Компания Microsoft случайно оставила TLS-сертификат Dynamics 365, а также закрытый ключ, в публичном доступе. На исправление этой ошибки, согласно обнаружившему ее разработчику потребовалось 100 дней.

Маттиас Глика (Matthias Gliwka), разработчик программного обеспечения, обнаружил недочеты в облачной версии ERP-системы компании. Эксперт утверждает, что сертификат TLS лежал в открытом виде в песочнице Dynamics 365, предназначенной для испытаний.

В отличие от серверов, предназначенных для разработки и производства, песочница предоставляет администраторам доступ к RDP, и вот где, по словам Глика, «начинается самое интересное».

При помощи этого сертификата (который можно экспортировать с помощью довольно простых инструментов), как утверждает разработчик, любая атака «Человек посередине» (man-in-the-middle) может позволить видеть сообщения пользователей, а также изменять этот контент, оставаясь незамеченным.

Глика связался с Microsoft 17 августа, чтобы детализировать проблему, однако она была исправлена только 5 декабря.