image

Microsoft lekte tls-privésleutel voor cloud ERP-oplossing

vrijdag 8 december 2017, 14:50 door Redactie, 7 reacties

Microsoft heeft eerder dit jaar de tls-privésleutel voor een cloud ERP-oplossing gelekt, waardoor het mogelijk was om gebruikers van de software aan te vallen, zo laat Matthias Gliwka weten. Microsoft Dynamics 365 for Finance and Operations helpt organisaties en bedrijven bij allerlei bedrijfskritische processen, zoals inkoop, productie, verkoop, productplanning en financiën, en wordt door Microsoft in de Azure-cloud gehost.

Gliwka werkte voor een bedrijf dat met Microsoft Dynamics werkt en besloot via RDP op een installatie van de ERP-software in te loggen. Tot zijn grote verbazing ontdekte hij in de certificaatmanager het geldige tls-certificaat en bijbehorende privésleutel. Het bleek om een wildcard-certificaat te gaan dat voor alle klantomgevingen kon worden gebruikt. Via het certificaat wordt een versleutelde verbinding tussen gebruikers van de ERP-software en de server opgezet. Met het gelekte certificaat en de privésleutel had een aanvaller tussen een gebruiker en de server een man-in-the-middle-aanval kunnen uitvoeren.

Gliwka besloot Microsoft halverwege augustus te informeren, maar dit bleek een lastig proces. Pas toen er eind november een ticket bij Mozilla werd geopend omdat Microsoft het certificaat niet had ingetrokken, terwijl certificaatautoriteiten dit volgens de regels wel horen te doen, kwam er beweging in de zaak. Afgelopen dinsdag, meer dan 100 dagen na de eerste melding, liet Microsoft weten dat het certificaat was ingetrokken en er nu voor alle klantomgevingen een apart certificaat wordt gebruikt.

Image

Reacties (7)
08-12-2017, 15:18 door foxonsafari
Weer die verdomde RDP in combinatie met Microsoft ERP Solution(oh,oh) in de cloud (Azure), en slecht aan mekaar geknoopte beveiliging issues.

Blurp...Microsoft's redelijk nieuwe "Dynamics 365 for Finance and Operations" oplossing, bedrijfs kritieke informatie wel te verstaan. Word altijd mooi gepresenteerd, trappen bedrijven nog steeds in.

Doet me ergens aan denken:

https://www.security.nl/posting/514578#posting514647

SMB uitschakelen: https://www.google.nl/?gws_rd=ssl#num=100&newwindow=1&q=windows+10+smb+disable
RDP uitschakelen: https://www.google.nl/search?num=100&newwindow=1&q=Windows+10+disable+RDP&oq=Windows+10+disable+RDP&gs_l=serp.3..0.9782.18581.0.21252.11.11.0.0.0.0.95.784.11.11.0....0...1.1.64.serp..0.10.700...0i7i30k1j0i8i7i30k1j0i13k1.bkfp-wgGHW8
08-12-2017, 15:32 door Anoniem
Door foxonsafari: Weer die verdomde RDP in combinatie met Microsoft ERP Solution(oh,oh) in de cloud (Azure), en slecht aan mekaar geknoopte beveiliging issues.

Blurp...Microsoft's redelijk nieuwe "Dynamics 365 for Finance and Operations" oplossing, bedrijfs kritieke informatie wel te verstaan. Word altijd mooi gepresenteerd, trappen bedrijven nog steeds in.

Doet me ergens aan denken:

https://www.security.nl/posting/514578#posting514647

SMB uitschakelen: https://www.google.nl/?gws_rd=ssl#num=100&newwindow=1&q=windows+10+smb+disable
RDP uitschakelen: https://www.google.nl/search?num=100&newwindow=1&q=Windows+10+disable+RDP&oq=Windows+10+disable+RDP&gs_l=serp.3..0.9782.18581.0.21252.11.11.0.0.0.0.95.784.11.11.0....0...1.1.64.serp..0.10.700...0i7i30k1j0i8i7i30k1j0i13k1.bkfp-wgGHW8

Volgens mij heeft het helemaal NIETS met RDP te maken en gaat het om een certificaat die de verbinding beveiligd tussen de ERP Software (client) en de Server. Kennelijk wordt bij iedere installatie van het ERP pakket (server-side) hetzelfde certificaat inclusief private key meegeleverd. Waardoor een MitM mogelijk zou worden door jezelf als tussenpersoon te presenteren aan de client als zijnde de server en al het verkeer dus kunnen ontcijferen en in kunnen zien.

Het staat wat onhandig omschreven maar RDP is gewoon het middel wat de onderzoeker gebruikt heeft om op de applicatieserver in te loggen (die op Windows Server draait) en heeft daar in de certificate store het certificaat gevonden.
08-12-2017, 17:06 door Anoniem
Door Anoniem:
Door foxonsafari: Weer die verdomde RDP in combinatie met Microsoft ERP Solution(oh,oh) in de cloud (Azure), en slecht aan mekaar geknoopte beveiliging issues.

Blurp...Microsoft's redelijk nieuwe "Dynamics 365 for Finance and Operations" oplossing, bedrijfs kritieke informatie wel te verstaan. Word altijd mooi gepresenteerd, trappen bedrijven nog steeds in.

Doet me ergens aan denken:

https://www.security.nl/posting/514578#posting514647

SMB uitschakelen: https://www.google.nl/?gws_rd=ssl#num=100&newwindow=1&q=windows+10+smb+disable
RDP uitschakelen: https://www.google.nl/search?num=100&newwindow=1&q=Windows+10+disable+RDP&oq=Windows+10+disable+RDP&gs_l=serp.3..0.9782.18581.0.21252.11.11.0.0.0.0.95.784.11.11.0....0...1.1.64.serp..0.10.700...0i7i30k1j0i8i7i30k1j0i13k1.bkfp-wgGHW8

Volgens mij heeft het helemaal NIETS met RDP te maken en gaat het om een certificaat die de verbinding beveiligd tussen de ERP Software (client) en de Server. Kennelijk wordt bij iedere installatie van het ERP pakket (server-side) hetzelfde certificaat inclusief private key meegeleverd. Waardoor een MitM mogelijk zou worden door jezelf als tussenpersoon te presenteren aan de client als zijnde de server en al het verkeer dus kunnen ontcijferen en in kunnen zien.

Het staat wat onhandig omschreven maar RDP is gewoon het middel wat de onderzoeker gebruikt heeft om op de applicatieserver in te loggen (die op Windows Server draait) en heeft daar in de certificate store het certificaat gevonden.

You are correct, RDP was the means I used to access the server. The TLS certificate was just simply on there in the Certificate Manager in plain sight.
08-12-2017, 17:10 door Anoniem
Kan gebeuren....
Maar dat is niet zo erg, want cloudgebruikers zetten hun bestanden encrypted met hun eigen encryptie in de cloud.... Toch?
08-12-2017, 17:13 door Anoniem
Door Anoniem: Kan gebeuren....
Maar dat is niet zo erg, want cloudgebruikers zetten hun bestanden encrypted met hun eigen encryptie in de cloud.... Toch?

Ja, met ROT13 encrypted!
08-12-2017, 17:49 door karma4
Jullie moesten eens weten hoe in professionele organisaties met dat soort sleutels omgegaan wordt. Kleine tip, met itil is elke change verdacht voor operationele verstoring.
08-12-2017, 18:09 door Anoniem
Über den Wolken...
Gelukkig leven we in het vrij wilde westen op het net.
Cloud is lucht, lucht is niets. Juridisch is data niets.
Het kost wellicht iets meer, maar als bedrijf kun je er ook voor kiezen de boel niet bij een ander te stallen of zelfs helemaal niet aan het boze internet te hangen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.