Breaking News

Microsoft กล่าวว่าการรั่วไหลของ ERP Private Key มีความเสี่ยงเพียงเล็กน้อย

กว่า 100 วันแล้วที่ Microsoft พยายามแก้ไขปัญหาที่เกี่ยวข้องกับการใช้งาน Digital Certificate ใบเดียวกันในการติดตั้ง Dynamics 365 หรือผลิตภัณฑ์ ERP ของตนแต่บริษัทกลับบอกว่าปัญหาที่เกิดมีความเสี่ยงเพียงเล็กน้อยเท่านั้น 

Dynamics 365 บน Azure นั้นมีส่วนประกอบ 3 ส่วนคือ ระบบ Production ระบบ Development และระบบ User Acceptance Testing (รู้จักกันในชื่อ Sandbox) โดยส่วน Testing นี้เองอนุญาตให้ถูกควบคุมจากระยะไกลผ่านทาง RDP (Remote Desktop Protocol) ได้ ซึ่งความสำคัญคือส่วน Testing ได้ลอกเลียนการทำงานจริงจากระบบ Production

นักพัฒนาชื่อ Matthias Gliwka ได้ใช้งาน Sandbox ผ่านทาง RDP และสังเกตพบว่าส่วนจัดการ Certificate ของแอปพลิเคชันนั้นได้เก็บทั้ง TLS Wildcard Certificate สำหรับโดเมน *.sandbox.operations.dynamics.com รวมถึง Private Key ไว้ โดย Certificate นี้ถูกออกโดย CA ของ Microsoft เองและแชร์ข้ามกันในทุกสภาพแวดล้อมของ Sandbox นอกจากนั้นมันเป็นเรื่องง่ายมากที่ผู้เชี่ยวชาญจะดึง Private Key ที่ใช้ในการเข้ารหัสระหว่างผู้ใช้งานและเซิร์ฟเวอร์ออกมาได้ ด้วยเหตุนี้เองแฮ็กเกอร์สามารถทำการโจมตีแบบ Man-in-the-middle ได้โดยไม่เกิดจุดสังเกตเลย

Gliwka ยังกล่าวว่าระบบ Sandbox ตกเป็นเป้าหมายได้ง่ายเนื่องจากผู้ใช้งานในส่วนนี้คือกุญแจสำคัญที่สามารถเข้าถึงข้อมูลที่มีค่าขององค์กรได้ นอกจากนี้ด้วยตัว Sandbox ก็มักจะมีข้อมูลที่ละเอียดอ่อนภายในระบบอยู่แล้ว โดยการใช้งานมีฟีเจอร์ถึงขนาดว่าสามารถทำสำเนาฐานข้อมูลของ Production เข้ามาใน Sandbox ได้เลย จากการวิเคราะห์เพิ่มเติมระบบ Production ทั้งหมดใช้ Wildcard Certificate ในโดเมน *.operations.dynamics.com แม้ว่าระบบ Production ไม่สามารถใช้งาน RDP ได้ ทำให้การดึง Private Key ออกมาทำได้ยากขึ้นแต่ Gliwka เชื่อว่าก็ยังมีทางทำได้ หากแฮ็กเกอร์สามารถหาและใช้ช่องโหว่ที่ทำให้เกิด Code Execution บนเซิร์ฟเวอร์ได้

อย่างไรก็ดี Microsoft ออกมาบอกว่าสุดท้ายแล้วได้ตัดสินใจอัปเดตสภาพแวดล้อมของ Sandbox และ Production ให้ใช้ Certificate คนละตัวกัน อีกทั้งอ้างว่านี่เป็นการป้องกันแบบ ‘Defend-in-depth‘ พร้อมทั้งบอกเพิ่มเติมว่า “การควบคุมที่เกิดขึ้นบนสภาพแวดล้อมของ Production ที่ถูกอธิบายด้านเทคนิคนั้นไม่สามารถใช้การได้” แม้ว่าดูเหมือนปัญหานี้ไม่ได้ถูกมองว่าเป็นปัญหาใหญ่แต่ Gliwka มองว่า Microsoft ใช้เวลานานเกินไปในการแก้ไขปัญหาเพราะได้รับรายงานตั้งแต่กลางเดือนสิงหาคมแล้ว แต่กว่าจะมีการแก้ปัญหาก็ปาเข้าไปกลางเดือนธันวาคม

ที่มา : http://www.securityweek.com/microsoft-says-erp-product-private-key-leak-posed-little-risk?


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

24 เว็บไซต์ดังถูกแฮ็ก ข้อมูลผู้ใช้กว่า 834 ล้านรายชื่อถูกขายใน Dark Web

เว็บไซต์ The Hacker News ออกมาแจ้งเตือนถึงเหตุการณ์ Data Breach บนเว็บไซต์ชื่อดังรวม 24 เว็บไซต์ ส่งผลให้ข้อมูลส่วนบุคคลของผู้ใช้กว่า 834 ล้านรายชื่อถูกขายบน Dark Web …

เตือนภัยหน้า Facebook Login ปลอมหลอกขโมยรหัสผ่าน ใช้ HTML/Javascript ปลอมตัวเองให้เหมือนหน้าต่าง Browser

หน้า Phishing ปลอมตัวเองเป็น Facebook เพื่อหลอกขโมยชื่อผู้ใช้งานและรหัสผ่านนั้นเป็นแนวคิดที่เราพบเจอกันมานาน และหากตั้งใจสังเกตความผิดปกติในจุดต่างๆ นั้นก็พอจะสามารถหลบเลี่ยงจากการถูกหลอกได้ แต่ในครั้งนี้นักวิจัยด้าน Security ได้ค้นพบหน้า Facebook Login ปลอมแบบใหม่ที่สมจริงมากๆ ด้วยการใช้ HTML/Javascript มาปลอมตัวเองให้เหมือนเป็นหน้าต่างของ Browser ที่เราใช้งาน และแสดง URL แบบปลอมๆ เสมือนว่าเป็นเว็บจริง ทำให้ยากต่อการสังเกตและป้องกันตัวเองขึ้นไปอีก