Microsoft warnt vor zwei Apps mit unsicheren Root-Zertifikaten

Microsoft weist in einem Security Advisory auf zwei Anwendungen hin, die versehentlich zwei Root-Zertifikate installiert und anschließend die zugehörigen privaten Schlüssel verloren haben. Der Fehler der Entwickler der beiden Apps hat zur Folge, dass Dritte nun die privaten Schlüssel der beiden Anwendungen extrahieren und eigene gefälschte Zertifikate installieren können. Diese wiederum können benutzt werden, um gefälschte Websites oder auch Software als legitim auszugeben.

Betroffen sind Nutzer, die die Anwendungen Headsetup der Headsetup Pro des deutschen Anbieters Sennheiser. Die Anwendungen ermöglichen es, Office-Headsets von Sennheiser mit Softphone-Plattformen von Drittanbietern zu nutzen.

Entdeckt wurde der Fehler vom deutschen Cybersicherheitsanbieter Secorvo. Ihm zufolge installierten die Version 7.3, 7.4 und 8.0 der beiden Anwendungen zwei Root-CA-Zertifikate als vertrauenswürdige Root-Zertifikate auf Windows-Systemen. Zudem enthielt die Datei „SennComCCKey.pem“ die privaten Schlüssel.

Mit gestern veröffentlichtem Beispielcode zeigten die Sicherheitsforscher zudem, wie Angreifer mit sehr geringem Aufwand die Installationsdateien beider Anwendungen analysieren und die privaten Schlüssel entnehmen können.

Sennheiser hat das Problem inzwischen eingeräumt. „Aufgrund der Sicherheitslücke, die am 9. November in Sennheiser Headsetup und Headsetup Pro festgestellt wurde, wurden neue Versionen aller Software Varianten zum Download verfügbar gemacht.
Durch das Aktualisieren der Software auf die neueste Version werden die betreffenden Zertifikate entfernt. Ab dem 23. November lauten die neuesten Softwareversionen wie folgt: Headsetup Pro Version 2.6.8235; Headsetup: Version 8.0.6114 (für PC) und Version 5.3.7011 (für Mac)“, heißt es auf der Sennheiser-Website.

Secorvo zufolge ist ein Update der beiden Anwendungen oder auch deren Installation nicht ausreichend, um das Problem zu lösen. „Bei der Entfernung (Deinstallation) der Headsetup-Software wird der komplette Headsetup-Installationsordner – einschließlich Zertifikat und Schlüsseldateien – gelöscht. In keinem der beiden Fälle wird jedoch eines der CA-Zertifikate, die während des Installations- oder Aktualisierungsprozesses dem vertrauenswürdigen Root Store des lokalen Computers hinzugefügt wurden, entfernt“, warnt das Unternehmen. Eine Anleitung zur manuellen Löschung der Zertifikate hält Secorvo in seinem Untersuchungsbericht (PDF) bereit.

Microsoft hat als Reaktion ein Update für Certificate Trust List veröffentlicht. Es entzieht den fraglichen Sennheiser-Zertifikaten das Vertrauen.