Quando pensi di averle viste tutte in informatica, arriva sempre qualche notizia ancora più bizzarra. Installare un software di gestione per cuffie rendeva permanentemente vulnerabili i computer Windows.
L’azienda di sicurezza informatica Secorvo ha scoperto che Headsetup e Headsetup Pro, i programmi che installano i driver per le cuffie Sennheiser Office e Call center, installavano anche due certificati digitali di root malamente configurati (tanto per dirne una, la chiave privata e la passphrase per usarla erano scritte in chiaro in due file, e la passphrase era SennheiserCC).
Questo consentiva a qualunque criminale informatico di generare certificati digitali con i quali creare siti-trappola che si spacciavano perfettamente per Google, Apple, Microsoft o una banca, rendendo facili gli attacchi informatici sui computer nei quali era stato installato il software Sennheiser.
Cosa peggiore, i computer restavano vulnerabili anche dopo che era stato disinstallato il software, perché la disinstallazione non rimuoveva i certificati digitali difettosi.
Sennheiser ha pubblicato un aggiornamento correttivo e Microsoft ha diffuso un aggiornamento che disabilita i certificati digitali erronei. Chi usa le cuffie di questa marca dovrebbe quindi aggiornare il software; chi ha installato il software in passato dovrebbe eliminare il certificato digitale fallato seguendo queste istruzioni per Mac e queste per PC Windows.
2018/12/05 9:50
Ho ricevuto dall’ufficio stampa italiano di Sennheiser la precisazione che si trattava di un problema riguardante esclusivamente le cuffie Sennheiser usate per applicazioni office e call center. Riporto qui sotto integralmente la nota dell’ufficio stampa:
Per consentire alle cuffie Office e Call-Center e agli Speakerphones Sennheiser di lavorare senza problemi con PC e Mac, l’app HeadSetup stabilisce un websocket crittografato con un browser, come riporta ArsTechnica. Lo fa con l’installazione di un certificato TLS autofirmato in una posizione che i sistemi operativi riservano per la memorizzazione di certificati browser attendibili. Su Windows, questa posizione è chiamata Root CA certificate store, su Mac invece, è nota come Trust Store.
La vulnerabilità del software Sennheiser HeadSetup era derivata da un certificato autofirmato installato dalla versione 7.3 della stessa applicazione, che teneva la chiave privata di crittografia in un formato facilmente estraibile. Peraltro, poiché la chiave generata era identica per tutte le installazioni del software, sarebbe stata sufficiente una singola estrazione per generare certificati TLS falsi in grado di impersonare qualsiasi sito web HTTPS su Internet. Anche se i certificati autofirmati erano palesemente falsi, sarebbero stati accettati come autentici su tutti quei computer che avevano memorizzato il certificato creato dalla companion app di Sennheiser.
Una problematica che l’azienda tedesca ha risolto immediatamente rendendo disponibile la release di aggiornamento che, al tempo stesso, elimina il certificato vulnerabile; in ogni caso l’opzione più sicura rimane quella di eliminarlo manualmente.
Come ulteriore misura di rimedio, Sennheiser ha contattato Microsoft per ottenere l'invalidazione globale dei certificati interessati tramite un aggiornamento software mondiale, rilasciato il 27 novembre per gli utenti Windows. L'aggiornamento del sistema Windows elimina il rischio, anche per coloro che hanno scelto di eliminare il vecchio software HeadSetup attraverso un processo di disinstallazione.
Fonti aggiuntive: BoingBoing, Bleeping Computer, Ars Technica.
Nessun commento:
Posta un commento