Sennheisers Headset-Software umfasst Root-Zertifikat mitsamt privatem Schlüssel

Hier werden aktuelle Meldungen diskutiert
[this is the place to discus news topics]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 34025
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Sennheisers Headset-Software umfasst Root-Zertifikat mitsamt privatem Schlüssel

Beitrag von doelf » 09 Nov 2018, 17:13

Die Sicherheitsexperten der "Secorvo Security Consulting GmbH" haben bei einer Inspektion des Zertifikatsspeichers ihrer Rechner zwei Root-Zertifikate gefunden, welche von HeadSetup, einer Software des Kopfhörerherstellers Sennheiser, installiert wurden. Dummerweise liefert Sennheiser den privaten Schlüssel für eines der Root-Zertifikate gleich mit und öffnet dadurch eine Sicherheitslücke. UPDATE: Inzwischen haben wir weitere Informationen von Sennheiser erhalten.

Die Sicherheitslücke (CVE-2018-17612) und ihre Möglichkeiten
Angreifer können mit Hilfe des Root-Zertifikates und des nun nicht mehr geheimen Schlüssels gültige Zertifikate erstellen und signieren. Windows und der Webbrowser vertrauen diesen Zertifikaten und lassen den Benutzer ins offene Messer laufen. Beispielsweise ist es möglich, ein gültiges Zertifikat für fremde Domains wie *.google.com auszustellen und den Datenverkehr über die scheinbar sichere HTTPS-Verbindung abzufangen. Alternativ lassen sich auch Zertifikate zum Signieren von Software ausstellen, so dass ein Schadprogramm den Anschein erweckt, von Microsoft oder anderen bekannten Firmen zu stammen. Bei der Installation von HeadSetup, welche als Administrator geschehen muss, weist Sennheiser nicht auf das Hinzufügen von Root-Zertifikaten hin. Das topt nur noch die Deinstallation, welche die gefährlichen Zertifikate auf dem Rechner belässt. Mit einer CVSS Base Score von 7,5 ist dieser Schwachstelle als kritisch anzusehen.

Software-Pfusch soll Ende des Monats behoben werden
Laut Sennheiser werden die Root-Zertifikate benötigt, um Softphone-Lösungen (Telefon-Software) im Webbrowser über das Headset zu unterstützen. Dazu wird lokal ein WSS (WebSocket Secure) geöffnet und eine HTTPS-Verbindung aufgebaut. Und damit es dabei nicht zu einem unerlaubten Cross-Origin Resource Sharing (CORS) kommt, wird frechweg ein TLS-Serverzertifikat für das lokale System (localhost, also die IP-Adresse 127.0.0.1) ausgestellt. Sennheisers Vorgehen ist höchst unkonventionell und gefährlich, schließlich sind TLS-Zertifikate für reservierte IP-Adressen wie 127.0.0.1 aus gutem Grund nicht vorgesehen. Sennheiser wurde am 23. Juli 2018 über die Sicherheitslücke informiert, kann bisher aber noch keine abgesicherte Version von HeadSetup anbieten. UPDATE: Die Bereitstellung eines Updates ist für Anfang der 47. Kalenderwoche (19. bis 25. November 2018) geplant. Gegenüber Secorvo hatte Sennheiser zunächst die 48. Kalenderwoche genannt.

UPDATE: Sennheiser ist um schnelle Hilfe bemüht
Sennheiser hat sich zwischenzeitlich mit weiteren Details bei uns gemeldet: Zum einen weist das Unternehmen darauf hin, dass seine Headsets auch ohne die optionale Software "HeadSetup" bzw. "HeadSetup Pro" voll funktionsfähig bleiben. Bis eine abgesicherte Version verfügbar ist, hat Sennheiser die HeadSetup-Downloads von seiner Webseite entfernt. Stattdessen gibt es nun eine Informationsseite für betroffene Kunden. Dort findet sich auch eine Anleitung, wie man das riskante Root-Zertifikat entfernen kann. Am einfachsten funktioniert dies mit einem Skript, welches Sennheiser zum Download anbietet. Parallel hierzu bemüht sich der Kopfhörerspezialist darum, "das unsichere Root-Zertifikat so schnell wie möglich zentral ungültig zu machen, um die Sicherheitslücke dauerhaft und sicher zu verschließen". Darüber hinaus wurde "ein unabhängiges IT-Security-Beratungsunternehmen beauftragt, eine ergänzende Überprüfung für das Update der Software durchzuführen". Die genannten Maßnahmen sind unserer Ansicht nach sinnvoll und zeigen, dass Sennheiser aus seinem Fehler gelernt hat.


Quelle:
https://www.secorvo.de/publikationen/he ... o-2018.pdf
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 34025
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Re: Sennheisers Headset-Software umfasst Root-Zertifikat mitsamt privatem Schlüssel

Beitrag von doelf » 12 Nov 2018, 14:49

UPDATE: Inzwischen haben wir weitere Informationen von Sennheiser erhalten und diese in die ursprüngliche Meldung eingepflegt.
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Antworten