Microsoft กล่าวว่าการรั่วไหลของ ERP Private Key มีความเสี่ยงเพียงเล็กน้อย

กว่า 100 วันแล้วที่ Microsoft พยายามแก้ไขปัญหาที่เกี่ยวข้องกับการใช้งาน Digital Certificate ใบเดียวกันในการติดตั้ง Dynamics 365 หรือผลิตภัณฑ์ ERP ของตนแต่บริษัทกลับบอกว่าปัญหาที่เกิดมีความเสี่ยงเพียงเล็กน้อยเท่านั้น 

Dynamics 365 บน Azure นั้นมีส่วนประกอบ 3 ส่วนคือ ระบบ Production ระบบ Development และระบบ User Acceptance Testing (รู้จักกันในชื่อ Sandbox) โดยส่วน Testing นี้เองอนุญาตให้ถูกควบคุมจากระยะไกลผ่านทาง RDP (Remote Desktop Protocol) ได้ ซึ่งความสำคัญคือส่วน Testing ได้ลอกเลียนการทำงานจริงจากระบบ Production

นักพัฒนาชื่อ Matthias Gliwka ได้ใช้งาน Sandbox ผ่านทาง RDP และสังเกตพบว่าส่วนจัดการ Certificate ของแอปพลิเคชันนั้นได้เก็บทั้ง TLS Wildcard Certificate สำหรับโดเมน *.sandbox.operations.dynamics.com รวมถึง Private Key ไว้ โดย Certificate นี้ถูกออกโดย CA ของ Microsoft เองและแชร์ข้ามกันในทุกสภาพแวดล้อมของ Sandbox นอกจากนั้นมันเป็นเรื่องง่ายมากที่ผู้เชี่ยวชาญจะดึง Private Key ที่ใช้ในการเข้ารหัสระหว่างผู้ใช้งานและเซิร์ฟเวอร์ออกมาได้ ด้วยเหตุนี้เองแฮ็กเกอร์สามารถทำการโจมตีแบบ Man-in-the-middle ได้โดยไม่เกิดจุดสังเกตเลย

Gliwka ยังกล่าวว่าระบบ Sandbox ตกเป็นเป้าหมายได้ง่ายเนื่องจากผู้ใช้งานในส่วนนี้คือกุญแจสำคัญที่สามารถเข้าถึงข้อมูลที่มีค่าขององค์กรได้ นอกจากนี้ด้วยตัว Sandbox ก็มักจะมีข้อมูลที่ละเอียดอ่อนภายในระบบอยู่แล้ว โดยการใช้งานมีฟีเจอร์ถึงขนาดว่าสามารถทำสำเนาฐานข้อมูลของ Production เข้ามาใน Sandbox ได้เลย จากการวิเคราะห์เพิ่มเติมระบบ Production ทั้งหมดใช้ Wildcard Certificate ในโดเมน *.operations.dynamics.com แม้ว่าระบบ Production ไม่สามารถใช้งาน RDP ได้ ทำให้การดึง Private Key ออกมาทำได้ยากขึ้นแต่ Gliwka เชื่อว่าก็ยังมีทางทำได้ หากแฮ็กเกอร์สามารถหาและใช้ช่องโหว่ที่ทำให้เกิด Code Execution บนเซิร์ฟเวอร์ได้

อย่างไรก็ดี Microsoft ออกมาบอกว่าสุดท้ายแล้วได้ตัดสินใจอัปเดตสภาพแวดล้อมของ Sandbox และ Production ให้ใช้ Certificate คนละตัวกัน อีกทั้งอ้างว่านี่เป็นการป้องกันแบบ ‘Defend-in-depth‘ พร้อมทั้งบอกเพิ่มเติมว่า “การควบคุมที่เกิดขึ้นบนสภาพแวดล้อมของ Production ที่ถูกอธิบายด้านเทคนิคนั้นไม่สามารถใช้การได้” แม้ว่าดูเหมือนปัญหานี้ไม่ได้ถูกมองว่าเป็นปัญหาใหญ่แต่ Gliwka มองว่า Microsoft ใช้เวลานานเกินไปในการแก้ไขปัญหาเพราะได้รับรายงานตั้งแต่กลางเดือนสิงหาคมแล้ว แต่กว่าจะมีการแก้ปัญหาก็ปาเข้าไปกลางเดือนธันวาคม

ที่มา : http://www.securityweek.com/microsoft-says-erp-product-private-key-leak-posed-little-risk?




About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Gartner ออก Magic Quadrant ทางด้าน IDS/IPS ประจำปี 2018

Gartner บริษัทวิจัยและให้คำปรึกษาชื่อดังจากสหรัฐฯ ออกรายงาน Magic Quadrant ทางด้าน Intrusion Detection and Prevention Systems (IDPS) ประจำปี 2018 ผล …

เตือนคนขุดเหมืองเงินดิจิทัลเสี่ยงถูก Satori Botnet โจมตีโดยไม่รู้ตัว

ทีมนักวิจัยด้านความมั่นคงปลอดภัยจาก Netlab ของ Qihoo 360 ออกมาแจ้งเตือนถึง Satori Botnet สายพันธุ์ใหม่ ซึ่งพุ่งเป้าโจมตีผู้ใช้ซอฟต์แวร์ Claymore ในการขุดเหมืองเงินดิจิทัล หลังพบเหยื่อหลายรายถูกเปลี่ยนการตั้งค่าสำหรับใช้ขุดเหมืองเป็นของแฮ็กเกอร์แทน กลายเป็นว่าตนเองถูกหลอกให้ขุดเงินดิจิทัลฟรีๆ