Sennhiser HeadSetup 軟體暴漏出中間人 SSL 攻擊漏洞

當用戶安裝 Sennheiser 公司的 HeadSetup 軟體時，幾乎不知道該軟體還會將一個根證書安裝到受信任的根 CA 證書商店中。更糟糕的是，該軟體還會安裝加密版本的證書私鑰，而它並沒有開發人員想像得那麼安全。

安裝了這款軟體的所有人都擁有相同的證書及其關聯的私鑰。正因如此，它可導致能夠解密私鑰在沒有控制許可權的其它域名下發布欺詐性證書，從而執行中間人攻擊，在用戶訪問這些站點時嗅探流量。

雖然當用戶卸載 HeadSetup 軟體時會刪除這些證書文件，但受信任的根證書並未遭刪除。這就導致具有正確私鑰的攻擊者繼續執行攻擊，即使當該軟體不再被安裝到計算機上。

安全諮詢公司 Secorvo 剛剛披露了一個漏洞並指出，這些證書是在對某計算機的受信任根證書 CA 商店做隨機檢查時發現的。他們發現了兩個異常的根證書。發布者的名稱表明，他們和 Sennhiser HeadSetup 工具軟體有關。

當安裝 HeadSetup 軟體時，它會在計算機上放置兩個證書。這些證書供軟體通過 TLS 加密 web 套接字和耳機通信。

第一個證書名為 SennComCCCert.pem，它是一個根證書，而 SennComCCkey.pem 是該證書的私鑰。

研究人員分析該私鑰發現，它是通過 AES-128-CBC 加密的，而且需要找到正確的密碼才能解密。由於 HeadSetup 程序也需要解密私鑰，意味著私鑰肯定在某個地方，在這個案例中，它位於名為 WBCCListener.dll 的文件中。

研究人員解釋稱，「為了解密文件，我們需要知道加密演算法以及製造商用於解密的密鑰。我們起初猜測製造商使用的是常見的 AES 加密演算法，CBC 模式中具有128個位私鑰。在 HeadSetup 安裝目錄中，我們發現只有一段可執行代碼包含文件名稱 SennComCCKey.pem，而該 DLL 文件名為 WBCCListener.dll。我們在該 DLL 包含的字元中尋找 『AES』。結果顯示確實是演算法標識符 aes-128.cbc。我們找到了製造商使用的和該演算法標識符相近的密鑰，它以明文形式存儲在代碼中。」

當攻擊者將私鑰解密到一個標準的 OpenSSL PEM 中時，再次需要密碼才能使用。這個密碼位於名為「WBCCServer.properties」的配置文件中。

研究人員獲得根證書的私鑰後，能夠生成一個從 google.com 和 sennheiser.com 中籤署流量的通配符證書中。而且其中一些網站是該耳機製造商的競爭對手 jbl.com、harmankardon.com 和 bose.com。

由於這個證書是通過安裝了同樣版本的 HeadSetup 的計算機中發現的同樣的私鑰創建的，因此其它計算機也可能易受該證書攻擊。隨後可能被攻擊者用於執行中間人攻擊，讀取並修改這些網站的安全流量。

雖然這些站點中存在可被盜取的信息，但攻擊者也可輕易地創建欺詐性的銀行證書以竊取登錄憑證、信用卡信息或其它敏感信息。

刪除不安全的根證書

同時，Sennheiser 還為想要立即受到保護的人發布了一個用於刪除該證書的批處理文件和信息。強烈建議所有 HeadSetup 用戶下載並執行該腳本以刪除易受攻擊的證書。

微軟已經發布題為《不慎發布的數字化證書可能導致欺騙》的安全公告 ADV180029，解釋稱微軟已經發布了證書信任列表更新版本以刪除對這些證書的信任。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！