Microsoft warnt vor zwei Apps mit unsicheren Root-Zertifikaten

Sie stammen vom deutschen Anbieter Sennheiser. Das Unternehmen legt den Zertifikaten bei der Installation der Software Headsetup auch die zugehörigen privaten Schlüssel bei. Microsoft entzieht den Zertifikaten zudem das Vertrauen.

Microsoft weist in einem Security Advisory auf zwei Anwendungen hin, die versehentlich zwei Root-Zertifikate installiert und anschließend die zugehörigen privaten Schlüssel verloren haben. Der Fehler der Entwickler der beiden Apps hat zur Folge, dass Dritte nun die privaten Schlüssel der beiden Anwendungen extrahieren und eigene gefälschte Zertifikate installieren können. Diese wiederum können benutzt werden, um gefälschte Websites oder auch Software als legitim auszugeben.

Betroffen sind Nutzer, die die Anwendungen Headsetup der Headsetup Pro des deutschen Anbieters Sennheiser. Die Anwendungen ermöglichen es, Office-Headsets von Sennheiser mit Softphone-Plattformen von Drittanbietern zu nutzen.

Entdeckt wurde der Fehler vom deutschen Cybersicherheitsanbieter Secorvo. Ihm zufolge installierten die Version 7.3, 7.4 und 8.0 der beiden Anwendungen zwei Root-CA-Zertifikate als vertrauenswürdige Root-Zertifikate auf Windows-Systemen. Zudem enthielt die Datei „SennComCCKey.pem“ die privaten Schlüssel.

Mit gestern veröffentlichtem Beispielcode zeigten die Sicherheitsforscher zudem, wie Angreifer mit sehr geringem Aufwand die Installationsdateien beider Anwendungen analysieren und die privaten Schlüssel entnehmen können.

Sennheiser hat das Problem inzwischen eingeräumt. „Aufgrund der Sicherheitslücke, die am 9. November in Sennheiser Headsetup und Headsetup Pro festgestellt wurde, wurden neue Versionen aller Software Varianten zum Download verfügbar gemacht.
Durch das Aktualisieren der Software auf die neueste Version werden die betreffenden Zertifikate entfernt. Ab dem 23. November lauten die neuesten Softwareversionen wie folgt: Headsetup Pro Version 2.6.8235; Headsetup: Version 8.0.6114 (für PC) und Version 5.3.7011 (für Mac)“, heißt es auf der Sennheiser-Website.

Secorvo zufolge ist ein Update der beiden Anwendungen oder auch deren Installation nicht ausreichend, um das Problem zu lösen. „Bei der Entfernung (Deinstallation) der Headsetup-Software wird der komplette Headsetup-Installationsordner – einschließlich Zertifikat und Schlüsseldateien – gelöscht. In keinem der beiden Fälle wird jedoch eines der CA-Zertifikate, die während des Installations- oder Aktualisierungsprozesses dem vertrauenswürdigen Root Store des lokalen Computers hinzugefügt wurden, entfernt“, warnt das Unternehmen. Eine Anleitung zur manuellen Löschung der Zertifikate hält Secorvo in seinem Untersuchungsbericht (PDF) bereit.

Microsoft hat als Reaktion ein Update für Certificate Trust List veröffentlicht. Es entzieht den fraglichen Sennheiser-Zertifikaten das Vertrauen.

061384 061385 akkus für BOSE SOUNDLINK Mini serie
063404 akkus für BOSE SOUNDLINK Mini I serie
9TV5X akkus für Dell XPS 12 9250 Latitude 12 7275 serie
A1406 akkus für Apple MacBook Air 11″ A1370 2011 2012
A1406 A1370 akkus für MacBookAir5.1 MacBook Air 11″
FG6Q akkus für AMAZON FG6Q 541385760001 Pad
88796akkus für Bose Soundlink Mini 2 Pack
HF12 Philips HF3520/3485/3480/3471/3470 Wake-Up Light EXCELLENT Netzteile/Adapters
T9500C akkus für Samsung Galaxy Note Pro12.2 Galaxy SM-P900 P905
SM-T900 akkus für Galaxy Tab Pro 12.2 P900 P901 P905 T9500C/E akku +TOOLS