viernes, 27 de noviembre de 2015

Dell: No te gustan los certificados raíz… ¡pues toma dos!

Esta misma semana descubríamos la inclusión de un certificado raíz con su clave privada en algunos portátiles Dell. Cuando parecía que volvía la calma para la firma, se vuelve a encontrar otro certificado con las mismas características que el anterior. No querías caldo, pues toma dos tazas.

Tal como suena, parece que Dell ha sembrado sus ordenadores con certificados raíz no se sabe con qué extraño propósito.

El primer certificado, estaba identificado como eDellRoot se incluía en todos los equipos Inspiron 5000, XPS 15 y XPS 13 y según la firma formaba parte del sistema de soporte a los usuarios. La compañía ya confirmó que dejaría de incluir este certificado en sus nuevos portátiles, también ha proporcionado una herramienta para eliminarlo de forma automática, así como un sitio.

Pero la cosa no queda ahí, si ya resultaba difícil admitir la existencia de este certificado, ahora la publicación Laptop Mag ha anunciado un segundo certificado identificado como "DSDTestProvider". Este segundo certificado se instala y se usa por Dell System Detect (DSD), una aplicación descargada desde el sitio web de Dell, que proporciona características de detección de producto ("Detect Product"), para ayudar a los usuarios a identificar el modelo de su ordenador y otros detalles técnicos.

Los certificados eDellRoot y DSDTestProvider juntitos en el almacen
Se puede considerar que la exposición a este segundo certificado es más limitada, ya que los usuarios debían descargarlo desde la web, y solo estuvo disponible desde el 20 de octubre al 24 de noviembre en que al saltar las alarmas dejó de incluirse.

Al igual que eDellRoot, DSDTestProvider también se instala en el almacén de certificados raíz, junto con su clave privada. Como ya aclaramos en la anterior una-al-día el principal problema reside en la capacidad que se le ofrece a un atacante para realizar ataques de hombre-en-el-medio o falsificar prácticamente cualquier dominio (que no use certificado pinning) y cualquier dato firmado con esa clave privada.

Precisamente, Symantec ha confirmado que han encontrado muestras de malware en VirusTotal firmadas digitalmente con el certificado eDellRoot. Esto podría pemitir a un atacante hacer pasar el malware como software legítimo en los sistemas Dell afectados.

Malware firmado con eDellRoot (Fuente: Symantec)

Al igual que con eDellRoot para eliminar este certificado es necesario borrar primero la dll Dell.Foundation.Agent.Plugins.eDell.dll y posteriormente eliminar el propio certificado DSDTestProvider.

Microsoft también sale al rescate de Dell, y de todos sus clientes, ya que ha actualizado sus herramientas de seguridad para eliminar ambos certificados del almacén. Según ha confirmado las herramientas actualizadas incluyen Windows Defender para Windows 10 y Windows 8.1, Microsoft Security Essentials para Windows 7 y Windows Vista, Microsoft Safety Scanner y Microsoft Windows Malicious Software Removal Tool.

Más información:

una-al-dia (24/11/2015) Portátiles Dell con certificado raíz preinstalado

Herramienta para eliminar eDellRoot

Sloppy Security Software Exposes Dell Laptops to Hackers

Dell computers affected by eDellRoot self-signed root certificate

Program:Win32/CompromisedCert.D

Program:Win32/CompromisedCert.C

Response to Concerns Regarding eDellroot Certificate


Antonio Ropero
Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada