CVE-2024-25140

RustDesk versão 1.2.3

Uma instalação padrão do RustDesk no Windows coloca um certificado WDKTestCert na lista de Autoridades Certificadoras Raiz Confiáveis com o uso de chave aprimorado para assinatura de código, válido de 2023 a 2033. Isso é potencialmente indesejável, pois não há documentação pública sobre medidas de segurança para a chave privada, e softwares arbitrários poderiam ser assinados caso a chave privada fosse comprometida. A posição do fornecedor é que eles utilizam um certificado de teste como solução alternativa, uma vez que não possuem um certificado EV. A inserção em Autoridades de Certificação Raiz Confiáveis era o comportamento originalmente pretendido, e a interface do usuário garantia que a etapa de instalação do certificado fosse visível ao usuário antes de prosseguir com a instalação do produto.

Para a versão 1.2.3 do RustDesk, considere remover o certificado WDKTestCert das Autoridades Certificadoras Raiz Confiáveis para evitar o uso indevido do certificado para assinatura de código. Como solução alternativa temporária, certifique-se de que todas as instalações de software sejam verificadas minuciosamente para impedir que software arbitrário seja instalado usando o certificado potencialmente comprometido.