Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

InformazioniVulnerabilità

Avviso di sicurezza di Microsoft per certificati digitali compromessi

microsoft   mercoledì, 28 novembre 2018

Nella giornata del 27 novembre 2018 Microsoft ha emesso un avviso di sicurezza relativo a due certificati digitali CA root installati in Windows da applicazioni di terze parti, le cui corrispondenti chiavi private sono state rese per errore pubbliche dagli sviluppatori.

I certificati in questione non contengono restrizioni d’uso e potrebbero essere sfruttati da cybercriminali per emettere altri certificati utilizzabili per effettuare lo spoofing di applicazioni software o siti Web legittimi allo scopo di diffondere malware o realizzare frodi informatiche.

I due certificati di root compromessi vengono installati dalle applicazioni HeadSetup e HeadSetup Pro del produttore tedesco Sennheiser. Queste applicazioni consentono a cuffie e microfoni Sennheiser di funzionare correttamente con le più diffuse applicazioni Softphone che permettono di effettuare chiamate telefoniche attraverso PC, tablet o smartphone, sfruttando una connessione Internet.

I ricercatori della società tedesca Secorvo Security Consulting GmbH hanno scoperto lo scorso luglio che le versioni 7.3, 7.4 e 8.0 dell’applicazione HeadSetup installano i due certificati CA root nel Trusted Root Certification Authorities Certificate Store di Windows e includono le chiavi private con le quali entrambi i certificati sono firmati nel file “SennComCCKey.pem”. Un attaccante potrebbe analizzare i programmi di installazione delle due applicazioni ed estrarre con facilità le chiavi private dall’archivio. A questa falla è stato assegnato il codice CVE-2018-17612.

Il produttore è stato avvisato della problematica ed ha provveduto a rilasciare lo scorso 23 novembre versioni aggiornate delle applicazioni HeadSetup e HeadSetup Pro che installano certificati diversi e non contengono più le chiavi private corrispondenti, provvedendo anche a rimuovere i vecchi certificati durante la fase di installazione. Gli utenti Windows debbono aggiornare HeadSetup alla versione 8.1.6114 e HeadSetup Pro alla versione 2.6.8235.

Nel frattempo Microsoft ha provveduto in via precauzionale ad aggiornare la Certificate Trust List rimuovendo la user-mode trust dai due certificati compromessi.

Anche gli utenti macOS che hanno installato versioni vulnerabili di HeadSetup sono a rischio e debbono aggiornare l’applicazione alla versione 5.3.7011. Purtroppo in questo caso i certificati compromessi vanno rimossi manualmente seguendo le istruzioni fornite dal produttore nell’avviso di sicurezza relativo.

Per maggiori informazioni su questa problematica è possibile consultare il seguente avviso di sicurezza di Microsoft (in Inglese):

Notizie correlate

Aggiornamenti di sicurezza per prodotti Microsoft (dicembre 2018)

12 dicembre 2018

Nella giornata dell'11 dicembre 2018 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti tra cui Windows, .NET Framework, Edge e Internet Explorer.Leggi tutto

Aggiornamenti di sicurezza per prodotti Microsoft (novembre 2018)

14 novembre 2018

Nella giornata del 13 novembre 2018 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti, tra cui Windows e Edge.Leggi tutto

Aggiornamenti di sicurezza per prodotti Microsoft (ottobre 2018)

10 ottobre 2018

Nella giornata del 9 ottobre 2018 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti, tra cui Windows, Internet Explorer, Edge, Office, SharePoint e Exchange.Leggi tutto