Οι χρήστες που έχουν εγκαταστήσει το λογισμικό Sennheiser HeadSetup, δεν γνωρίζουν ότι μαζί με αυτό εγκατέστησαν επίσης ένα root certificate στο Trusted Root CA Certificate store. Ακόμα χειρότερα το λογισμικό εγκαθιστά επίσης μια κρυπτογραφημένη έκδοση του ιδιωτικού κλειδιού του πιστοποιητικού, που δεν είναι τόσο ασφαλές όσο πίστευαν οι προγραμματιστές.
Όπως και το φιάσκο του Lenovo SuperFish, αυτό το πιστοποιητικό και το ιδιωτικό κλειδί του, ήταν το ίδιο για όλους όσους εγκατέστησαν το συγκεκριμένο λογισμικό. Λόγω αυτού, θα μπορούσε να επιτρέψει σε έναν εισβολέα ο οποίος ήταν σε θέση να αποκρυπτογραφήσει το ιδιωτικό κλειδί να εκτελέσει επιθέσεις “Man-in-the-Middle“.
Ενώ αυτά τα αρχεία πιστοποιητικών διαγράφονται όταν ένας χρήστης απεγκαθιστά το λογισμικό HeadSetup, το trusted root certificate δεν καταργείτε. Αυτό θα επέτρεπε σε έναν εισβολέα που είχε το σωστό ιδιωτικό κλειδί να συνεχίσει να εκτελεί επιθέσεις ακόμη και όταν το λογισμικό δεν είναι εγκατεστημένο πλέον στον υπολογιστή.
Σύμφωνα με μια αποκάλυψη που έγινε σήμερα από την εταιρεία παροχής συμβουλών ασφάλειας Secorvo, αυτά τα πιστοποιητικά ανακαλύφθηκαν όταν έγινε ένας τυχαίος έλεγχος του Trusted Root Certificate CA store ενός υπολογιστή.
Όταν είναι εγκατεστημένο το HeadSetup, τοποθετούνται δύο πιστοποιητικά στον υπολογιστή. Αυτά τα πιστοποιητικά χρησιμοποιούνται από το λογισμικό για να επικοινωνούν με το Headset, χρησιμοποιώντας ένα κρυπτογραφημένο TLS web socket.
Το πρώτο πιστοποιητικό που ονομάζεται SennComCCCert.pem είναι το πιστοποιητικό root και το SennComCCKey.pem είναι το ιδιωτικό κλειδί για αυτό το πιστοποιητικό.
Όταν οι ερευνητές ανέλυσαν το ιδιωτικό κλειδί, διαπίστωσαν ότι ήταν κρυπτογραφημένο με κρυπτογράφηση AES-128-CBC και χρειάστηκε να βρουν τον κατάλληλο κωδικό πρόσβασης για να το αποκρυπτογραφήσουν. Καθώς το πρόγραμμα HeadSetup χρειάστηκε να αποκρυπτογραφήσει επίσης το κλειδί, πρέπει να ήταν κάπου αποθηκευμένο, και στην περίπτωση αυτή ήταν σε ένα αρχείο που ονομάζεται WBCCListener.dll.
“Για να αποκρυπτογραφήσουμε το αρχείο έπρεπε να γνωρίζουμε τον αλγόριθμο κρυπτογράφησης και το κλειδί που ο κατασκευαστής χρησιμοποίησε για την κρυπτογράφηση”, εξήγησαν οι ερευνητές. “Η πρώτη μας εικασία ήταν ότι ο πάροχος χρησιμοποίησε τον κοινό αλγόριθμο κρυπτογράφησης AES με κλειδί 128 bit σε λειτουργία CBC. Στον κατάλογο εγκατάστασης του HeadSetup βρήκαμε μόνο ένα κομμάτι εκτελέσιμου κώδικα που περιείχε το όνομα αρχείου SennComCCKey.pem, ένα αρχείο DLL με το όνομα WBCCListener.dll. Ελέγξαμε για το “AES” στα strings που περιέχονται σε αυτό το DLL. Υπήρχε πράγματι το αναγνωριστικό αλγορίθμου aes-128.cbc. Βρήκαμε ότι το κλειδί που χρησιμοποιούσε ο πάροχος είχε στενή εγγύτητα σε αυτό το αναγνωριστικό αλγορίθμου, αποθηκευμένο με σαφήνεια στον κώδικα.”
Μόλις αποκρυπτογράφησαν το ιδιωτικό κλειδί σε ένα τυπικό OpenSSL PEM χρειάζονταν ένα passphrase για να το χρησιμοποιήσουν. Αυτό το passphrase εντοπίστηκε σε ένα αρχείο ρυθμίσεων που ονομάζεται WBCCServer.properties.
Τώρα που είχαν πρόσβαση στο ιδιωτικό κλειδί για το πιστοποιητικό root, μπόρεσαν να δημιουργήσουν ένα πιστοποιητικό wild card.
Δεδομένου ότι αυτό το πιστοποιητικό δημιουργήθηκε χρησιμοποιώντας το ίδιο ιδιωτικό κλειδί που βρίσκεται σε οποιονδήποτε υπολογιστή εγκατέστησε την ίδια έκδοση του HeadSetup, αυτοί οι άλλοι υπολογιστές θα ήταν επίσης ευάλωτοι σε αυτό το πιστοποιητικό. Στη συνέχεια, θα μπορούσε να χρησιμοποιηθεί από έναν εισβολέα για να εκτελέσει μια επίθεση man-in-the-middle.
Οι επιτιθέμενοι θα μπορούσαν εξίσου εύκολα να δημιουργούν πιστοποιητικά για να πραγματοποιήσουν επιθέσεις σε τράπεζες, προκειμένου να κλέψουν τα διαπιστευτήρια σύνδεσης, τις πληροφορίες πιστωτικών καρτών ή άλλα ευαίσθητα δεδομένα.
Αφαίρεση του μη ασφαλούς πιστοποιητικού root
Η Secorvo είχε αποκαλύψει αυτήν την ευπάθεια στην Sennheiser εκ των προτέρων και εισήγαγε το μοναδικό ID ID CVE-2018-17612. Η Sennheiser δήλωσε ότι μια ενημερωμένη έκδοση του λογισμικού HeadSetup θα κυκλοφορήσει μέχρι το τέλος Νοεμβρίου. Όταν εγκατασταθεί, η ενημέρωση θα αφαιρέσει τα πιστοποιητικά root και θα βεβαιωθεί ότι δεν έχουν μείνει καθόλου πιστοποιητικά όταν το λογισμικό έχει αφαιρεθεί.
Εν τω μεταξύ, η Sennheiser έχει κυκλοφορήσει πληροφορίες που μπορούν να χρησιμοποιηθούν για την κατάργηση των πιστοποιητικών για όσους θέλουν να προστατευθούν άμεσα. Προτείνεται όλοι οι χρήστες του HeadSetup να κατεβάσουν και να εκτελέσουν αυτές τις ενέργειες για να καταργήσουν τα ευάλωτα πιστοποιητικά.
Η Microsoft έχει επίσης δημοσιεύσει το συμβουλευτικό έγγραφο ασφαλείας ADV180029 με τίτλο “Inadvertently Disclosed Digital Certificates Could Allow Spoofing”, που εξηγεί ότι η Microsoft κυκλοφόρησε μια ενημερωμένη λίστα εμπιστευτικών πιστοποιητικών που καταργεί την εμπιστοσύνη για αυτά τα πιστοποιητικά.
