微软安全传输层协议证书及私钥暴露超过100天，获取证书的攻击者可随意发起攻击

17-12-13 来源：[db:作者]

收藏我要投稿

近日，有软件开发人员意外发现微软安全传输层协议(Dynamics 365 TLS)证书及私钥暴露已经超过100天，获取该证书的黑客能够访问任何沙盒环境并对其发动中间人攻击。

为什么暴露的安全传输层协议证书及私钥会导致如此严重的后果?这是由于暴露TLS证书的私钥就意味着攻击者能够借此解密数字证书所保护的流量，并借助TLS证书的私钥冒充服务器，如此一来就能在不被安全机制检测的情况下泄露受害用户的通信。

Dynamics 365 TLS是微软新推出的云端商务应用解决方案，它能有效的帮助企业适应市场变化并持续发展，如果有不法分子提取了泄露出的证书就意味着所有使用Dynamics 365沙盒环境的企业都将面临棘手的安全问题。实际上黑客只需要通过一个C++小程序便能导出TLS证书的私钥，由于该证书是用来解密用户与服务器之间的Web流量的，因此攻击者可提取证书访问任何沙盒环境。

此前，发现该问题的开发人员早在8月中旬就向微软报告了漏洞的相关问题，但是即便报告者详细描述了漏洞并提供私钥和加密副本等证据，微软仍然认为该问题并不算一个漏洞，因为攻击者需要获得管理员凭证才能提取。事后虽然开发人员仍多次反映问题但一直无法得到解决，直到德国安全研究人员尝试通过Mozilla漏洞追踪器提交漏洞报告后，微软才真正再12月初修复该漏洞。

点击复制链接与好友分享!回本站首页