Was Sie über das Sicherheitsdebakel für Stammzertifikate von Dell wissen müssen

Um den Remote-Support zu optimieren, installierte Dell ein selbstsigniertes Stammzertifikat und einen entsprechenden privaten Schlüssel auf den Computern seiner Kunden, ohne zu bemerken, dass dadurch die verschlüsselte Kommunikation der Benutzer potenziellen Spionagen ausgesetzt wird.

Noch überraschender ist, dass das Unternehmen dies tat, während es sich eines sehr ähnlichen Sicherheitsfehlers eines seiner Konkurrenten, Lenovo, bewusst war, der im Februar ans Licht kam.

Im Fall von Lenovo war es ein Werbeprogramm namens Superfish, das auf einigen Consumer-Laptops des Unternehmens vorinstalliert war und ein selbstsigniertes Stammzertifikat installierte. Im Fall von Dell war es eines der firmeneigenen Support-Tools, was wohl noch schlimmer ist, da Dell die volle Verantwortung für die Entscheidung trägt.

Ironischerweise nutzte Dell das Missgeschick von Lenovo, um sein eigenes Engagement für den Datenschutz hervorzuheben und für seine Produkte zu werben. Auf den Produktseiten der All-in-One-Desktops Inspiron 20 und XPS 27 von Dell, der Laptops der Inspiron 14 5000-Serie, der Inspiron 15 7000-Serie, der Inspiron 17 7000-Serie und wahrscheinlich anderer Produkte heißt es: "Besorgt über Superfish? Dell beschränkt die Vorinstallation Software für eine kleine Anzahl hochwertiger Anwendungen auf allen unseren Computern. Jede Anwendung, die wir vorab laden, wird Sicherheits-, Datenschutz- und Usability-Tests unterzogen, um sicherzustellen, dass unsere Kunden die bestmögliche Computerleistung, schnellere Einrichtung und reduzierte Privatsphäre und Sicherheit erleben Sorgen."

Warum sollte es dich interessieren?

Das selbstsignierte eDellRoot-Zertifikat wird im Windows-Zertifikatspeicher unter "Vertrauenswürdige Stammzertifizierungsstellen" installiert. Dies bedeutet, dass alle SSL / TLS- oder Codesignaturzertifikate, die mit dem privaten Schlüssel des eDellRoot-Zertifikats signiert sind, von Browsern, Desktop-E-Mail-Clients und anderen Anwendungen, die auf betroffenen Dell-Systemen ausgeführt werden, als vertrauenswürdig eingestuft werden.

Angreifer können beispielsweise den privaten Schlüssel eDellRoot verwenden, der jetzt online öffentlich verfügbar ist, um Zertifikate für alle HTTPS-fähigen Websites zu generieren. Sie können dann öffentliche drahtlose Netzwerke oder gehackte Router verwenden, um den Datenverkehr von betroffenen Dell-Systemen zu diesen Websites zu entschlüsseln.

Bei diesen sogenannten MitM-Angriffen (Man-in-the-Middle) fangen die Angreifer die HTTPS-Anforderungen der Benutzer an eine sichere Website ab - beispielsweise bankofamerica.com. Anschließend fungieren sie als Proxy, indem sie von ihrem eigenen Computer aus eine legitime Verbindung zur realen Website herstellen und den Datenverkehr an die Opfer zurückgeben, nachdem sie ihn mit einem mit dem eDellRoot-Schlüssel generierten Zertifikat von bankofamerica.com erneut verschlüsselt haben.

Die Benutzer sehen in ihren Browsern eine gültige HTTPS-verschlüsselte Verbindung zur Bank of America, aber die Angreifer können ihren Datenverkehr tatsächlich lesen und ändern.

Angreifer können auch den privaten Schlüssel eDellRoot verwenden, um Zertifikate zu generieren, mit denen Malware-Dateien signiert werden können. Diese Dateien führen bei der Ausführung auf betroffenen Dell-Systemen zu weniger beängstigenden Eingabeaufforderungen zur Benutzerkontensteuerung, da sie dem Betriebssystem so erscheinen, als wären sie von einem vertrauenswürdigen Softwarehersteller signiert. Mit einem solchen Rogue-Zertifikat signierte böswillige Systemtreiber würden auch die Überprüfung der Treibersignatur in 64-Bit-Versionen von Windows umgehen.

Es sind nicht nur Laptops

In ersten Berichten ging es darum, das eDellRoot-Zertifikat auf verschiedenen Dell-Laptopmodellen zu finden. Das Zertifikat wird jedoch tatsächlich von der Dell Foundation Services (DFS) -Anwendung installiert, die gemäß den Versionshinweisen auf Laptops, Desktops, All-in-One-, Two-in-One- und Tower-Produkten verschiedener Dell-Produktlinien verfügbar ist , einschließlich XPS, OptiPlex, Inspiron, Vostro und Precision Tower.

Dell gab am Montag bekannt, dass im August mit dem Laden der aktuellen Version dieses Tools auf "Consumer- und kommerzielle Geräte" begonnen wurde. Dies kann sich sowohl auf Geräte beziehen, die seit August verkauft wurden, als auch auf Geräte, die zuvor verkauft wurden und eine aktualisierte Version des DFS-Tools erhalten haben. Das Zertifikat wurde auf mindestens einem älteren Computer gefunden: einem Dell Venue Pro 11-Tablet aus dem April.

Mehr als ein Zertifikat

Forscher des Sicherheitsunternehmens Duo Security fanden ein zweites eDellRoot-Zertifikat mit einem anderen Fingerabdruck auf 24 weltweit verteilten Systemen. Am überraschendsten scheint eines dieser Systeme Teil eines SCADA-Setups (Supervisory Control and Data Acquisition) zu sein, wie es zur Steuerung industrieller Prozesse verwendet wird.

Andere Benutzer haben auf einigen Dell-Computern auch das Vorhandensein eines anderen Zertifikats namens DSDTestProvider gemeldet. Einige Leute haben spekuliert, dass dies mit dem Dell System Detect-Dienstprogramm zusammenhängt, obwohl dies noch nicht bestätigt ist.

Es ist ein Entfernungswerkzeug verfügbar

Dell hat ein Tool zum Entfernen veröffentlicht und Anweisungen zum manuellen Entfernen des eDellRoot-Zertifikats veröffentlicht. Die Anweisungen können sich jedoch als zu schwierig für einen Benutzer ohne technische Kenntnisse erweisen. Das Unternehmen plant außerdem, heute ein Software-Update zu veröffentlichen, mit dem das Zertifikat gesucht und automatisch von den Systemen entfernt wird.

Unternehmensbenutzer sind hochwertige Ziele

Roaming-Unternehmensbenutzer, insbesondere reisende Führungskräfte, könnten die attraktivsten Ziele für Angreifer sein, die diesen Fehler ausnutzen, da sie wahrscheinlich wertvolle Informationen auf ihren Computern haben.

"Wenn ich ein Black-Hat-Hacker wäre, würde ich sofort zum nächstgelegenen Großstadtflughafen gehen und vor den internationalen erstklassigen Lounges sitzen und die verschlüsselte Kommunikation aller belauschen", sagte Robert Graham, CEO der Sicherheitsfirma Errata Security, in ein Blog-Beitrag.

Selbstverständlich sollten Unternehmen ihre eigenen, sauberen und vorkonfigurierten Windows-Images auf den von ihnen gekauften Laptops bereitstellen. Sie sollten auch sicherstellen, dass ihre Roaming-Mitarbeiter über sichere virtuelle private Netzwerke (VPNs) immer wieder eine Verbindung zu Unternehmensbüros herstellen.

Es sind nicht nur Dell-Computerbesitzer, die sich darum kümmern sollten

Die Auswirkungen dieser Sicherheitslücke gehen über die Eigentümer von Dell-Systemen hinaus. Man-in-the-Middle-Angreifer stehlen nicht nur Informationen, einschließlich Anmeldeinformationen, aus verschlüsseltem Datenverkehr, sondern können diesen Datenverkehr auch im laufenden Betrieb ändern. Dies bedeutet, dass jemand, der eine E-Mail von einem betroffenen Dell-Computer oder einer Website erhält, die eine Anfrage im Namen eines Dell-Benutzers erhält, nicht sicher sein kann, ob diese authentisch ist.