Компания Microsoft исключила из списка доверенных два корневых сертификата, скомпрометированных в результате ошибки разработчиков программы HeadSetup. Теперь приложения или сайты, подписанные этими ключами, будут идентифицироваться Windows как ненадежные.

Об утечке, которая привела к отзыву сертификатов, стало известно еще в июле этого года, однако обновления, исправляющие недостаток, увидели свет лишь 23 ноября.

Как выяснили специалисты компании Secorvo, при инсталляции программ HeadSetup и HeadSetup Pro в хранилище Windows автоматически устанавливались два корневых TLS-сертификата, а в папке инсталлятора создавался файл SennComCCKey.pem, содержащий закрытые ключи. Однако при обновлении или деинсталляции приложения установленные сертификаты не удалялись, как должно, равно как и ключи, доступные любому пользователю.

Используя эти реликты, злоумышленник мог создавать поддельные сертификаты и использовать их для проведения MitM-атак на системы, в которых имеется инсталлятор HeadSetup. Можно было также загружать на машину жертвы вредоносное ПО, подписанное фальшивым сертификатом на имя известного производителя софта — к примеру, Microsoft.

Исследователи сообщили разработчикам о своей находке, а также подготовили PoC-атаку, демонстрирующую извлечение ключей из файла .pem. По словам ИБ-специалистов, брешь, которую они оценили в 7,5 баллов по CVSS, затронула версии 7.3.4903, 7.4.5601 и 8.0.6108 программы HeadSetup для Windows. В отчете экспертов не упоминаются приложения HeadSetup Pro и HeadSetup для macOS, однако, по информации журналистов ZDNet, они также содержат ошибку.

Создатели HeadSetup признали наличие уязвимости (ей был присвоен идентификатор CVE-2018-17612) и исправили баг, выпустив 23 ноября следующие обновления:

  • HeadSetup 8.1.6114;
  • HeadSetup 5.3.7011 для macOS;
  • HeadSetup Pro 2.6.8235.

По словам разработчиков, релизы удаляют файл с ключами и заменяют сертификаты в хранилище. В случае с macOS очистку придется производить вручную.

Семейство программ HeadSetup разработано немецкой компанией Sennheiser и предназначено для совершения голосовых звонков по обычным интернет-каналам.

В 2017 году утечку SSL-ключей допустила сама Microsoft. Как выяснил ИБ-аналитик Маттиас Гливка (Matthias Gliwka), ERP-система Dynamics 365, размещенная в облачном хранилище Azure, позволяла получить доступ к секретным последовательностям через RDP. Специалисту понадобилось почти четыре месяца, чтобы убедить разработчика исправить баг и заменить скомпрометированные сертификаты.

Категории: Другие темы, Кибероборона