Certificati root installati da applicazioni di terze parti possono facilitare attacchi MITM

I ricercatori di un’azienda tedesca che si occupa di sicurezza informatica, Secorvo, hanno recentemente scoperto l’utilizzo di un certificato digitale root “autogenerato” da parte di una famosa azienda che produce e commercializza auricolari e cuffie di qualità: Sennheiser.
Gli esperti hanno spiegato che la chiave privata usata per proteggere il certificato root sarebbe stata la stessa per tutti i sistemi ove veniva installato il software HeadSetup.
Ciò significa che qualunque individuo avrebbe potuto estrarre la chiave privata utilizzandola per firmare digitalmente qualunque certificato impiegato sul web a garanzia delle connessioni HTTPS, ponendo così in essere un attacco man-in-the-middle, utile per sottrarre credenziali personali e informazioni riservate.

Il certificato root installato da Sennheiser HeadSetup (usato per instaurare comunicazioni crittografate tra dispositivo e auricolari) non veniva eliminato neppure rimuovendo l’applicazione, lasciando gli utenti in balìa di eventuali attacchi.

Se da un lato Sennheiser ha comunicato di aver risolto il problema rilasciando un aggiornamento correttivo della sua applicazione oltre a un file batch per l’eliminazione di tutti i certificati in questione, non è possibile non rimanere stupiti di come – ancora oggi – si installino sui sistemi degli utenti finali certificati digitali che possono essere sfruttati per condurre attacchi particolarmente efficaci.

Microsoft stessa ha pubblicato un avviso spiegando che i certificati di Sennheiser HeadSetup saranno automaticamente rimossi da parte di Windows in via precauzionale.

Suggerendo la lettura del nostro approfondimento Certificati digitali cosa sono e come rimuovere quelli fasulli ai nostri lettori suggeriamo di scaricare e installare l’utilità Microsoft Sigcheck indagando sulla presenza di eventuali certificati root sospetti.

Per usare Sigcheck, basta estrarre il contenuto dell’archivio compresso in una cartella su disco (ad esempio c:\sigcheck) quindi aprire tale directory con Esplora file, tenere premuto il tasto MAIUSC e contemporaneamente cliccare con il tasto destro del mouse in un’area libera della stessa cartella e selezionare Apri finestra di comando qui oppure Apri finestra PowerShell qui (in quest’ultimo caso, alla comparsa della finestra a sfondo blu si dovrà digitare cmd e premere il tasto Invio).
Scrivendo sigcheck64 -tv (sigcheck -tv sulle versioni a 32 bit di Windows) si dovrebbe ricevere il messaggio No certificates found. Se l’utilità Sigcheck dovesse restituire i nomi di uno o più certificati root, bisognerà indagare sull’identità dell’applicazione che li ha caricati ed eventualmente valutarne la disinstallazione.

A questo indirizzo è possibile consultare l’analisi completa pubblicata da Secorvo.