Microsoft กล่าวว่าการรั่วไหลของ ERP Private Key มีความเสี่ยงเพียงเล็กน้อย

กว่า 100 วันแล้วที่ Microsoft พยายามแก้ไขปัญหาที่เกี่ยวข้องกับการใช้งาน Digital Certificate ใบเดียวกันในการติดตั้ง Dynamics 365 หรือผลิตภัณฑ์ ERP ของตนแต่บริษัทกลับบอกว่าปัญหาที่เกิดมีความเสี่ยงเพียงเล็กน้อยเท่านั้น 

Dynamics 365 บน Azure นั้นมีส่วนประกอบ 3 ส่วนคือ ระบบ Production ระบบ Development และระบบ User Acceptance Testing (รู้จักกันในชื่อ Sandbox) โดยส่วน Testing นี้เองอนุญาตให้ถูกควบคุมจากระยะไกลผ่านทาง RDP (Remote Desktop Protocol) ได้ ซึ่งความสำคัญคือส่วน Testing ได้ลอกเลียนการทำงานจริงจากระบบ Production

นักพัฒนาชื่อ Matthias Gliwka ได้ใช้งาน Sandbox ผ่านทาง RDP และสังเกตพบว่าส่วนจัดการ Certificate ของแอปพลิเคชันนั้นได้เก็บทั้ง TLS Wildcard Certificate สำหรับโดเมน *.sandbox.operations.dynamics.com รวมถึง Private Key ไว้ โดย Certificate นี้ถูกออกโดย CA ของ Microsoft เองและแชร์ข้ามกันในทุกสภาพแวดล้อมของ Sandbox นอกจากนั้นมันเป็นเรื่องง่ายมากที่ผู้เชี่ยวชาญจะดึง Private Key ที่ใช้ในการเข้ารหัสระหว่างผู้ใช้งานและเซิร์ฟเวอร์ออกมาได้ ด้วยเหตุนี้เองแฮ็กเกอร์สามารถทำการโจมตีแบบ Man-in-the-middle ได้โดยไม่เกิดจุดสังเกตเลย

Gliwka ยังกล่าวว่าระบบ Sandbox ตกเป็นเป้าหมายได้ง่ายเนื่องจากผู้ใช้งานในส่วนนี้คือกุญแจสำคัญที่สามารถเข้าถึงข้อมูลที่มีค่าขององค์กรได้ นอกจากนี้ด้วยตัว Sandbox ก็มักจะมีข้อมูลที่ละเอียดอ่อนภายในระบบอยู่แล้ว โดยการใช้งานมีฟีเจอร์ถึงขนาดว่าสามารถทำสำเนาฐานข้อมูลของ Production เข้ามาใน Sandbox ได้เลย จากการวิเคราะห์เพิ่มเติมระบบ Production ทั้งหมดใช้ Wildcard Certificate ในโดเมน *.operations.dynamics.com แม้ว่าระบบ Production ไม่สามารถใช้งาน RDP ได้ ทำให้การดึง Private Key ออกมาทำได้ยากขึ้นแต่ Gliwka เชื่อว่าก็ยังมีทางทำได้ หากแฮ็กเกอร์สามารถหาและใช้ช่องโหว่ที่ทำให้เกิด Code Execution บนเซิร์ฟเวอร์ได้

อย่างไรก็ดี Microsoft ออกมาบอกว่าสุดท้ายแล้วได้ตัดสินใจอัปเดตสภาพแวดล้อมของ Sandbox และ Production ให้ใช้ Certificate คนละตัวกัน อีกทั้งอ้างว่านี่เป็นการป้องกันแบบ ‘Defend-in-depth‘ พร้อมทั้งบอกเพิ่มเติมว่า “การควบคุมที่เกิดขึ้นบนสภาพแวดล้อมของ Production ที่ถูกอธิบายด้านเทคนิคนั้นไม่สามารถใช้การได้” แม้ว่าดูเหมือนปัญหานี้ไม่ได้ถูกมองว่าเป็นปัญหาใหญ่แต่ Gliwka มองว่า Microsoft ใช้เวลานานเกินไปในการแก้ไขปัญหาเพราะได้รับรายงานตั้งแต่กลางเดือนสิงหาคมแล้ว แต่กว่าจะมีการแก้ปัญหาก็ปาเข้าไปกลางเดือนธันวาคม

ที่มา : http://www.securityweek.com/microsoft-says-erp-product-private-key-leak-posed-little-risk?


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Guest Post] สกมช. พร้อม Up Skill ผู้เชี่ยวชาญด้าน Cybersecurity ในประเทศไทย

สกมช. เปิดโครงการอบรมหลักสูตรประกาศนียบัตร CompTIA พร้อมสิทธิ์สอบ จากมูลค่า 25,000 บาท เหลือเพียง 4,800 บาท พร้อมมอบรางวัลใหญ่แก่คนที่พัฒนาตนเองอย่างไม่สิ้นสุด (สอบผ่าน) มูลค่า 4,800 บาท …

IFS Webinar: พลิกโฉมองค์กรเข้าสู่โลกดิจิทัลด้วย IFS Cloud

Raceku Thai รวมกับ IFS ขอเรียนเชิญผู้ประกอบการธุรกิจและฝ่าย IT เข้าร่วมงานสัมมนา IFS Webinar เรื่อง "พลิกโฉมองค์กรเข้าสู่โลกดิจิทัลด้วย IFS Cloud" พร้อมเรียนรู้การปรับกระบวนการขององค์กรอย่างมีประสิทธิภาพและยั่งยืน ในวันศุกร์ที่ 19 สิงหาคม 2022 เวลา 14:00 น. ผ่านทาง Live Webinar