Microsoft กล่าวว่าการรั่วไหลของ ERP Private Key มีความเสี่ยงเพียงเล็กน้อย

กว่า 100 วันแล้วที่ Microsoft พยายามแก้ไขปัญหาที่เกี่ยวข้องกับการใช้งาน Digital Certificate ใบเดียวกันในการติดตั้ง Dynamics 365 หรือผลิตภัณฑ์ ERP ของตนแต่บริษัทกลับบอกว่าปัญหาที่เกิดมีความเสี่ยงเพียงเล็กน้อยเท่านั้น 

Dynamics 365 บน Azure นั้นมีส่วนประกอบ 3 ส่วนคือ ระบบ Production ระบบ Development และระบบ User Acceptance Testing (รู้จักกันในชื่อ Sandbox) โดยส่วน Testing นี้เองอนุญาตให้ถูกควบคุมจากระยะไกลผ่านทาง RDP (Remote Desktop Protocol) ได้ ซึ่งความสำคัญคือส่วน Testing ได้ลอกเลียนการทำงานจริงจากระบบ Production

นักพัฒนาชื่อ Matthias Gliwka ได้ใช้งาน Sandbox ผ่านทาง RDP และสังเกตพบว่าส่วนจัดการ Certificate ของแอปพลิเคชันนั้นได้เก็บทั้ง TLS Wildcard Certificate สำหรับโดเมน *.sandbox.operations.dynamics.com รวมถึง Private Key ไว้ โดย Certificate นี้ถูกออกโดย CA ของ Microsoft เองและแชร์ข้ามกันในทุกสภาพแวดล้อมของ Sandbox นอกจากนั้นมันเป็นเรื่องง่ายมากที่ผู้เชี่ยวชาญจะดึง Private Key ที่ใช้ในการเข้ารหัสระหว่างผู้ใช้งานและเซิร์ฟเวอร์ออกมาได้ ด้วยเหตุนี้เองแฮ็กเกอร์สามารถทำการโจมตีแบบ Man-in-the-middle ได้โดยไม่เกิดจุดสังเกตเลย

Gliwka ยังกล่าวว่าระบบ Sandbox ตกเป็นเป้าหมายได้ง่ายเนื่องจากผู้ใช้งานในส่วนนี้คือกุญแจสำคัญที่สามารถเข้าถึงข้อมูลที่มีค่าขององค์กรได้ นอกจากนี้ด้วยตัว Sandbox ก็มักจะมีข้อมูลที่ละเอียดอ่อนภายในระบบอยู่แล้ว โดยการใช้งานมีฟีเจอร์ถึงขนาดว่าสามารถทำสำเนาฐานข้อมูลของ Production เข้ามาใน Sandbox ได้เลย จากการวิเคราะห์เพิ่มเติมระบบ Production ทั้งหมดใช้ Wildcard Certificate ในโดเมน *.operations.dynamics.com แม้ว่าระบบ Production ไม่สามารถใช้งาน RDP ได้ ทำให้การดึง Private Key ออกมาทำได้ยากขึ้นแต่ Gliwka เชื่อว่าก็ยังมีทางทำได้ หากแฮ็กเกอร์สามารถหาและใช้ช่องโหว่ที่ทำให้เกิด Code Execution บนเซิร์ฟเวอร์ได้

อย่างไรก็ดี Microsoft ออกมาบอกว่าสุดท้ายแล้วได้ตัดสินใจอัปเดตสภาพแวดล้อมของ Sandbox และ Production ให้ใช้ Certificate คนละตัวกัน อีกทั้งอ้างว่านี่เป็นการป้องกันแบบ ‘Defend-in-depth‘ พร้อมทั้งบอกเพิ่มเติมว่า “การควบคุมที่เกิดขึ้นบนสภาพแวดล้อมของ Production ที่ถูกอธิบายด้านเทคนิคนั้นไม่สามารถใช้การได้” แม้ว่าดูเหมือนปัญหานี้ไม่ได้ถูกมองว่าเป็นปัญหาใหญ่แต่ Gliwka มองว่า Microsoft ใช้เวลานานเกินไปในการแก้ไขปัญหาเพราะได้รับรายงานตั้งแต่กลางเดือนสิงหาคมแล้ว แต่กว่าจะมีการแก้ปัญหาก็ปาเข้าไปกลางเดือนธันวาคม

ที่มา : http://www.securityweek.com/microsoft-says-erp-product-private-key-leak-posed-little-risk?

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Meta ระงับโครงการสร้างศูนย์ข้อมูลพลังงานนิวเคลียร์ เหตุพบผึ้งหายากในพื้นที่ก่อสร้าง

แผนของ Meta ในการพัฒนาศูนย์ข้อมูลพลังงานนิวเคลียร์เพื่อรองรับงาน AI ต้องถูกพับไปเพราะเจอบั๊ก แต่ดันเป็นแมลงจริง ๆ โดยมีรายงานว่าซีอีโอ Mark Zuckerberg แจ้งต่อพนักงานในที่ประชุมรวมว่าสาเหตุหนึ่งคือการค้นพบผึ้งสายพันธุ์หายากในพื้นที่ที่วางแผนจะสร้าง สะท้อนถึงความขัดแย้งที่เพิ่มขึ้นระหว่างการใช้พลังงานที่สูงขึ้นของ AI และการอนุรักษ์สิ่งแวดล้อม

Raspberry Pi เปิดตัว Touch Display 2

Raspberry Pi ประกาศเปิดตัว Touch Display 2 จอแสดงผลแบบสัมผัสรุ่นใหม่ที่มาพร้อมความละเอียดสูงขึ้นที่ 720×1280 พิกเซล และรูปทรงบางกว่าเดิม โดยยังคงราคาเดิมที่ 60 ดอลลาร์