Breaking News

Microsoft กล่าวว่าการรั่วไหลของ ERP Private Key มีความเสี่ยงเพียงเล็กน้อย

กว่า 100 วันแล้วที่ Microsoft พยายามแก้ไขปัญหาที่เกี่ยวข้องกับการใช้งาน Digital Certificate ใบเดียวกันในการติดตั้ง Dynamics 365 หรือผลิตภัณฑ์ ERP ของตนแต่บริษัทกลับบอกว่าปัญหาที่เกิดมีความเสี่ยงเพียงเล็กน้อยเท่านั้น 

Dynamics 365 บน Azure นั้นมีส่วนประกอบ 3 ส่วนคือ ระบบ Production ระบบ Development และระบบ User Acceptance Testing (รู้จักกันในชื่อ Sandbox) โดยส่วน Testing นี้เองอนุญาตให้ถูกควบคุมจากระยะไกลผ่านทาง RDP (Remote Desktop Protocol) ได้ ซึ่งความสำคัญคือส่วน Testing ได้ลอกเลียนการทำงานจริงจากระบบ Production

นักพัฒนาชื่อ Matthias Gliwka ได้ใช้งาน Sandbox ผ่านทาง RDP และสังเกตพบว่าส่วนจัดการ Certificate ของแอปพลิเคชันนั้นได้เก็บทั้ง TLS Wildcard Certificate สำหรับโดเมน *.sandbox.operations.dynamics.com รวมถึง Private Key ไว้ โดย Certificate นี้ถูกออกโดย CA ของ Microsoft เองและแชร์ข้ามกันในทุกสภาพแวดล้อมของ Sandbox นอกจากนั้นมันเป็นเรื่องง่ายมากที่ผู้เชี่ยวชาญจะดึง Private Key ที่ใช้ในการเข้ารหัสระหว่างผู้ใช้งานและเซิร์ฟเวอร์ออกมาได้ ด้วยเหตุนี้เองแฮ็กเกอร์สามารถทำการโจมตีแบบ Man-in-the-middle ได้โดยไม่เกิดจุดสังเกตเลย

Gliwka ยังกล่าวว่าระบบ Sandbox ตกเป็นเป้าหมายได้ง่ายเนื่องจากผู้ใช้งานในส่วนนี้คือกุญแจสำคัญที่สามารถเข้าถึงข้อมูลที่มีค่าขององค์กรได้ นอกจากนี้ด้วยตัว Sandbox ก็มักจะมีข้อมูลที่ละเอียดอ่อนภายในระบบอยู่แล้ว โดยการใช้งานมีฟีเจอร์ถึงขนาดว่าสามารถทำสำเนาฐานข้อมูลของ Production เข้ามาใน Sandbox ได้เลย จากการวิเคราะห์เพิ่มเติมระบบ Production ทั้งหมดใช้ Wildcard Certificate ในโดเมน *.operations.dynamics.com แม้ว่าระบบ Production ไม่สามารถใช้งาน RDP ได้ ทำให้การดึง Private Key ออกมาทำได้ยากขึ้นแต่ Gliwka เชื่อว่าก็ยังมีทางทำได้ หากแฮ็กเกอร์สามารถหาและใช้ช่องโหว่ที่ทำให้เกิด Code Execution บนเซิร์ฟเวอร์ได้

อย่างไรก็ดี Microsoft ออกมาบอกว่าสุดท้ายแล้วได้ตัดสินใจอัปเดตสภาพแวดล้อมของ Sandbox และ Production ให้ใช้ Certificate คนละตัวกัน อีกทั้งอ้างว่านี่เป็นการป้องกันแบบ ‘Defend-in-depth‘ พร้อมทั้งบอกเพิ่มเติมว่า “การควบคุมที่เกิดขึ้นบนสภาพแวดล้อมของ Production ที่ถูกอธิบายด้านเทคนิคนั้นไม่สามารถใช้การได้” แม้ว่าดูเหมือนปัญหานี้ไม่ได้ถูกมองว่าเป็นปัญหาใหญ่แต่ Gliwka มองว่า Microsoft ใช้เวลานานเกินไปในการแก้ไขปัญหาเพราะได้รับรายงานตั้งแต่กลางเดือนสิงหาคมแล้ว แต่กว่าจะมีการแก้ปัญหาก็ปาเข้าไปกลางเดือนธันวาคม

ที่มา : http://www.securityweek.com/microsoft-says-erp-product-private-key-leak-posed-little-risk?




About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

FBI เตือนผู้ปกครอง ข้อมูลของเด็กๆ อาจเสี่ยงถูกขโมยและนำมาใช้ในทางที่ผิดได้

FBI ได้ออกมาเตือนเหล่าพ่อแม่ผู้ปกครองในสหรัฐอเมริกา หลังพบว่าเทคโนโลยีและระบบ IT ในวงการการศึกษานั้นมีช่องโหว่เป็นจำนวนมาก จนอาจเกิดการขโมยข้อมูล, ปลอมแปลงตัวตน, กลั่นแกล้ง หรือกรณีอื่นๆ ที่ร้ายแรงยิ่งกว่าได้

Hitachi ประกาศเปิดตัวศูนย์ IoT ในไทย เน้นสร้างโซลูชันตอบโจทย์โรงงาน

Hitachi ได้ออกมาแถลงถึงการเปิดตัวศูนย์ Lumada Center Southeast Asia ในประเทศไทย เพื่อเร่งให้เหล่าธุรกิจโรงงานในไทย, เวียดนาม, อินโดนีเซีย และประเทศเพื่อนบ้านสามารถนำเทคโนโลยี Internet of Things (IoT) …