德國耳機業者誤將憑證置入軟體,陷用戶於安全風險

微軟於本周發表一安全通報,指稱在Windows平台上安裝德國耳機業者Sennheiser所開發的HeadSetup及HeadSetup Pro軟體的使用者可能會遭受中間人(man-in-the-middle,MITM)攻擊,呼籲用戶儘速更新這兩項軟體,同時微軟也作出了因應。

HeadSetup及HeadSetup Pro都是Sennheiser替高階耳機所打造的軟體,當使用者於Windows上安裝了任一款軟體時,它同時會將Sennheiser的CA憑證存放在Windows的Trusted Root CA Certificate  Store中。

發現該漏洞的德國資安業者Secorvo說明,他們進一步追查後發現這兩個軟體需要透過CA憑證與Sennheiser的伺服器交流,因此也在軟體中發現了該憑證的加密私鑰,並判斷解密程式應該也存放在軟體的檔案中,亦成功找到了解密程式。

假如資安業者很輕易就能在系統及軟體上找到憑證與金鑰,代表這對駭客來說亦不難。

由於不管在任何電腦上所安裝HeadSetup或HeadSetup Pro都使用同樣的憑證與金鑰,再加上就算移除了這兩個程式,它們的憑證依然會存在於Windows中的Trusted Root CA Certificate  Store。

駭客竊取了憑證之後,即能假冒Secorvo的身分執行各種中間人攻擊,例如傳送偽造的軟體更新,或者寄出網釣郵件,或者是設計可竊取使用者機密資訊的網頁。

Secorvo已在本月更新了上述兩個軟體以修補此一編號為CVE-2018-17612的安全漏洞,微軟亦於Windows的可靠憑證列表(Certificate Trust List)上移除了這兩個軟體先前所使用的憑證。

原文來自 iThome Online