Dell Superfish 2.0 eDellRoot sérülékenység

CH azonosító

CH-12802

Angol cím

Dell Superfish 2.0 eDellRoot vulnerability

Felfedezés dátuma

2015.11.23.

Súlyosság

Magas

Érintett rendszerek

Dell

Érintett verziók

Dell:
XPS 12 9250
Precision 7510
OptiPlex 7440 AIO
OptiPlex 5040
Dell Precision Tower 3420
Dell Precision Tower 3620
OptiPlex 7040
Inspiron 5451
Inspiron 5555
Inspiron 5551
Inspiron 5459
Inspiron 5452
Inspiron 3551
Inspiron 3541
Inspiron 7359 2-in-1
Inspiron 7353 2-in-1
XPS 13 9343
Inspiron 3442
Inspiron 3443
Inspiron 3543
Inspiron 3542
Inspiron 7348 2-in-1
Inspiron 3451
Inspiron 3452
Inspiron 3458
Inspiron 3552
Inspiron 3558

Összefoglaló

Úgy tűnik, hogy a Dell nem tanult semmit a februári Superfish botrányból: A cég egyes laptopjai előtelepített root tanúsítvánnyal és privát kulccsal érkeznek. Ezek a privát kulcsok azonban most nyilvánosságra kerültek, így a támadók man in the middle támadások hajthatnak végre Dell felhasználók ellen.

Leírás

Az előtelepített tanúsítvány “eDellRoot” néven megtalálható a rendszer tanúsítványtárolójában, a hozzá tartozó privát kulcs nem-exportálhatónak jelölve szerepel a Windows tanúsítvány boltjában. Ez azonban nem jelent valódi védelmet, hiszen több eszközzel is sikeresen exportálható a nem-exportálhatónak jelölt tanúsítvány kulcsok.

Az érintett felhasználók számára egy súlyos biztonsági kockázatot jelent. Ugyanis minden támadó használhatja ezt a root tanúsítványt, hogy érvényes tanúsítványt hozzon létre tetszőleges weboldalak számára. Az ilyen támadásoktól még HTTP Public Key Pinning (HPKP) sem védi meg a felhasználókat, mert a böngésző gyártók lehetővé teszik a helyileg telepített tanúsítványoknak, hogy felülbírálják a Key Pinning védelmet. Ez lehetővé teszi úgynevezett TLS proxy lehallgatást. Jelenleg nem egyértelmű, hogy milyen célt szolgál a tanúsítvány. Azonban úgy tűnik nem megfigyelési célokra használták, mivel ebben az esetben a Dell nem telepítette volna a privát kulcsot a rendszerre.

A probléma az Internet Explorer, Edge és a Chrome felhasználóit érinti, a Firefox felhasználók nem érintettek, mert a Mozilla böngészője saját tanúsítványtárolót használ. A Dell felhasználók ellenőrizhetik érintettségüket egy webes ellenőrző eszközzel. Az érintett felhasználóknak javasolt azonnal eltávolítani az “eDellRoot” tanúsítványt. Ez a Windows tanúsítvány menedzserben valósítható meg. Ennek megnyitásához a futtatás ablakba írja a “certmgr.msc” parancsot, majd az “eDellRoot” tanúsítvány megtalálható a “Megbízható legfelső szintű hitelesítésszolgáltatók” között.

Update:

A Dell reagált az esetre és a kiadott egy frissítést, ami eltávolítja ezt a tanúsítványt.

Megoldás

Az érintettségét ezen a linken ellenőrizheti:

https://edell.tlsfun.de/

A tanúsítványt eltávolító frissítés letölthető:

http://www.dell.com

A manuális eltávolításhoz a Dell által kiadott leírás letölthető:

eDellRoot Certificate Removal Instructions

UPDATE 2015.11.28.

Microsoft frissítette több védelmi szoftverét, így ezek használatával is eltávolíthatóak a káros tanusítványok:

  • Windows Defender (Windows 10, 8.1)
  • Microsoft Security Essentials (Windows 7 és Vista)
  • Safety Scanner, Malicious Software Removal Tool.