Quando un driver audio compromette la sicurezza del PC

Il driver sviluppato da Savitech contiene un certificato root self-signed a lunghissima scadenza, la cui potenziale violazione aprirebbe la porta ai cyber-criminali
Il driver sviluppato da Savitech contiene un certificato root self-signed a lunghissima scadenza, la cui potenziale violazione aprirebbe la porta ai cyber-criminali

La società di sicurezza RSA ha rilevato un’anomalia che riguarda dei driver audio realizzati dalla società taiwanese Savitech: il processo di installazione provvedeva – in maniera silente – a installare un certificato root di tipo self-signed all’interno dello store del sistema operativo Windows.

Nello specifico, il certificato viene installato all’interno delle sezioni Trusted Root Certification Authority e Trusted Publishers : un messaggio chiede all’utente il permesso di installare il driver, tuttavia questo avviene quando il certificato è già stato aggiunto.

certificato savitech aggiunto

La vulnerabilità è stata tracciata dal CERT : essa non rappresenta un pericolo immediato, poiché la chiave privata del certificato non è stata per il momento scoperta. Nel caso in cui ciò accadesse, le conseguenze potrebbero essere molto gravi, in quanto il certificato potrebbe essere utilizzato da cyber-criminali per firmare gli eseguibili dei loro malware. Stando a quanto dichiarato da RSA, il problema si presenta solamente con il pacchetto originale contenente il driver, ma non con quelli forniti dai numerosi produttori di terze parti che includono il driver nelle loro soluzioni.

Savitech ha ammesso le proprie responsabilità: un portavoce dell’azienda ha dichiarato che il certificato era stato utilizzato esclusivamente perché il driver funzionasse su Windows XP. Il codice responsabile dell’installazione del certificato è stato rimosso dal pacchetto di installazione del driver lo scorso marzo, con il rilascio della versione 2.8.0.3 . Tuttavia, nel caso in cui sia stata installata una versione antecedente del driver, il certificato andrà, in ogni modo, rimosso manualmente, attraverso la Microsoft Management Console .

Elia Tufarolo

Link copiato negli appunti

Ti potrebbe interessare

07 11 2017
Link copiato negli appunti