Microsoft warnt vor zwei Apps mit unsicheren Root-Zertifikaten

Microsoft weist in einem Security Advisory auf zwei Anwendungen hin, die versehentlich zwei Root-Zertifikate installiert und anschließend die zugehörigen privaten Schlüssel verloren haben. Der Fehler der Entwickler der beiden Apps hat zur Folge, dass Dritte nun die privaten Schlüssel der beiden Anwendungen extrahieren und eigene gefälschte Zertifikate installieren können. Diese wiederum können benutzt werden, um gefälschte Websites oder auch Software als legitim auszugeben.

Betroffen sind Nutzer, die die Anwendungen Headsetup der Headsetup Pro des deutschen Anbieters Sennheiser. Die Anwendungen ermöglichen es, Office-Headsets von Sennheiser mit Softphone-Plattformen von Drittanbietern zu nutzen.

Entdeckt wurde der Fehler vom deutschen Cybersicherheitsanbieter Secorvo. Ihm zufolge installierten die Version 7.3, 7.4 und 8.0 der beiden Anwendungen zwei Root-CA-Zertifikate als vertrauenswürdige Root-Zertifikate auf Windows-Systemen. Zudem enthielt die Datei „SennComCCKey.pem“ die privaten Schlüssel.

Mit gestern veröffentlichtem Beispielcode zeigten die Sicherheitsforscher zudem, wie Angreifer mit sehr geringem Aufwand die Installationsdateien beider Anwendungen analysieren und die privaten Schlüssel entnehmen können.

Sennheiser hat das Problem inzwischen eingeräumt. „Aufgrund der Sicherheitslücke, die am 9. November in Sennheiser Headsetup und Headsetup Pro festgestellt wurde, wurden neue Versionen aller Software Varianten zum Download verfügbar gemacht.
Durch das Aktualisieren der Software auf die neueste Version werden die betreffenden Zertifikate entfernt. Ab dem 23. November lauten die neuesten Softwareversionen wie folgt: Headsetup Pro Version 2.6.8235; Headsetup: Version 8.0.6114 (für PC) und Version 5.3.7011 (für Mac)“, heißt es auf der Sennheiser-Website.

Secorvo zufolge ist ein Update der beiden Anwendungen oder auch deren Installation nicht ausreichend, um das Problem zu lösen. „Bei der Entfernung (Deinstallation) der Headsetup-Software wird der komplette Headsetup-Installationsordner – einschließlich Zertifikat und Schlüsseldateien – gelöscht. In keinem der beiden Fälle wird jedoch eines der CA-Zertifikate, die während des Installations- oder Aktualisierungsprozesses dem vertrauenswürdigen Root Store des lokalen Computers hinzugefügt wurden, entfernt“, warnt das Unternehmen. Eine Anleitung zur manuellen Löschung der Zertifikate hält Secorvo in seinem Untersuchungsbericht (PDF) bereit.

Microsoft hat als Reaktion ein Update für Certificate Trust List veröffentlicht. Es entzieht den fraglichen Sennheiser-Zertifikaten das Vertrauen.

ANZEIGE

IT-Kosten im digitalen Zeitalter optimieren – Nutzen Sie innovative Technologien und generieren Sie neue Geschäftschancen

Erfahren Sie in diesem Whitepaper von Konica Minolta, wie sich durch die Nutzung innovativer Technologien neue Geschäftschancen generieren lassen. Jetzt herunterladen!

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Corona befördert das Wachstum von Cloud-Services

Corona hat sowohl die Bedeutung der IT als auch von Public Cloud Services gesteigert. Die…

2 Tagen ago

ZTNA versus Remote Access VPN – 6 Vorteile

Remote Access Virtual Private Networks (VPN) haben lange gute Dienste geleistet, aber der Trend zum…

2 Tagen ago

AWS nutzt Fedora Linux für sein cloudbasiertes Amazon Linux

Ziel ist die Integration von Red Hat Enterprise Linux. Das Betriebssystem ist für Amazon EC2…

2 Tagen ago

So setzen Ransomware-Verbrecher ihre Opfer unter Druck

Ransomware-Angreifer setzen eine breite Palette von rücksichtslosen Druckmitteln ein, um die Opfer zur Zahlung des…

2 Tagen ago

Kubernetes gegen Ransomware

Container sind mittlerweile nicht mehr vor Attacken gefeit. Veritas verrät sechs Tipps, um Kubernetes-Daten vor…

2 Tagen ago

Storage-Tiering – ein obsoletes Paradigma

Das traditionelle Tiering von Speicherinfrastruktur in verschiedene Klassen je nach Alter der Daten und Zugriffswahrscheinlichkeit…

2 Tagen ago