Microsoft lekte tls-privésleutel voor cloud ERP-oplossing
Microsoft heeft eerder dit jaar de tls-privésleutel voor een cloud ERP-oplossing gelekt, waardoor het mogelijk was om gebruikers van de software aan te vallen, zo laat Matthias Gliwka weten. Microsoft Dynamics 365 for Finance and Operations helpt organisaties en bedrijven bij allerlei bedrijfskritische processen, zoals inkoop, productie, verkoop, productplanning en financiën, en wordt door Microsoft in de Azure-cloud gehost.
Gliwka werkte voor een bedrijf dat met Microsoft Dynamics werkt en besloot via RDP op een installatie van de ERP-software in te loggen. Tot zijn grote verbazing ontdekte hij in de certificaatmanager het geldige tls-certificaat en bijbehorende privésleutel. Het bleek om een wildcard-certificaat te gaan dat voor alle klantomgevingen kon worden gebruikt. Via het certificaat wordt een versleutelde verbinding tussen gebruikers van de ERP-software en de server opgezet. Met het gelekte certificaat en de privésleutel had een aanvaller tussen een gebruiker en de server een man-in-the-middle-aanval kunnen uitvoeren.
Gliwka besloot Microsoft halverwege augustus te informeren, maar dit bleek een lastig proces. Pas toen er eind november een ticket bij Mozilla werd geopend omdat Microsoft het certificaat niet had ingetrokken, terwijl certificaatautoriteiten dit volgens de regels wel horen te doen, kwam er beweging in de zaak. Afgelopen dinsdag, meer dan 100 dagen na de eerste melding, liet Microsoft weten dat het certificaat was ingetrokken en er nu voor alle klantomgevingen een apart certificaat wordt gebruikt.
Blurp...Microsoft's redelijk nieuwe "Dynamics 365 for Finance and Operations" oplossing, bedrijfs kritieke informatie wel te verstaan. Word altijd mooi gepresenteerd, trappen bedrijven nog steeds in.
Doet me ergens aan denken:
https://www.security.nl/posting/514578#posting514647
SMB uitschakelen: https://www.google.nl/?gws_rd=ssl#num=100&newwindow=1&q=windows+10+smb+disable
RDP uitschakelen: https://www.google.nl/search?num=100&newwindow=1&q=Windows+10+disable+RDP&oq=Windows+10+disable+RDP&gs_l=serp.3..0.9782.18581.0.21252.11.11.0.0.0.0.95.784.11.11.0....0...1.1.64.serp..0.10.700...0i7i30k1j0i8i7i30k1j0i13k1.bkfp-wgGHW8
Blurp...Microsoft's redelijk nieuwe "Dynamics 365 for Finance and Operations" oplossing, bedrijfs kritieke informatie wel te verstaan. Word altijd mooi gepresenteerd, trappen bedrijven nog steeds in.
Doet me ergens aan denken:
https://www.security.nl/posting/514578#posting514647
SMB uitschakelen: https://www.google.nl/?gws_rd=ssl#num=100&newwindow=1&q=windows+10+smb+disable
RDP uitschakelen: https://www.google.nl/search?num=100&newwindow=1&q=Windows+10+disable+RDP&oq=Windows+10+disable+RDP&gs_l=serp.3..0.9782.18581.0.21252.11.11.0.0.0.0.95.784.11.11.0....0...1.1.64.serp..0.10.700...0i7i30k1j0i8i7i30k1j0i13k1.bkfp-wgGHW8
Volgens mij heeft het helemaal NIETS met RDP te maken en gaat het om een certificaat die de verbinding beveiligd tussen de ERP Software (client) en de Server. Kennelijk wordt bij iedere installatie van het ERP pakket (server-side) hetzelfde certificaat inclusief private key meegeleverd. Waardoor een MitM mogelijk zou worden door jezelf als tussenpersoon te presenteren aan de client als zijnde de server en al het verkeer dus kunnen ontcijferen en in kunnen zien.
Het staat wat onhandig omschreven maar RDP is gewoon het middel wat de onderzoeker gebruikt heeft om op de applicatieserver in te loggen (die op Windows Server draait) en heeft daar in de certificate store het certificaat gevonden.
Blurp...Microsoft's redelijk nieuwe "Dynamics 365 for Finance and Operations" oplossing, bedrijfs kritieke informatie wel te verstaan. Word altijd mooi gepresenteerd, trappen bedrijven nog steeds in.
Doet me ergens aan denken:
https://www.security.nl/posting/514578#posting514647
SMB uitschakelen: https://www.google.nl/?gws_rd=ssl#num=100&newwindow=1&q=windows+10+smb+disable
RDP uitschakelen: https://www.google.nl/search?num=100&newwindow=1&q=Windows+10+disable+RDP&oq=Windows+10+disable+RDP&gs_l=serp.3..0.9782.18581.0.21252.11.11.0.0.0.0.95.784.11.11.0....0...1.1.64.serp..0.10.700...0i7i30k1j0i8i7i30k1j0i13k1.bkfp-wgGHW8
Volgens mij heeft het helemaal NIETS met RDP te maken en gaat het om een certificaat die de verbinding beveiligd tussen de ERP Software (client) en de Server. Kennelijk wordt bij iedere installatie van het ERP pakket (server-side) hetzelfde certificaat inclusief private key meegeleverd. Waardoor een MitM mogelijk zou worden door jezelf als tussenpersoon te presenteren aan de client als zijnde de server en al het verkeer dus kunnen ontcijferen en in kunnen zien.
Het staat wat onhandig omschreven maar RDP is gewoon het middel wat de onderzoeker gebruikt heeft om op de applicatieserver in te loggen (die op Windows Server draait) en heeft daar in de certificate store het certificaat gevonden.
You are correct, RDP was the means I used to access the server. The TLS certificate was just simply on there in the Certificate Manager in plain sight.
Maar dat is niet zo erg, want cloudgebruikers zetten hun bestanden encrypted met hun eigen encryptie in de cloud.... Toch?
Maar dat is niet zo erg, want cloudgebruikers zetten hun bestanden encrypted met hun eigen encryptie in de cloud.... Toch?
Ja, met ROT13 encrypted!
Gelukkig leven we in het vrij wilde westen op het net.
Cloud is lucht, lucht is niets. Juridisch is data niets.
Het kost wellicht iets meer, maar als bedrijf kun je er ook voor kiezen de boel niet bij een ander te stallen of zelfs helemaal niet aan het boze internet te hangen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
