Dell entschuldigt sich für Root-Sicherheitsleck auf Rechnern

Dell liefert Rechner mit einem selbst signierten Root-Zertifikat aus. Das bestätigt der Hersteller jetzt. Dieses Zertifikat stellt jedoch laut Angaben des Unternehmens, das damit Berichte mehrerer Blogger bestätigt, ein “unbeabsichtigtes Sicherheitsleck” dar. Allerdings seien Großkunden, die eigene System-Images einspielten, nicht von dem Problem betroffen. Dell habe außerdem weder Adware noch Malware vorinstalliert. Inzwischen liefert Dell auch ein Removal-Tool für dieses Zertifikat. Eine detaillierte Anleitung für das Deinstallieren der Software liefert Dell hier.

Über dieses Root-Zertifikat könnte Dell beispielsweise HTTPS verschlüsselten Traffic entschlüsseln. Zu diesem Zweck hatte Lenovo bis Anfang des Jahres einige seiner Produkte mit einem solchen Zertifikat ausgestattet, allerdings im Zusammenspiel mit einer Adware namens Superfish Visual Discovery, die Inserate in Websites einschmuggelte.

“Sicherheit und Privatsphäre unserer Kunden hat bei Dell Priorität”, sagte eine Sprecherin des Computerherstellers. “Wir entfernen das Zertifikat ab sofort von allen Dell Systemen.”

Auf einer Web-Seite von LastPass konnten Anwender überprüfen, ob sie von der Adware betroffen sind. Jetzt ist auch Dell in der Kritik ein vergleichbares Sicherheitsleck auszuliefern. (Screenshot: CNET.de)

Laut dem Blogger Hanno Böck soll Dell das Root-Zertifikat mit dem Namen “eDellRoot” dem Certificate Store seiner Systeme hinzugefügt haben. Es werde durch die Software Dell Foundation Services installiert, die Dell weiterhin zum Download anbiete. Dells Beschreibung zufolge liefert die Software Funktionen für den Kundensupport.

“Jeder Angreifer kann das Root-Zertifikat benutzen, um gültige Zertifikate für beliebige Websites zu erstellen”, erläutert Böck. “Selbst HTTP Public Key Pinning (HPKP) schützt nicht vor solchen Angriffen, weil Browseranbieter lokal installierte Zertifikate erlauben, um den Key-Pinning-Schutz zu überschreiben. Das ist ein Kompromiss bei der Implementierung, der den Betrieb sogenannter TLS-Abfang-Proxies erlaubt.”

Ähnlich kritisch äußerte sich der Citrix-Mitarbeiter Joe Nord in seinem Blog. Das eDellRoot-Zertifikat sei bis 2039 gültig und für “alle Zwecke” zugelassen. Es sei damit “mächtiger” als ein ebenfalls installiertes legitimes Root-Zertifikat von DigiCert. Zudem befinde sich auf den Dell-Rechnern auch noch ein “privater Schlüssel, der zu dem Zertifikat gehört”. “Der Computer eines Endnutzers sollte niemals einen privaten Schlüssel haben, der zu einem Root-Zertifikat passt. Nur der Computer, der das Zertifikat ausgestellt hat, sollte einen privaten Schlüssel haben – und sehr gut geschützt sein.”

Zusammen mit dem Nutzer Kevin Hicks konnte Nord zudem bestätigen, dass Dell für jeden mit dem Root-Zertifikat ausgestatteten Computer denselben privaten Schlüssel vergeben hat, der sich Hicks zufolge mit öffentlich verfügbaren Tools auslesen lässt. “Jeder, der den privaten Schlüssel auf meinem Computer kennt, kann Zertifikate für jede Website und für jeden Zweck ausstellen und der Computer wird automatisch und fälschlicherweise annehmen, dass das ausgestellte Zertifikat gültig ist”, so Nord weiter.

[mit Material von Stefan Beiersmann, ZDNet.de]

Redaktion

Recent Posts

Bahn lässt Robo-Hund auf Graffitis los

In München läuft ein vierbeiniger Roboter durch die Abstellanlagen der S-Bahn und meldet Auffälligkeiten an…

5 Stunden ago

Positiver ROI ist das beste Argument für KI-Projekte

2023 war das Jahr des Experimentierens mit KI. 2024 zieht KI in den Arbeitsalltag ein,…

6 Stunden ago

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

23 Stunden ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

23 Stunden ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

1 Tag ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

2 Tagen ago