Apps instalaram certificados falsos e expuseram chaves privadas no Windows

A Microsoft divulgou um comunicado de segurança, na última terça-feira (27), informando que os aplicativos HeadSetup e HeadSetup Pro acidentalmente instalaram certificados raiz nas máquinas dos usuários, vazando as chaves privadas em seguida. Ambos os apps são desenvolvidos pela empresa alemã Sennheiser e voltados para o gerenciamento e configuração de softwares para fazer ligações telefônicas pela Internet.

As vulnerabilidades dos programas foram identificadas ainda no início do ano, mas no relatório publicado na última terça (27) foi demonstrado como a falha tornava fácil para cibercriminosos analisar os instaladores dos apps e extrair as chaves privadas. Não apenas máquinas com o Windows estão expostas, como também usuários de dispositivos Apple por meio do HeadSetup macOS, sendo que os certificados raiz são resistentes às operações de desinstalação.

Segundo os pesquisadores que denunciaram as vulnerabilidades, "todos os sistemas que receberam instalação do HeadSetup a qualquer momento no passado permanece vulnerável", sendo necessário que os usuários revisem manualmente o Armazenamento de Certificados Raiz e removam os certificados instalados pelos apps. A opção de aguardar os certificados terem seus prazos expirados não é viável, pois isso poderia ocorrer apenas no ano de 2037.

A desenvolvedora de softwares responsável pelos apps admitiu o erro e retirou ambos os programas da seção de downloads do site, afirmando que está trabalhando em uma atualização que deve sair ainda esta semana. A empresa afirma também que tentará remover os certificados raiz comprometidos e substituí-los por novos certificados seguros.

Fonte: Microsoft via ZDNet