image

Dell-software installeert gevaarlijk rootcertificaat

woensdag 25 november 2015, 10:17 door Redactie, 3 reacties

Gebruikers van Dell-computers zijn weer gewaarschuwd voor een gevaarlijk certificaat dat door een programma van de computerfabrikant op laptops, desktops en tablets wordt geïnstalleerd en dat cybercriminelen kunnen gebruiken om aanvallen op het systeem uit te voeren.

Daarvoor waarschuwt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. In eerste instantie werd er gewaarschuwd voor Dell Foundation Services dat een rootcertificaat genaamd eDellRoot met privésleutel installeert. Nu blijkt ook Dell System Detect een dergelijk rootcertificaat met bijbehorende privésleutel te installeren. Dit certificaat heet DSDTestProvider.

Dell System Detect (DSD) is een programma dat gebruikers moeten starten en communiceert met de Dell Supportpagina. Op sommige systemen is DSD standaard geïnstalleerd. Het programma installeert een rootcertificaat met privésleutel. Een aanvaller kan hier gebruik van maken om certificaten te genereren die door de DSDTestProvider certificaatautoriteit zijn gesigneerd.

Systemen die de DSDTestProvider certificaatautoriteit vertrouwen zullen ook certificaten van deze autoriteit vertrouwen. Een aanvaller kan zo websites en andere diensten nabootsen, software en e-mailberichten signeren en netwerkverkeer en andere gegevens ontsleutelen. Het gaat dan onder andere om man-in-the-middle-aanvallen op HTTPS-verkeer en het installeren van malware. Het CERT/CC adviseert om het rootcertificaat in te trekken, wat via de Windows-certificaatmanager kan.

Reacties (3)
25-11-2015, 12:51 door Anoniem
Dell = Lenovo = EXIT.
25-11-2015, 15:40 door Erik van Straten
CERT/CC baseert zich op de blog van Hanno Böck in https://blog.hboeck.de/archives/876-Superfish-2.0-Dangerous-Certificate-on-Dell-Laptops-breaks-encrypted-HTTPS-Connections.html.

Hanno heeft zijn test-pagina bijgewerkt: https://edell.tlsfun.de/ checkt nu op zowel de aanwezigheid van de certificaten "eDellRoot" als van "DSDTestProvider" in de Windows Certificate Store (als je beide hebt wordt dit correct gemeld).

Testen kun je in elk geval met Internet Explorer, Chrome, Chromium en Opera (deze browsers maken allen gebruik van de Windows Certificate store). Testen met Firefox is zinloos omdat deze een eigen certificate store heeft.

Als je geen browser wilt gebruiken (of niet naar die site wilt lekken dat je kwetsbaar bent), kun je certmgr.msc gebruiken, of zoeken in het register naar:
98a04e4163357790c4a79e6d713ff0af51fe6927
en
02c2d931062d7b1dc2a5c7f5f0685064081fb221
Die eerste sleutelnaam is van het certificaat is van eDellRoot, de tweede van DSDTestProvider.

Als zo'n sleutel gevonden wordt in 1 van de subkeys van:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates
anders dan:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed
is het certificaat geïnstalleerd en is je PC waarschijnlijk kwetsbaar.

Maar ook als de sleutel gevonden wordt in 1 van de subkeys van:
HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates
anders dan:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\SystemCertificates\Disallowed
is jouw account waarschijnlijk kwetsbaar.

Lastig is dat je zo niet eenvoudig ontdekt of andere accounts wellicht kwetsbaar zijn. Echter, voor zover ik weet, worden deze Dell rootcertificaten door Dell altijd op systeemniveau geïnstalleerd.

Aanvullende details voor geïnteresseerden:

(A) Informatie over de (nogal verwarrende) registersleutelnamen voor opslag van certificaten (de Windows certificate store) in relatie tot certmgr.msc vind je in http://blogs.msdn.com/b/muaddib/archive/2013/10/18/understanding-certificate-stores-and-publishing-certificates-for-smart-card-logon.aspx.

(B) Microsoft gebruikt de SHA1 hash van de binaire representatie (met ASN.1 codering) van het certificaat om het uniek in het register op slaan. Dat is dezelfde hash die je ziet als je in Internet Explorer de details van een certificaat inspecteert; helemaal onderaan het lijstje zie je (in Engelstalige Windows) resp.:
Thumbprint algorithm    sha1
Thumbprint              02 c2 d9 31 06 2d 7b 1d c2 a5 c7 f5 f0 68 50 64 08 1f b2 21
Verwarrend is dat het lijkt alsof die hash onderdeel uitmaakt van het certificaat, maar dat is absoluut niet het geval.

(C) Nb. die hash kun je ook zelf uitrekenen door het certificaat als "DER encode binary X.509" op te slaan, en over dat bestand de SHA1 hash te berekenen.

(D) In plaats van een certificaat te verwijderen kun je dat certificaat (of een kopie ervan) toevoegen aan de lijst met Untrusted Certificates. Ongeacht of (Dell) software zo'n certificaat terugplaatst als "trusted": zolang het ook untrusted blijft zal Windows ervan uitgaan dat het niet vertrouwd mag worden en het als revoked (ingetrokken) behandelen. Dit is ook een aanrader als je niet uit kun sluiten dat zo'n fout certificaat mogelijk op account-niveau vertrouwd wordt.
Belangrijk is wel dat je het certificaat op systeem-niveau (dus voor alle accounts, inclusief "onzichtbare" systeem accounts), untrusted maakt. Dat kan als volgt:
1) Start, met admin rechten, certmgr.msc (evt. kun je met admin rechten een command prompt starten, en dan certmgr.msc uitvoeren)
2) Selecteer de regel linksbovenaan
3) Kies menu "View" -> "Options..."
4) Zet een vinkje voor "Physical Certificate Stores (zie http://blogs.msdn.com/cfs-filesystemfile.ashx/__key/communityserver-blogs-components-weblogfiles/00-00-00-72-13-metablogapi/4401.image_5F00_7E2129A7.png) en klik OK
5) Ga links naar "Untrusted Certificates" -> "Local Computer" -> "Certificates". Je ziet nu rechts de lijst met niet vertrouwde certificaten (o.a. een stel van Diginotar).
6) Rechts-klink aan de linkerkant op de uitgeklapte "Certificates" en kies "All Tasks" -> "Import..."
7) Importeer het certificaat dat je wilt blokkeren.

(E) In certmgr.msc kun je ook certificaten verplaatsen door ze te slepen en op een andere plaats los te laten. Als je tijdens dat proces de Ctrl toets ingedrukt houdt, wordt er gekopieerd.

(F) Als je, veiligheidshalve, de Dell rootcertificaten als untrusted wilt opnemen in het register, maar ze nog niet hebt, kun je ze hier vinden:
https://raw.githubusercontent.com/hannob/superfishy/master/certificates/eDellRoot.crt
https://raw.githubusercontent.com/hannob/superfishy/master/certificates/DSDTestProvider.crt
Rechtsklik op een van deze URL's, kies "save as" en zet ze bijv. in een map als C:\Temp\ (die je kunt aanmaken als deze nog niet bestaat); zorg dat de extensie .cer of .crt wordt. vanuit die map kun je ze dan vervolgens importeren in certmgr.msc zoals beschreven bij (D).

(G) Mijn indruk is dat op 64 bit machines in het register de volgende sleutels (en alles eronder) automatisch worden gesynchroniseerd (misschien dat dit met een soort symbolic link werkt o.i.d.):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates
en
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\SystemCertificates
Weet iemand hier het fijne van?
28-11-2015, 16:38 door Anoniem
En al weer een DELL issue.
http://arstechnica.com/security/2015/11/pcs-running-dell-support-app-can-be-uniquely-idd-by-snoops-and-scammers/
The unique Dell service tag can be used to fingerprint users even when they turn on the private browsing mode of their favorite browser, delete all browser cookies, or take other steps to block being tracked

Testpagina:
http://rol.im/dell/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.