Nella giornata del 27 novembre 2018 Microsoft ha emesso un avviso di sicurezza relativo a due certificati digitali CA root installati in Windows da applicazioni di terze parti, le cui corrispondenti chiavi private sono state rese per errore pubbliche dagli sviluppatori.
I certificati in questione non contengono restrizioni d’uso e potrebbero essere sfruttati da cybercriminali per emettere altri certificati utilizzabili per effettuare lo spoofing di applicazioni software o siti Web legittimi allo scopo di diffondere malware o realizzare frodi informatiche.
I due certificati di root compromessi vengono installati dalle applicazioni HeadSetup e HeadSetup Pro del produttore tedesco Sennheiser. Queste applicazioni consentono a cuffie e microfoni Sennheiser di funzionare correttamente con le più diffuse applicazioni Softphone che permettono di effettuare chiamate telefoniche attraverso PC, tablet o smartphone, sfruttando una connessione Internet.
I ricercatori della società tedesca Secorvo Security Consulting GmbH hanno scoperto lo scorso luglio che le versioni 7.3, 7.4 e 8.0 dell’applicazione HeadSetup installano i due certificati CA root nel Trusted Root Certification Authorities Certificate Store di Windows e includono le chiavi private con le quali entrambi i certificati sono firmati nel file “SennComCCKey.pem”. Un attaccante potrebbe analizzare i programmi di installazione delle due applicazioni ed estrarre con facilità le chiavi private dall’archivio. A questa falla è stato assegnato il codice CVE-2018-17612.
Il produttore è stato avvisato della problematica ed ha provveduto a rilasciare lo scorso 23 novembre versioni aggiornate delle applicazioni HeadSetup e HeadSetup Pro che installano certificati diversi e non contengono più le chiavi private corrispondenti, provvedendo anche a rimuovere i vecchi certificati durante la fase di installazione. Gli utenti Windows debbono aggiornare HeadSetup alla versione 8.1.6114 e HeadSetup Pro alla versione 2.6.8235.
Nel frattempo Microsoft ha provveduto in via precauzionale ad aggiornare la Certificate Trust List rimuovendo la user-mode trust dai due certificati compromessi.
Anche gli utenti macOS che hanno installato versioni vulnerabili di HeadSetup sono a rischio e debbono aggiornare l’applicazione alla versione 5.3.7011. Purtroppo in questo caso i certificati compromessi vanno rimossi manualmente seguendo le istruzioni fornite dal produttore nell’avviso di sicurezza relativo.
Per maggiori informazioni su questa problematica è possibile consultare il seguente avviso di sicurezza di Microsoft (in Inglese):