von Martin Brinkmann am 28. November 2018 in Sicherheit –
Keine Kommentare
Microsoft veröffentlicht eine Sicherheitsempfehlung heute unter ADV180029 — Versehentlich Offengelegt Digitale Zertifikate können Spoofing Ermöglichen — , warnt die Anwender und Administratoren über zwei Sennheiser-software-Programme, die möglicherweise eingeführt Schwachstellen auf Windows-Geräte, die Sie installiert wurden.
Die beiden Sennheiser-Produkte HeadSetup und HeadSetup-Pro installierten root-Zertifikate auf Systeme, die Sie installiert wurden. Benutzer, die führen Sie den installer mit erhöhten rechten wegen, wurden nicht informiert.
Ältere Versionen der Anwendung platziert den privaten Schlüssel und das Zertifikat in den installation-Ordner, die in sich selbst ist nicht eine gute Praxis. Sennheiser verwendet den gleichen privaten Schlüssel für alle Installationen der software von Sennheiser HeadSetup 7.3 oder älter.
Wer installiert die software auf einem computer-system oder noch halten, der private Schlüssel, potenziell missbrauchen, weil die. Ein Angreifer könnte die Zertifikate auf dem system die software installiert ist.
Das Zertifikat ist selbst-signiert, gekennzeichnet als ein CA-Zertifikat und gültig bis Januar 13, 2027, wenn installiert. Der installer”, schiebt Sie das Zertifikat in den lokalen Computer vertrauenswürdiger Stammzertifizierungsstellen-Zertifikatspeicher von Windows-system, auf dem es installiert wird”.
Updates von der Anwendung oder Entfernung der HeadSetup-software auf einem system der version 7.3 oder früher installiert wurden, ist nicht das Zertifikat entfernen. Systeme, die software war installiert an einem Punkt in der Zeit anfällig bleibt deshalb, auch wenn die software nicht mehr auf diesen Systemen installiert.
Deutsche security-Firma Secorvo Security Consulting GMHB veröffentlicht, die eine Sicherheitslücke Bericht enthält weitere details.
Secorvo beschreibt verschiedene Angriff Szenarien in dem Bericht:
- Lesen und ändern der kompletten session des Opfers mit irgendwelchen scheinbar sichere HTTPS
web-server - Senden Sie das Opfer bösartiger software oder mit einem download-link, um bösartige
software scheinbar aus einem beliebigen bekannten software-publisher
Sennheiser geändert, die das Installations-system in neueren Versionen von Sennheiser HeadSetup. Angreifer können keine gültigen Zertifikate mehr direkt als Sennheiser behielt diese Geheimnis dieser Zeit.
Die Forscher konnten keine veröffentlichten Informationen zu den “Richtlinien nach denen die SeenComRootCA betreibt” und betrachten die “Gefahr, dass ein Angreifer möglicherweise in betrügerischer Absicht erhalten ein Zertifikat deutlich höher [..] als für die anderen vorinstallierten Root-CAs oder Ihre jeweiligen Sub-CAs”.
Sennheiser hat nicht veröffentlicht ein update zu der Zeit des Schreibens, die das Problem behebt, aber entfernt von downloads von bestehenden setup-Versionen der Anwendung. Microsoft, allerdings entfernt die Zertifikate aus seine Certificate Trust List.
Sie können verfolgen, das Problem unter CVE-2018-17612.
Klimaschutz
Administratoren können entfernen Sie die Zertifikate in der folgenden Weise:
- Öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten rechten.
- Wählen Sie Start.
- Geben Sie cmd ein.
- Mit der rechten Maustaste auf das Ergebnis und wählen Sie “als administrator ausführen” aus dem Kontextmenü.
- Führen Sie die folgenden Befehle auf der Kommandozeile:
- certutil -delstore root “127.0.0.1”
- certutil -delstore root “SennComRootCA”
Hinweis: wenn Sie die web-basierte Funktionalität, entfernen Sie nur das erste Zertifikat und warten, bis ein update von der software-Anwendung.
Active Directory-Administratoren können die Zertifikate in den Speicher für nicht Vertrauenswürdige Zertifikate; diese finden Sie unter RichtlinienWindows-EinstellungenSicherheitseinstellungenRichtlinien Öffentlicher Schlüssel
Nicht Vertrauenswürdige Zertifikate.