微软 Dynamics 365 沙盒环境泄露了 TLS 证书

嘿微软，这是贵公司的私钥吗？

 

这年头证书泄密似乎是再平常不过的事儿：这不，微软近日不小心泄露了Dynamics 365 TLS证书和私钥；据发现这起事件的人士声称，微软需要整整100天才能修复这个漏洞。

住在德国斯图加特的软件开发员马赛厄斯•格利瓦卡（Matthias Gliwka）在捣鼓微软企业资源规划（ERP）系统的这个云版本时发现了这个漏洞。

格利瓦卡在知名媒体网站Medium上撰文（https://medium.com/matthias-gliwka/microsoft-leaks-tls-private-key-for-cloud-erp-product-10b56f7d648）时表示，Dynamics 365沙盒环境泄露了TLS证书，而沙盒环境正是为用户验收测试设计的。

不像开发环境的服务器和生产环境的服务器，沙盒为管理员提供了远程桌面访问（RDP）访问权限，“而这正是开始好玩的地方。”

从任何沙盒环境访问“为常见名称*.sandbox.operations.dynamics.com获得了一个有效的TLS证书以及相应的私钥――这得承蒙微软IT SSL SHA2 CA!”

有了这个证书（可以用相当基础的工具来加以导入）和私钥，格利瓦卡表示，任何中间人都能看到明文格式的用户通信内容，而且可以在不知察觉的情况下篡改这些信息。

早在10月5日格利瓦卡就在Twitter上吐槽：45天前就报告了一款云产品泄露了TLS私钥，却毫无回应。贵公司可以关注一下吗？工单号#40397。

格利瓦卡详细描述了他与微软之间的邮件往来以解释这个问题，但发现虽然自己努力让这个问题得到解决，微软却没有给予足够的重视，于是他联系了德国科技自由撰稿人汉诺•博克（Hanno Böck）以报道此事。

博克试图用Mozilla的缺陷跟踪工具（bug tracker，因为许多浏览器可以跟踪哪些证书是可靠的）来提交缺陷工单（bug ticket）后，这才促使微软行动起来。格利瓦克写道，这个漏洞在12月5日总算被堵住了――这离他最早在8月17日通知微软此事已过去了相当长的一段时间。