DSDTestProvider: Weiteres gefährliches Dell-Zertifikat entdeckt
Auf Dell-Computern ist ein weiteres CA-Zertifikat mitsamt privatem Schlüssel entdeckt worden. Damit kann jeder gültige Zertifikate ausstellen und die Verschlüsselung von Webseiten ad absurdum führen. Der Patch zum Löschen von eDellRoot ist verfügbar.
Die Anwendung Dell System Detect installiert das DSDTestProvider-Zertifikat inklusive dem privaten Schlüsseln auf Dell-Computern, berichtet die IT-Webseite Laptopmag. Das ist nun schon das zweite Root-CA-Zertifikat, dass Dell-Anwendungen in den Windows Zertifikatsspeicher einbinden.
Beliebige Zertifikate beglaubigen
Das DSDTestProvider-Zertifikat und der dazugehörige private Schlüssel sollen sich dem freien Journalisten Hanno Böck zufolge problemlos extrahieren lassen. Anschließend kann man damit die Echtheit beliebiger Zertifikate beglaubigen und sich als Man in the Middle in verschlüsselte HTTP-Verbindungen einklinken und mitlesen.
Böck hat den Schnelltest auf seiner Webseite aktualisiert und jetzt soll auch das DSDTestProvider-Zertifikat erkannt werden.
Gefährliche Zertifikate im Umlauf
Die Sicherheitsfirma Duo Security sucht aktuell nach mit dem zuerst entdeckten eDell-Root-Zertifikat signierten Zertifikaten. Dabei haben sie eigenen Angaben zufolge ein SCADA-System in einer Wasseraufbereitungsanlage entdeckt, das auf ein derartiges Zertifikat bei HTTPS-Verbindungen setzt.
Zudem berichtet Duo Security von einem Atheros-Zertifikat auf Dell-Computern, mit dem man Treiber signieren kann. Das Zertifikat sei beim Fund aber schon abgelaufen gewesen.
EDellRoot-Patch verfügbar
Das zuerst entdeckte eDellRoot-Zertifikat findet sich neben Consumer-Geräten auch auf Bussiness-Computern von Dell, haben die Admins der Heise Medien GmbH & Co. KG herausgefunden.
Der Patch zum Entfernen des eDellRoot-Zertifikats steht ab sofort zum Download zur Verfügung. Nach der De-Installation sollte man den Dell Foundation Service komplett vom Computer entfernen, sonst wird das Zertifikat wieder installiert. Dafür muss man die Programmbibliothek Dell.Foundation.Agent.Plugins.eDell.dll
löschen, erläutern Sicherheitsforscher von Duo Security.
Einschätzungen des BSI
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) "stuft die Schwachstelle als schwerwiegend ein". Dabei gehen sie davon aus, dass eine Vielzahl von privat, geschäftlich und behördlich genutzter Systeme von der Schwachstelle betroffen ist. Das BSI will hierzu eine Warnung an die Zielgruppen versenden.
Dell hat aus Sicht des BSI "bislang schnell und angemessen" auf die (erste) Schwachstelle reagiert. Nun hat Dell aber noch mit einem zweiten gefährlichen Root-CA-Zertifikat zu kämpfen und muss abermals Stellung beziehen und handeln.
[UPDATE, 25.11.2015 14:30 Uhr]
Einem Sprecher von Dell zufolge ist die Anwendung Dell System Detect, die die gefährliche Root-CA mitbringt, nicht standardmäßig installiert. Nutzer können die Anwendung optional herunterladen.
Das Zertifikat spiele dem Dell-Support verschiedene Infos über den Computer zu. Es sollen nur Nutzer betroffen sein, die den Dell-Support zwischen dem 20. Oktober und 24. November dieses Jahres genutzt haben, versicherte der Sprecher gegenüber heise online.
Der Hersteller hat Dell System Detect eigenen Angaben zufolge bereits durch eine neue Version ohne das Root-CA-Zertifikat ersetzt.
Satz entfernt, dass Dell nur zu eDellRoot Stellung bezogen hat. (des)