Apple war in den letzten Wochen heftig dafür kritisiert worden, dass man beim eigenen macOS-Betriebssystem einige fatale Lücken hinterlassen und daraufhin auch bei den Sicherheitsupdates einige entscheidende Fehler gemacht hatte.
Unterdessen wurde Microsoft gerne gelobt, hatte man zum Beispiel die KRACK-WLAN-Lücke oder Petya lange vor Bekanntwerden der Lücken behoben, während Android-Geräte gegen erstere Lücke erst vor wenigen Tagen gesichert wurden. Bei den eigenen Enterprise-Produkten zeigte sich Microsoft kürzlich jedoch von der schlechtesten Seite.
In Microsoft Dynamics 365 for Finance and Operations, einst auch als Dynamics AX bekannt, hat sich nämlich ein schwerwiegender Zertifikatsfehler eingeschlichen. Beim Erstellen einer Testumgebung in Dynamics 365 wurde nämlich ein Wildcard-Zertifikat von Microsoft ausgestellt mit einem Private Key, welcher ausgelesen und genutzt werden konnte, auch um den Traffic anderer Unternehmenskunden zu entschlüsseln. Der Key konnte für alle Domains unter *.sanbox.operations.dynamics.com genutzt werden und mit einem Zertifikat konnten sämtliche Testumgebungen entschlüsselt werden, die auf Microsoft Dynamics 365 getestet haben. Dadurch, dass viele Testumgebungen häufig Abbilder der finalen Datenbank sind, hätte die Möglichkeit bestanden, auch fremde Kundendaten auszulesen. Der Angreifer müsste nur einen Testserver in Dynamics 365 erstellen und daraufhin den Traffic des Angriffsziels abfangen und könnte so im schlimmsten Fall unzählige kritische Kundendaten stehlen.
Neben diesem außerordentlich schwerwiegenden Fehler ist es Microsofts langsame Reaktion, die Kritik verdient. Der Entwickler Matthias Gliwka hatte das Problem bereits im August an Microsoft gemeldet, jedoch teilte das Unternehmen mit, dass dieser Fehler kein Sicherheitsservice benötige, da man der Ansicht war, ein Angreifer bräuchte Admin-Zugang. Im Oktober hatte der Entwickler es nochmals versucht, das Unternehmen sogar per Twitter kontaktiert und erst als sich die Medien einschalteten, reagierte Microsoft und künftige einen Fix an. Somit brauchte Microsoft ganze 100 Tage, um ein schwerwiegendes Sicherheitsproblem zu beheben, das vermutlich zahlreiche Dynamics 365-Kunden gefährdet haben dürfte, die ohne eigene Schuld unzählige Kundendaten hätten verlieren können.
