Die Sicherheitsexperten von Secorvo entdeckten kürzlich eine gravierende Sicherheitslücke in der Software des deutschen Elektrounternehmens Sennheiser. Wie Secorvo entdeckte, wird während der Installation der HeadSetup-Software, die der Verwaltung der Headsets des Herstellers dient, ein Root-Zertifikat installiert, welches einen lokalen HTTPS-Server startet. Durch diesen Vorgang werden alle HTTPS-Verbindungen des Systems letztendlich untergraben.
Prinzipiell dient der lokale HTTPS-Server der Kommunikation der Software mit Webseiten. Um sichere HTTPS-Verbindungen nutzen zu können, wird besagtes Root-Zertifikat benötigt, welches Sennheisers Software in den Zertifikatsspeicher von Windows installiert. Zugleich legt Sennheiser auch einen privaten Schlüssel auf dem Computer ab, was fahrlässig ist und die Sicherheit der HTTPS-Verbindungen untergräbt.
Da der Schlüssel bei allen Installationen identisch ist und sich leicht aus der Software extrahieren lässt, wird es Angreifern vergleichsweise leicht gemacht, Zertifikate auszustellen, die vom Webbrowser und von Windows für vertrauenswürdig gehalten werden. Es wäre einem Angreifer beispielsweise möglich, einen unbemerkten Man-in-the-Middle-Angriff durchzuführen: Sein Server könnte sich beispielsweise als Google oder Facebook ausgeben, im Browser würde jedoch das eine sichere Verbindung signalisierende Schlosssymbol angezeigt werden. Der Nutzer würde also nichts ahnen, während der Angreifer gerade durch die HTTPS-Verschlüsselung jede Aktivität mitschneiden könnte.
Möglich ist all das in älteren Versionen – Secorvo testete Version 7.3.4903 – der Sennheiser-Software und mit den Browsern Chrome und Edge. Firefox hingegen ist sicher, da er nicht den Zertifikatsspeicher von Windows, sondern einen internen nutzt.
Auch in neueren Versionen ist das Problem nicht gänzlich behoben. Der private Schlüssel wird hier zwar nicht mehr mitgeliefert, sodass nicht mehr jeder beliebige Angreifer die Lücke nutzen kann – wirklich vertrauenswürdig ist das Zertifikat auch in diesen Versionen jedoch nicht, da es keine Prüfung durchlaufen hat und durch Sennheiser nach Belieben manipuliert werden könnte.
Nachtrag mit Informationen von Sennheiser
Sennheiser arbeitet bereits an einem Update der Software, mit dem die potentielle Sicherheitslücke geschlossen wird. Dieses Update wird zu Beginn der Kalenderwoche 47 zur Verfügung stehen. Die bekannt gewordene Sicherheitslücke betrifft die mit der HeadSetup (Pro) Software gemeinsam installierten Zertifikate im Zertifikatsspeicher des Anwenders. Die Software des Headsets selbst ist nicht betroffen, das Headset kann auch ohne die Zusatz-Software genutzt werden.
Potenziell betroffene Kunden erhalten Support von Sennheiser Communications, der wie folgt erreichbar ist:
- Email: help@senncom.com
- Phone: +45 29431569 (9.00-18.00 CET)
In der Zwischenzeit hat Sennheiser zudem die folgenden Maßnahmen ergriffen:
- Sennheiser bemüht sich aktuell das unsichere Root-Zertifikat so schnell wie möglich zentral ungültig zu machen, um die Sicherheitslücke dauerhaft und sicher zu verschließen.
- Sennheiser hat die Download-Möglichkeit der Software HeadSetup (Pro) von ihrer Website entfernt. Kunden finden hier weitere Informationen zum Thema sowie die Kontaktdaten zum Support, der bei der Entfernung der Zertifikate helfen kann. Sennheiser stellt sowohl eine detaillierte Anleitung zur Entfernung des Zertifikats als auch ein Skript zur Verfügung, das automatisch das unsichere Root-Zertifikat aus dem Zertifikatspeicher entfernt. Die Informationen werden voraussichtlich ab dem 12.11.18 online sein.
- Sennheiser hat ein unabhängiges IT Security Beratungsunternehmen beauftragt, ein Audit für das Update der Software durchzuführen, um die Sicherheit der Software auch extern zu prüfen.
