Microsoft weist in einem Security Advisory auf zwei Anwendungen hin, die versehentlich zwei Root-Zertifikate installiert und anschließend die zugehörigen privaten Schlüssel verloren haben. Der Fehler der Entwickler der beiden Apps hat zur Folge, dass Dritte nun die privaten Schlüssel der beiden Anwendungen extrahieren und eigene gefälschte Zertifikate installieren können. Diese wiederum können benutzt werden, um gefälschte Websites oder auch Software als legitim auszugeben.
Entdeckt wurde der Fehler vom deutschen Cybersicherheitsanbieter Secorvo. Ihm zufolge installierten die Version 7.3, 7.4 und 8.0 der beiden Anwendungen zwei Root-CA-Zertifikate als vertrauenswürdige Root-Zertifikate auf Windows-Systemen. Zudem enthielt die Datei „SennComCCKey.pem“ die privaten Schlüssel.
Mit gestern veröffentlichtem Beispielcode zeigten die Sicherheitsforscher zudem, wie Angreifer mit sehr geringem Aufwand die Installationsdateien beider Anwendungen analysieren und die privaten Schlüssel entnehmen können.
Sennheiser hat das Problem inzwischen eingeräumt. „Aufgrund der Sicherheitslücke, die am 9. November in Sennheiser Headsetup und Headsetup Pro festgestellt wurde, wurden neue Versionen aller Software Varianten zum Download verfügbar gemacht.
Durch das Aktualisieren der Software auf die neueste Version werden die betreffenden Zertifikate entfernt. Ab dem 23. November lauten die neuesten Softwareversionen wie folgt: Headsetup Pro Version 2.6.8235; Headsetup: Version 8.0.6114 (für PC) und Version 5.3.7011 (für Mac)“, heißt es auf der Sennheiser-Website.
Secorvo zufolge ist ein Update der beiden Anwendungen oder auch deren Installation nicht ausreichend, um das Problem zu lösen. „Bei der Entfernung (Deinstallation) der Headsetup-Software wird der komplette Headsetup-Installationsordner – einschließlich Zertifikat und Schlüsseldateien – gelöscht. In keinem der beiden Fälle wird jedoch eines der CA-Zertifikate, die während des Installations- oder Aktualisierungsprozesses dem vertrauenswürdigen Root Store des lokalen Computers hinzugefügt wurden, entfernt“, warnt das Unternehmen. Eine Anleitung zur manuellen Löschung der Zertifikate hält Secorvo in seinem Untersuchungsbericht (PDF) bereit.
Microsoft hat als Reaktion ein Update für Certificate Trust List veröffentlicht. Es entzieht den fraglichen Sennheiser-Zertifikaten das Vertrauen.
Erfahren Sie in diesem Whitepaper von Konica Minolta, wie sich durch die Nutzung innovativer Technologien neue Geschäftschancen generieren lassen. Jetzt herunterladen!
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
