image

Microsoft waarschuwt voor rootcertificaten van Sennheiser

woensdag 28 november 2018, 10:54 door Redactie, 11 reacties

Microsoft heeft een waarschuwing gegeven voor twee rootcertificaten van koptelefoonfabrikant Sennheiser waarvan de privésleutel is te achterhalen, waardoor gebruikers op verschillende manieren kunnen worden aangevallen. Windows heeft een eigen database met de rootcertificaten van certificaatautoriteiten die worden vertrouwd. Dit is de Trusted Root CA store.

Browsers en Windows maken hier gebruik van om te kijken of door websites en software aangeboden certificaten zijn te vertrouwen. Gebruikers met beheerdersrechten kunnen certificaten aan de database toevoegen en verwijderen. Securitybedrijf Secorvo Security ontdekte bij een onderzoek naar de Trusted Root CA store twee onverwachte rootcertificaten, afkomstig van Sennheiser (pdf).

De Sennheiser HeadSetup-software bleek de certificaten te installeren. Door een implementatiefout blijkt het mogelijk om de privésleutel van één van de "clandestien geïnstalleerde rootcertificaten" te bemachtigen, aldus de onderzoekers. Een aanvaller kan zo certificaten uitgeven die worden vertrouwd op systemen waar de Sennheiser-rootcertificaten zijn geïnstalleerd.

Microsoft laat weten dat de rootcertificaten in kwestie onbeperkt zijn en gebruikt kunnen worden om extra certificaten uit te geven, die voor het signeren van software en serverauthenticatie zijn te gebruiken. Sennheiser werd op 23 juli over het probleem ingelicht en heeft nu een update voor de HeadSetup en HeadSetup Pro software uitgebracht die de certificaten verwijdert. Daarnaast heeft Microsoft de Certificate Trust List bijgewerkt om deze certificaten niet meer te vertrouwen.

Reacties (11)
28-11-2018, 13:39 door Anoniem
Gelukkig valt de schade mee.
Er viel immers toch weinig te luisteren vanwege andere rootachtige zaken.
https://arstechnica.com/gadgets/2018/11/latest-windows-10-update-breaks-windows-media-player-win32-apps-in-general/
28-11-2018, 20:15 door Anoniem
Daar hebben ze lang over gedaan, 23 juli...
28-11-2018, 23:28 door Werkezel
Anoniem vals aard me owe valse komentare d,n hele tijd hier !
29-11-2018, 07:28 door Anoniem
Sennheiser: wat een BS!
29-11-2018, 07:39 door Anoniem
Als ik mijn laptop aanzet, dan krijg ik al maanden een notificatie dat er iets mis is met mijn Microsoft account. Ik wil helemaal geen Microsoft account maar gewoon iets doen met die laptop. Kunnen ze dat eerst eens oplossen? Of dat account gezeik weg. Of, als toch blijkt dat ik voor Microsoft werk, wanneer gaan jullie mijn loon overmaken dan?
29-11-2018, 10:25 door Anoniem
Kan iemand mij uitleggen wat een partij als SennHeiser met een root certificate moet en waarom ze geen CA signed (wildcard) certificate kunnen gebruiken?
29-11-2018, 12:34 door [Account Verwijderd]
Door Anoniem: Als ik mijn laptop aanzet, dan krijg ik al maanden een notificatie dat er iets mis is met mijn Microsoft account. Ik wil helemaal geen Microsoft account maar gewoon iets doen met die laptop. Kunnen ze dat eerst eens oplossen? Of dat account gezeik weg. Of, als toch blijkt dat ik voor Microsoft werk, wanneer gaan jullie mijn loon overmaken dan?

Dat account hoort bij het eco systeem van Microsoft. Je hebt eerst voor je licentie betaald en daarna willen ze nog meer geld aan je verdienen. En daar krijg je dan een OS met buggy updates voor terug...
29-11-2018, 14:39 door Tha Cleaner
Door linux4:
Door Anoniem: Als ik mijn laptop aanzet, dan krijg ik al maanden een notificatie dat er iets mis is met mijn Microsoft account. Ik wil helemaal geen Microsoft account maar gewoon iets doen met die laptop. Kunnen ze dat eerst eens oplossen? Of dat account gezeik weg. Of, als toch blijkt dat ik voor Microsoft werk, wanneer gaan jullie mijn loon overmaken dan?

Dat account hoort bij het eco systeem van Microsoft. Je hebt eerst voor je licentie betaald en daarna willen ze nog meer geld aan je verdienen. En daar krijg je dan een OS met buggy updates voor terug...
Net zoals Apple.......

Maar je hoeft ook helemaal geen Microsoft Account te hebben. En wat valt er op te lossen, als je helemaal geen Informatie geeft? En vaak is het gemakkelijk op te lossen. Ik heb hier op geen enkele machine dit soort meldingen gehad. Dus hoe moeten ze zo iets dan oplossen.......
Zeuren is dan altijd gemakkelijk, daar zijn we als Nederlands helemaal goed in, en de meeste bij Security zijn zelfs specialisten.
30-11-2018, 09:40 door -karma4 - Bijgewerkt: 30-11-2018, 09:42
Door Anoniem: Als ik mijn laptop aanzet, dan krijg ik al maanden een notificatie dat er iets mis is met mijn Microsoft account. Ik wil helemaal geen Microsoft account maar gewoon iets doen met die laptop. Kunnen ze dat eerst eens oplossen? Of dat account gezeik weg. Of, als toch blijkt dat ik voor Microsoft werk, wanneer gaan jullie mijn loon overmaken dan?

Zie instructies hier: https://superuser.com/questions/1123583/you-need-to-fix-your-microsoft-account-notification.

N.B.: je hebt toch wel al een restricted account (zonder administratieve privileges) aangemaakt om onder te werken?

https://www.laptopmag.com/articles/limited-user-accounts-windows-10
30-11-2018, 12:25 door -karma4 - Bijgewerkt: 30-11-2018, 12:25
Door THE FOSS - A FREE RADICAL: N.B.: je hebt toch wel al een restricted account (zonder administratieve privileges) aangemaakt om onder te werken?

https://www.laptopmag.com/articles/limited-user-accounts-windows-10

Want: "The 2015 Microsoft Vulnerabilities Study by Manchester, England-based enterprise-security provider Avecto, released Tuesday (Feb. 2), showed that 85 percent of remote-code-execution bugs (some of the most dangerous flaws) detailed in Microsoft's monthly Patch Tuesday reports would be nullified if the Windows active user did not have administrative rights. (The same company reached similar conclusions two years ago.)

Microsoft Office and Windows 10 would also be much safer, as 82 percent of the security flaws would be blocked. Users with limited, a.k.a. "regular" accounts would have been protected from a whopping 99.5 percent of Internet Explorer vulnerabilities on all platforms, and 100 percent of Microsoft Edge security flaws in Windows 10.
"

Meteen doen dus want dat scheelt dus nogal!
09-12-2018, 12:26 door Anoniem
Door Anoniem: Kan iemand mij uitleggen wat een partij als SennHeiser met een root certificate moet en waarom ze geen CA signed (wildcard) certificate kunnen gebruiken?
makkelijker tijdens ontwikkeling wellicht, of als je als man-in-the-middle wilt werken is het zelfs de enige optie.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.