Fragen? Antworten! Siehe auch: Alternativlos
Da fragt man sich, was die Leute eigentlich beruflich machen, die Microsoft Zertifikats-Handling-Code schreiben lässt. Da gibt es im Wesentlichen eine (EINE!) Anforderung. Und die verkacken sie mit Anlauf im Industriemaßstab.
The actor used an acquired MSA key to forge tokens to access OWA and Outlook.com. MSA (consumer) keys and Azure AD (enterprise) keys are issued and managed from separate systems and should only be valid for their respective systems. The actor exploited a token validation issue to impersonate Azure AD users and gain access to enterprise mail.
Oh, soso, ein Token Validation Issue, ja? Ich finde ja, wenn du Tokens nicht sauber validierst, ist das ein System-Totalschaden, kein "issue", das man korrigiert und einfach weiterpfuscht.In diesem Fall erfahren wir davon, weil es US-Regierungsbehörden betraf.
Als besonders abstoßend empfinde ich auch das Krisen-PR-Neusprech, das Microsoft hier rausfurzt. Geradezu eine intellektuelle Beleidigung. Alle üblichen Bullshit-Ausreden. Kein einziges "Entschuldigung, dass wir unser zentrales, fundamentales Cloud-Versprechen so dermaßen großflächig verkackt haben".