Remote-Desktop: RustDesk-Update entfernt Test-Zertifikat
Ein Test-Zertifkat in RustDesk für Windows führte zu Diskussionen. Ein Update entfernt es, mitsamt einiger Funktionen.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Die Entwickler von RustDesk haben Version 1.2.3-1 der Open-Source Remote-Desktop-Software zur Fernsteuerung von Rechnern veröffentlicht. Sie beheben damit einen sicherheitsrelevanten Fehler, der durch ein mitgebrachtes Test-Zertifikat entstand.
Das Problem sorgte bereits im November für Diskussionen unter anderem im Diskussionsbereich des RustDesk-Projekts. Bei der Installation der Windows-Version hat RustDesk ein Root-Zertifikat verankert, dem Windows ab da an etwa für Codesigning vertraut. Es handelte sich dabei um ein Test-Zertifikat, mit dem ein RustDesk-Treiber signiert wurde.
Diskussion um Testzertifikat
Die Diskussion entspinnt sich darüber, ob damit beliebige Software signiert werden könne, der Windows dann vertraut. Da nicht dokumentiert ist, wie das private Zertifikat zum Signieren gesichert ist, sei das ein kritisches Sicherheitsrisiko – so argumentiert der Text zum CVE-Eintrag, der dafür vergeben wurde (CVE-2024-25140, CVSS 9.8, Risiko "kritisch").
Microsoft beschreibt in einem Artikel, wie das Signieren von Treibern während der Entwicklung zum Testen funktioniert. Das offizielle Codesigning-Zertifikat von RustDesk sei kein EV-Zertifikat (Extended Validation), was den Entwicklern zufolge Voraussetzung zur Signierung von Treibern ist. Als Workaround hätten die Entwickler daher einfach ein Test-Zertifikat verwendet.
Der RustDesk-Installer fragte bis zur vorletzten Version ab, ob das Zertifikat und der damit signierte Treiber installiert werden sollen. Der Treiber liefert Funktionen für ein virtuelles Display, was insbesondere auf Systemen, die ohne Monitor laufen, sinnvoll ist. Die Lösung der RustDesk-Entwickler lautet daher, jetzt erst einmal das Test-Zertifikat und den Treiber zu entfernen. Sie wollen ein EV-Zertifikat beschaffen, mit dem künftige Versionen dann signiert werden sollen.
Deinstallation, Überinstallation oder manuelle Zertifikatsentfernung
In den Release-Notes zu RustDesk 1.2.3-1 schreiben die Projekt-Maintainer, dass das Update eigentlich nur für Windows auf x64-Prozessorarchitekturen relevant ist. Die Schwachstelle durch das Test-Zertifikat lasse sich auf drei Wegen ausräumen: erstens durch die Deinstallation von RustDesk, zweitens durch das Upgrade auf RustDesk 1.2.3-1 und drittens durch manuelles Entfernen des Zertifikats. Dafür haben sie auch eine Anleitung zum Entfernen des Test-Zertifikats bereitgestellt. Wer dennoch ein virtuelles Display installieren möchte, findet auch dafür eine Anleitung.
RustDesk ist eine Remote-Desktop-Software, die ohne fremde Server auskommt und als Open-Source-Projekt frei zur Verfügung steht. Insbesondere vor dem Hintergrund des vor Kurzem bekannt gewordenen Cyber-Vorfalls bei Anydesk gehört RustDesk zu einer der Alternativen.
(dmk)
