CVE-2018-17612：沒想到吧？買個耳機也能遭遇中間人攻擊

前言

當用戶在安裝森海塞爾的HeadSetup軟體時，很少有人知道這個軟體還會在「受信任的根證書頒發機構存儲庫」中安裝一個根證書。除此之外，它還會安裝一個加密版本的證書私鑰，而這是一種非常不安全的行為。

沒錯，這種證書及其對應的私鑰對於任何安裝了這款軟體的用戶來說都是相同的。這樣一來，攻擊者就可以在成功解密密鑰之後，頒發一個其他網站域名下的偽造證書了，而此時，當用戶訪問了這些網站的時候，攻擊者將能夠通過執行中間人攻擊來嗅探目標用戶的網路通信流量。

解構

雖然這些證書文件會在用戶卸載HeadSetup軟體時被刪除，但是可信任的根證書卻不會被移除。這將使得擁有正確私鑰的攻擊者在目標用戶卸載了HeadSetup這款軟體之後，繼續實現嗅探攻擊。

當HeadSetup安裝完成之後，它會在目標計算機中存放兩個證書。該軟體會使用這些證書以及TLS加密的Web套接字來與耳機通信。第一個證書名為SennComCCCert.pem，它是一個根證書，而SennComCCKey.pem是證書的私鑰。

研究人員在分析這個私鑰文件時發現，它採用了AES-128-CBC加密，而且需要找到正確的密碼才能解密。由於HeadSetup程序同樣需要使用這個解密密鑰，因此這個密碼肯定存儲在軟體里的某個地方，研究後發現密碼存儲在一個名叫WBCCListener.dll的文件里。

研究人員解釋稱：「為了解密私鑰文件，我們需要弄清楚它所使用的加密演算法以及密鑰，我們首先猜測，供應商採用的是常見的AES加密演算法（CBC模式，128位密鑰）。在HeadSetup安裝目錄內，我們只發現了一段可執行代碼中包含有文件名『SennComCCKey.pem』和DLL文件『WBCCListener.dll』。我們搜索了這個DLL中包含「AES」的字元串，最終發現了AES-128.cbc的標誌，而且還是以明文形式存儲的。」

在把解密私鑰轉換為標準OpenSSL PEM之後，研究人員還需要一個密碼來使用它。這個密碼存儲在一個名叫WBCCServer.properties的文件中：

得到了訪問根證書的私鑰之後，研究人員就可以生成大量可用於對google.com、sennheiser.com、以及其他耳機廠商的流量進行簽名的證書了，比如說jbl.com、harmankardon.com和bose.com等等。

由於這個證書使用的相同私鑰創建的，那麼其他設備同樣也無法倖免。接下來，攻擊者將能夠利用這個證書來執行中間人攻擊，最終實現攔截和篡改用戶訪問目標站點的通信流量。

這也就意味著，攻擊者還可以創建銀行網站的偽造證書，然後竊取目標用戶的網銀登錄憑證、信用卡信息和其他敏感信息。

移除不安全的根證書

目前，研究人員已經將相關問題上報給了森海塞爾公司，該漏洞分配到的ID為CVE-2018-17612。森海塞爾公司也表示，更新版本將在12月初發布，更新版本將移除可信任的根證書，並確保在軟體卸載之後不會遺留任何證書。

與此同時，森海塞爾還發布了一份Batch文件，廣大用戶可以使用該文件來移除相關證書。研究人員強烈建議安裝了HeadSetup的用戶儘快運行該腳本來保護自己的安全。

微軟方面也發布了相關的安全公告（ADV180029）,並解釋稱，微軟已經發布了更新版本的可信證書列表，並從原先列表中移除了相關的惡意證書。

* 參考來源：bleepingcomputer，FB小編Alpha_h4ck編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！