Dell entschuldigt sich für Root-Sicherheitsleck auf Rechnern

Dell liefert Rechner mit einem selbst signierten Root-Zertifikat aus. Das bestätigt der Hersteller jetzt. Dieses Zertifikat stellt jedoch laut Angaben des Unternehmens, das damit Berichte mehrerer Blogger bestätigt, ein “unbeabsichtigtes Sicherheitsleck” dar. Allerdings seien Großkunden, die eigene System-Images einspielten, nicht von dem Problem betroffen. Dell habe außerdem weder Adware noch Malware vorinstalliert. Inzwischen liefert Dell auch ein Removal-Tool für dieses Zertifikat. Eine detaillierte Anleitung für das Deinstallieren der Software liefert Dell hier.

Über dieses Root-Zertifikat könnte Dell beispielsweise HTTPS verschlüsselten Traffic entschlüsseln. Zu diesem Zweck hatte Lenovo bis Anfang des Jahres einige seiner Produkte mit einem solchen Zertifikat ausgestattet, allerdings im Zusammenspiel mit einer Adware namens Superfish Visual Discovery, die Inserate in Websites einschmuggelte.

“Sicherheit und Privatsphäre unserer Kunden hat bei Dell Priorität”, sagte eine Sprecherin des Computerherstellers. “Wir entfernen das Zertifikat ab sofort von allen Dell Systemen.”

Auf einer Web-Seite von LastPass konnten Anwender überprüfen, ob sie von der Adware betroffen sind. Jetzt ist auch Dell in der Kritik ein vergleichbares Sicherheitsleck auszuliefern. (Screenshot: CNET.de)

Laut dem Blogger Hanno Böck soll Dell das Root-Zertifikat mit dem Namen “eDellRoot” dem Certificate Store seiner Systeme hinzugefügt haben. Es werde durch die Software Dell Foundation Services installiert, die Dell weiterhin zum Download anbiete. Dells Beschreibung zufolge liefert die Software Funktionen für den Kundensupport.

“Jeder Angreifer kann das Root-Zertifikat benutzen, um gültige Zertifikate für beliebige Websites zu erstellen”, erläutert Böck. “Selbst HTTP Public Key Pinning (HPKP) schützt nicht vor solchen Angriffen, weil Browseranbieter lokal installierte Zertifikate erlauben, um den Key-Pinning-Schutz zu überschreiben. Das ist ein Kompromiss bei der Implementierung, der den Betrieb sogenannter TLS-Abfang-Proxies erlaubt.”

Ähnlich kritisch äußerte sich der Citrix-Mitarbeiter Joe Nord in seinem Blog. Das eDellRoot-Zertifikat sei bis 2039 gültig und für “alle Zwecke” zugelassen. Es sei damit “mächtiger” als ein ebenfalls installiertes legitimes Root-Zertifikat von DigiCert. Zudem befinde sich auf den Dell-Rechnern auch noch ein “privater Schlüssel, der zu dem Zertifikat gehört”. “Der Computer eines Endnutzers sollte niemals einen privaten Schlüssel haben, der zu einem Root-Zertifikat passt. Nur der Computer, der das Zertifikat ausgestellt hat, sollte einen privaten Schlüssel haben – und sehr gut geschützt sein.”

Zusammen mit dem Nutzer Kevin Hicks konnte Nord zudem bestätigen, dass Dell für jeden mit dem Root-Zertifikat ausgestatteten Computer denselben privaten Schlüssel vergeben hat, der sich Hicks zufolge mit öffentlich verfügbaren Tools auslesen lässt. “Jeder, der den privaten Schlüssel auf meinem Computer kennt, kann Zertifikate für jede Website und für jeden Zweck ausstellen und der Computer wird automatisch und fälschlicherweise annehmen, dass das ausgestellte Zertifikat gültig ist”, so Nord weiter.

[mit Material von Stefan Beiersmann, ZDNet.de]

Martin Schindler

Martin Schindler schreibt nicht nur über die SAPs und IBMs dieser Welt, sondern hat auch eine Schwäche für ungewöhnliche und unterhaltsame Themen aus der Welt der IT.

Recent Posts

Sophos: Automotive-Lieferant wird dreimal Opfer von Cybererpressern

Innerhalb von rund zwei Wochen kompromittieren die Gruppen LockBit, Hive und BlackCat das Netzwerk. Anscheinend…

3 Stunden ago

Deutsche Telekom bleibt auf Kurs

Konzernumsatz klettert zwischen April und Juni um fast sechs Prozent auf rund 28 Milliarden Euro.

4 Stunden ago

Cisco meldet Hackerangriff

Unbekannte dringen in das Netzwerk des Unternehmens ein. Zuvor hacken sie das Google-Konto eines Cisco-Mitarbeiters…

5 Stunden ago

Im Blindflug in Richtung Nachhaltigkeit

Eine Mehrheit der deutschen Unternehmen will klimaneutral werden. Aber wie? Für eine Antwort fehlen ihnen…

19 Stunden ago

Unternehmen unterschätzen Cyberrisiken durch vernetzte Partner und Lieferanten

Firmen stufen Sicherheitsrisiken ihrer Partner in digitalen Ökosystemen und Lieferketten als wenig besorgniserregend ein.

20 Stunden ago

Silicon DE im Fokus Podcast: Microsoft und der Mittelstand

Im Silicon DE Podcast erläutert Oliver Gürtler, Leiter des Mittelstandsgeschäfts bei Microsoft Deutschland, im Gespräch…

22 Stunden ago