CH azonosító
CH-12802Angol cím
Dell Superfish 2.0 eDellRoot vulnerabilityFelfedezés dátuma
2015.11.23.Súlyosság
MagasÉrintett rendszerek
DellÉrintett verziók
Dell:
XPS 12 9250
Precision 7510
OptiPlex 7440 AIO
OptiPlex 5040
Dell Precision Tower 3420
Dell Precision Tower 3620
OptiPlex 7040
Inspiron 5451
Inspiron 5555
Inspiron 5551
Inspiron 5459
Inspiron 5452
Inspiron 3551
Inspiron 3541
Inspiron 7359 2-in-1
Inspiron 7353 2-in-1
XPS 13 9343
Inspiron 3442
Inspiron 3443
Inspiron 3543
Inspiron 3542
Inspiron 7348 2-in-1
Inspiron 3451
Inspiron 3452
Inspiron 3458
Inspiron 3552
Inspiron 3558
Összefoglaló
Úgy tűnik, hogy a Dell nem tanult semmit a februári Superfish botrányból: A cég egyes laptopjai előtelepített root tanúsítvánnyal és privát kulccsal érkeznek. Ezek a privát kulcsok azonban most nyilvánosságra kerültek, így a támadók man in the middle támadások hajthatnak végre Dell felhasználók ellen.
Leírás
Az előtelepített tanúsítvány “eDellRoot” néven megtalálható a rendszer tanúsítványtárolójában, a hozzá tartozó privát kulcs nem-exportálhatónak jelölve szerepel a Windows tanúsítvány boltjában. Ez azonban nem jelent valódi védelmet, hiszen több eszközzel is sikeresen exportálható a nem-exportálhatónak jelölt tanúsítvány kulcsok.
Az érintett felhasználók számára egy súlyos biztonsági kockázatot jelent. Ugyanis minden támadó használhatja ezt a root tanúsítványt, hogy érvényes tanúsítványt hozzon létre tetszőleges weboldalak számára. Az ilyen támadásoktól még HTTP Public Key Pinning (HPKP) sem védi meg a felhasználókat, mert a böngésző gyártók lehetővé teszik a helyileg telepített tanúsítványoknak, hogy felülbírálják a Key Pinning védelmet. Ez lehetővé teszi úgynevezett TLS proxy lehallgatást. Jelenleg nem egyértelmű, hogy milyen célt szolgál a tanúsítvány. Azonban úgy tűnik nem megfigyelési célokra használták, mivel ebben az esetben a Dell nem telepítette volna a privát kulcsot a rendszerre.
A probléma az Internet Explorer, Edge és a Chrome felhasználóit érinti, a Firefox felhasználók nem érintettek, mert a Mozilla böngészője saját tanúsítványtárolót használ. A Dell felhasználók ellenőrizhetik érintettségüket egy webes ellenőrző eszközzel. Az érintett felhasználóknak javasolt azonnal eltávolítani az “eDellRoot” tanúsítványt. Ez a Windows tanúsítvány menedzserben valósítható meg. Ennek megnyitásához a futtatás ablakba írja a “certmgr.msc” parancsot, majd az “eDellRoot” tanúsítvány megtalálható a “Megbízható legfelső szintű hitelesítésszolgáltatók” között.
Update:
A Dell reagált az esetre és a kiadott egy frissítést, ami eltávolítja ezt a tanúsítványt.
Megoldás
Az érintettségét ezen a linken ellenőrizheti:
A tanúsítványt eltávolító frissítés letölthető:
A manuális eltávolításhoz a Dell által kiadott leírás letölthető:
eDellRoot Certificate Removal Instructions
UPDATE 2015.11.28.
Microsoft frissítette több védelmi szoftverét, így ezek használatával is eltávolíthatóak a káros tanusítványok:
- Windows Defender (Windows 10, 8.1)
- Microsoft Security Essentials (Windows 7 és Vista)
- Safety Scanner, Malicious Software Removal Tool.
Támadás típusa
Authentication Issues (Hitelesítés)Crypthographical (Titkosítás)
Hijacking (Visszaélés)
Information disclosure (Információ/adat szivárgás)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: en.community.dell.com
Egyéb referencia: blog.hboeck.de
Egyéb referencia: www.heise.de
Egyéb referencia: www.heise.de
