据外媒 12 月 11 日报道，微软意外暴露了一个 Dynamics 365 TLS 证书和私钥，暴露时间至少超过 100 天，这个情况使得沙箱环境被公开，以至于可能导致用户遭受 中间人（MiTM） 攻击。

软件开发人员 Matthias Gliwka 在使用 Microsoft ERP 系统 的云版本时发现了这个问题。据悉，微软于去年开始提供 该 产品。该产品是由 Azure 托管的 SaaS 解决方案，可通过一个全面的控制面板( Life Cycle Services )来访问。

根据 Gliwka 的说法，TLS 证书用于加密用户和服务器之间的 web 通信，若攻击者提取出证书，那么将可以访问任何沙箱环境。相关人员透露，沙箱环境的主机名是customername.sandbox.operations.dynamics.com。

在此次事件中，TLS 证书在用于用户验收测试（也称为“ 沙箱 ”）的 Dynamics 365 沙箱环境中被公开。用户验收的作用是反映生产环境的设置 ，并且提供具有管理功能的 RDP 访问权限。所以通过 RDP 能够访问沙箱环境，从而可以了解微软如何设置一个服务器来承载关键业务应用程序。

据悉，在 Gliwka 向微软反映了这个问题后，微软花了一定时间来解决它。此外，Gliwka 还联系了德国技术自由职业者 Hanno Bock 来获取此次事件的覆盖范围。 据 Gliwka 称， Bock 试图用 Mozilla 的 bug 追踪器提交一个 bug 标签来引发微软的行动。相关人士透露，此次事件已在在 12 月 5 日得到解决。

(责任编辑：冬天的宇)