Компания Microsoft случайно допустила утечку TLS-сертификата, используемого для MS Dynamics 365, и соответствующего ему закрытого ключа, выяснил немецкий разработчик Маттиас Гливка (Matthias Gliwka) в процессе работы с облачной версией платформы.
Сертификат и ключ были доступны в так называемой «песочнице» Dynamics 365, предназначенной для тестирования приложений на уровне пользователя. В отличие от производственных серверов и серверов для разработки, «песочница» предоставляет администраторам возможность доступа по RDP. Получив доступ к «песочнице», (customername.sandbox.operations.dynamics.com) Гливка обнаружил, что встроенный диспетчер сертификатов содержит действительный TLS-сертификат для *.sandbox.operations.dynamics.com и соответствующий ему закрытый ключ. По его словам, данный сертификат действует для всех «песочниц», даже принадлежащих другим клиентам Microsoft. Сертификат используется для шифрования web-трафика между пользователями и сервером.
Имея доступ к сертификату (который может быть экспортирован при помощи обычных инструментов), злоумышленник получает возможность просматривать коммуникации в незашифрованном виде и скрыто модифицировать контент.
Сразу же после обнаружения уязвимости в августе нынешнего года Гливка предпринял несколько попыток проинформировать Microsoft о проблеме. После череды сообщений и привлечения к процессу третьих лиц компания все же устранила уязвимость в начале декабря нынешнего года – спустя почти четыре месяца после выявления проблемы.
Microsoft Dynamics 365 – единая платформа бизнес-приложений для планирования ресурсов предприятия (ERP) и управления взаимоотношениями с клиентами (CRM), состоящая из нескольких функциональных модулей.

Источник: securitylab.ru