![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Microsoft hat ungewollt den Zugriff auf seine Kronjuwelen freigegeben, indem ein ein Wildcard-Zertifikat mit privatem Schl\u00fcssel f\u00fcr alle Dynamics 365-Instanzen verwendet wurde. Redmond brauchte dabei Monate, um auf das Thema zu reagieren und das Zertifikat zu widerrufen. <\/p>\n
<\/p>\n
Es klingt wie Pleiten, Pech und Pannen, d\u00fcrfte aber so manchem Blog-Leser irgendwie bekannt vorkommen. Du informierst Microsoft \u00fcber irgend etwas ungereimtes und es passiert nix. <\/p>\n
Microsoft Cloud ERP-Produkt Dynamics 365<\/a> verwendete verschl\u00fcsselte HTTPS-Verbindungen zu den Instanzen, die auf Azure-Servern laufen. Kunden bekommen also eine ERP-Instanz auf dem jeweiligen Azure-Server und k\u00f6nnen per RDP auf diese Instanz zugreifen. Ist ja alles in der Cloud. Das Problem: Das Unternehmen aus Redmond hat nun ein Wildcard-Zertifikat f\u00fcr alle Instanzen von Dynamics 365 verwendet und mit diesem Zertifikat den privaten TLS-Schl\u00fcssel gleich mitgeliefert. <\/p>\n Matthias Gliwka hat dies beim Arbeiten mit Dynamics 365 vor einiger Zeit entdeckt, wie er in diesem Medium-Beitrag<\/a> schreibt. Die Verwaltung der Dynamics 365-Instanzen erfolgt per Remote Desktop Protocol-Verbindungen (RDP). Irgendwann wollte Gliwka sich ansehen, wie Microsoft seinen Server in einer solchen gesch\u00e4ftskritischen Anwendung aufsetzt. Also verband er sich per RDP mit der Sandbox-Umgebung und schaute sich das Zertifikat an. <\/p>\n Das Wildcard-TLS-Zertifikat galt f\u00fcr alle Instanzen von *.sandbox.operations.dynamics.com <\/em>und enthielt einen privaten Schl\u00fcssel. Wer diesen privaten Schl\u00fcssel besitzt, kann praktisch die Kommunikation \u00fcber Man-in-the-middle-Angriffe aller anderen Dynamics 365-Instanzen per RDP mitlesen und notfalls auch ver\u00e4ndern (z.B. Schadcode einschleusen). <\/p>\n Es braucht lediglich einen Kniff, um den privaten Schl\u00fcssel zu exportieren. Wie Gliwka schreibt, verweigert der Windows Certificate-Manager zwar diesen Export. Dazu gibt es eine API-Funktion zur Pr\u00fcfung, ob ein Zertifikat exportiert werden darf. Aber mit einem kurzen C++-Programm, welches sich in die API-Funktion zur Pr\u00fcfung einklinkt, war es ihm m\u00f6glich, diesen privaten Schl\u00fcssel zu exportieren. Es gibt aber wohl auch Tools, die das erledigen k\u00f6nnen. <\/p>\n Lange Geschichte kurzer Sinn: Gliwka informierte das Microsoft Security Response Center (MSRC) \u00fcber seine Entdeckung und glaubte, dass das <\/p>\n Problem fix behoben werde. Nach mehreren Nachfragen kam eine Antwort des MSRC, dass man nicht glaube, dass das Problem in Produktivumgebungen relevant sei \u2013 die Kommunikation ist hier<\/a> nachlesbar. <\/p>\n Dann kontaktierte er eine ihm bekannt Person aus der Produktgruppe, um das Thema nochmals einzuspeisen. Diese versuchte beim MSRC-Team den Fall aufzuw\u00e4rmen, was sich aber z\u00e4h gestaltete. Es gab zwar eine Mail, dass man nun das Ganze aktiv untersuche \u2013 aber auch Wochen sp\u00e4ter tat sich nichts. Irgendwann versuchte er einen Chat mit dem Microsoft-Support, um auf diesem Weg einen neuen Kontakt mit dem MSRC zu erhalten. Er bekam auch eine Telefonnummer, die zur Marine Spill Response Corporation<\/a> (MSRC) geh\u00f6rte. Dazu muss man wissen, dass dies eine spezielle Organisation f\u00fcr \u00d6lkatastrophen und Notfallma\u00dfnahmen in den Vereinigten Staaten ist. Die k\u00fcmmern sich zwar auch um Lecks, aber in \u00d6lleitungen \u2013 weniger um Lecks in TLS-Zertifikaten. Aber wie hei\u00dft es so sch\u00f6n: 'Sie haben sich wenigstens bem\u00fcht'. <\/p>\n Ein Versuch, das Ganze nochmals per Twitter anzuschieben, ergab zwar eine Antwort, dass man das untersuche, aber kein Ergebnis.<\/p>\n @msftsecresponse<\/a> Reported a leaked TLS private key for a cloud product >45 days ago – still no response. Can you take a look? Case #40397<\/p>\n \u2014 Matthias Gliwka (@cerebuild) 4. Oktober 2017<\/a><\/p><\/blockquote>\n![\"Dynamics](\"https:\/\/i.imgur.com\/Rlul5zO.jpg\"\/ "\\"Dynamics")
(Quelle: Matthias Gliwka)<\/p>\nMicrosoft Security Response Center (MSRC) schl\u00e4ft<\/h2>\n
\n