Microsoft waarschuwt voor twee apps met foute root certificates

Microsoft heeft vandaag een security advisory gepubliceerd waarin het waarschuwt voor twee applicaties die per ongeluk twee root certificaten hebben geïnstalleerd op de computers van gebruikers en vervolgens de privésleutels gelekt hebben. De fouten maken dat kwaadwillenden misbruik kunnen maken van nietsvermoedende gebruikers van de twee apps.

Derde partijen zouden nu de privésleutels van de twee apps kunnen extraheren en gebruiken om nepcertificaten mee op te stellen voor spoofversies van legitieme websites. Het gaat om de apps HeadSetup en HeadSetup Pro van de Duitse softwareontwikkelaar Sennheiser. De software is specifiek ontwikkeld voor het instellen en beheren van softphones – software-apps waarmee gebruikers telefoongesprekken kunnen voeren via het internet en een computer, zonder dat ze daar een fysieke telefoon voor nodig hebben.

Updates komen eraan

Het probleem met de twee HeatSetup-apps kwam eerder dit jaar aan het licht, toen de Duitse securityfirma Secorvo erachter kwam dat versies 7.3, 7.4 en 8.0 twee root Certification Authority (CA) certificaten installeerde in de Windows Truested Root Certificate Store van de computer van gebruikers. Tegelijk kwamen de privésleutels in het SennComCCKey.pem-bestand te staan.

Het bleek voor aanvallers erg eenvoudig om de bestanden van beide apps te analyseren en de sleutels daaruit te extraheren. In het geval van MacOS-versies, bleek dat de certificaten niet verwijderd werden uit de Trusted Root Certificate Store als er een update geïnstalleerd werd, of het programma verwijderd werd.

Sennheiser heeft het bestaan van de fout al bevestigd en de twee apps van zijn website verwijderd. Dat zal zo zijn, tot het bedrijf later deze week een update uitbrengt. HeadSetup zal verder de betreffende root certificates van getroffen systemen opzoeken en verwijderen. Ze zullen daarnaast de certificaten vervangen met nieuwe versies die niet zomaar privésleutels lekken. Klanten die de Sennheiser HeadSetup-software hebben, moeten de updates zodra deze er zijn meteen installeren.