Digicert indirekt auch für das Zurückziehen mit zuständig.

Als Mozilla sich einschaltet, geht alles plötzlich ganz schnell

Dadurch kam Bewegung in die Sache. Vertreter von Mozilla nahmen direkt mit Microsoft Kontakt auf. Innerhalb von wenigen Tagen wurden beide Wildcard-Zertifikate zurückgezogen. Künftig soll jede Instanz von Dynamics 365 ein eigenes Zertifikat mit eigenem privaten Schlüssel erhalten.

Golem Akademie
  1. Cinema 4D Grundlagen: virtueller Drei-Tage-Workshop
    14.–16. März 2022, Virtuell
  2. Jira für Systemadministratoren: virtueller Zwei-Tage-Workshop
    24.–25. Januar 2022, virtuell
Weitere IT-Trainings

Auf unsere Anfrage hin teilte Microsoft mit, dass ein Extrahieren des Zertifikats auf der Produktivinstanz nicht möglich gewesen wäre, da dort kein Remote-Desktop-Protocol-Zugriff möglich sei. Man kann auf den Dynamics-365-Instanzen auch eigene Softwaremodule installieren, doch Microsoft teilte uns mit, dass es auch damit nicht möglich sei, den privaten Schlüssel zu extrahieren, da diese Softwaremodule nicht die entsprechenden Rechte hätten.

Doch selbst wenn man den privaten Schlüssel nicht extrahieren kann, wäre das möglicherweise ein Sicherheitsproblem. Ein Angreifer könnte einen Kunden beispielsweise von einer Instanz auf eine andere weiterleiten, weil das Zertifikat ja für alle Instanzen gilt. Somit könnte man eventuell jemanden dazu bewegen, interne Firmendaten in eine fremde Instanz von Dynamics 365 einzugeben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Dynamics 365: Microsoft verteilt privaten Schlüssel an alle Kunden
  1.  
  2. 1
  3. 2


quark2017 13. Dez 2017

Und was tut ihr bzw. dein Unternehmen, wenn der Nutzer keinen Speicherdump mitschickt...

nobs 11. Dez 2017

Nun warte ich nur noch auf den Beweis dass auch das kein Schutz ist. Aber wie schön dass...

SirJoan83 09. Dez 2017

...der Typ erst alle möglichen Stellen kontaktiert (sogar eine Ölfirma) und ganz am...

Avarion 08. Dez 2017

Nicht zwingend. Ich kenne Leute die sogar regelmässig Trail sagen obwohl sie Trial meinen.

delphi 08. Dez 2017

Falls mal jemand Bedarf haben sollte: Die E-Mail-Adresse des MSRC und den dazugehörigen...



Aktuell auf der Startseite von Golem.de
Lego Star Wars UCS AT-AT aufgebaut
"Das ist kein Mond, das ist ein Lego-Modell"

Ganz wie der Imperator es wünscht: Der Lego UCS AT-AT ist riesig und imposant - und eines der besten Star-Wars-Modelle aus Klemmbausteinen.
Ein Praxistest von Oliver Nickel

Lego Star Wars UCS AT-AT aufgebaut: Das ist kein Mond, das ist ein Lego-Modell
Artikel
  1. eStream: Airstream-Wohnwagen mit eigenem Elektroantrieb
    eStream
    Airstream-Wohnwagen mit eigenem Elektroantrieb

    Der Wohnwagen Airstream eStream besitzt einen eigenen Elektroantrieb nebst Akku. Das entlastet das Zugfahrzeug und eröffnet weitere Möglichkeiten.

  2. Kryptowährung im Fall: Bitcoin legt rasante Talfahrt hin
    Kryptowährung im Fall
    Bitcoin legt rasante Talfahrt hin

    Am Samstag setzte sich der Absturz des Bitcoin fort. Ein Bitcoin ist nur noch 34.200 US-Dollar wert. Auch andere Kryptowährungen machen Verluste.

  3. Andromeda: Dieses Microsoft-Smartphone-Betriebssystem erschien nie
    Andromeda
    Dieses Microsoft-Smartphone-Betriebssystem erschien nie

    Erstmals ist ein Blick auf Andromeda möglich - das Smartphone-Betriebssystem, das Microsoft bereits vor einigen Jahren eingestellt hat.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Corsair Vengeance RGB RT 16-GB-Kit DDR4-4000 120,95€ • Alternate (u.a. AKRacing Master Pro Deluxe 449,98€) • Seagate FireCuda 530 1 TB (PS5) 189,90€ • RTX 3070 989€ • The A500 Mini 189,90€ • Intel Core i9 3.7 459,50€ • RX 6700 12GB 869€ • MindStar (u.a. 1TB SSD 69€) [Werbung]
    •  /