28 de noviembre de 2015

DELL. Otro fallo de certificados raíz

Dell ha sembrado sus ordenadores con certificados raíz no se sabe con qué extraño propósito.
El primer certificado, estaba identificado como eDellRoot se incluía en todos los equipos Inspiron 5000, XPS 15 y XPS 13 y según la firma formaba parte del sistema de soporte a los usuarios. La compañía ya confirmó que dejaría de incluir este certificado en sus nuevos portátiles, también ha proporcionado una herramienta para eliminarlo de forma automática, así como un sitio.
Pero la cosa no queda ahí, si ya resultaba difícil admitir la existencia de este certificado, ahora la publicación Laptop Mag ha anunciado un segundo certificado identificado como "DSDTestProvider". Este segundo certificado se instala y se usa por Dell System Detect (DSD), una aplicación descargada desde el sitio web de Dell, que proporciona características de detección de producto ("Detect Product"), para ayudar a los usuarios a identificar el modelo de su ordenador y otros detalles técnicos.
Se puede considerar que la exposición a este segundo certificado es más limitada, ya que los usuarios debían descargarlo desde la web, y solo estuvo disponible desde el 20 de octubre al 24 de noviembre en que al saltar las alarmas dejó de incluirse.
Al igual que eDellRoot, DSDTestProvider también se instala en el almacén de certificados raíz, junto con su clave privada. Como ya aclaramos en la anterior una-al-día el principal problema reside en la capacidad que se le ofrece a un atacante para realizar ataques de hombre-en-el-medio o falsificar prácticamente cualquier dominio (que no use certificado pinning) y cualquier dato firmado con esa clave privada.
Precisamente, Symantec ha confirmado que han encontrado muestras de malware en VirusTotal firmadas digitalmente con el certificado eDellRoot. Esto podría pemitir a un atacante hacer pasar el malware como software legítimo en los sistemas Dell afectados.
Al igual que con eDellRoot para eliminar este certificado es necesario borrar primero la dll Dell.Foundation.Agent.Plugins.eDell.dll y posteriormente eliminar el propio certificado DSDTestProvider.
 Microsoft también sale al rescate de Dell, y de todos sus clientes, ya que ha actualizado sus herramientas de seguridad para eliminar ambos certificados del almacén. Según ha confirmado las herramientas actualizadas incluyen Windows Defender para Windows 10 y Windows 8.1, Microsoft Security Essentials para Windows 7 y Windows Vista, Microsoft Safety Scanner y Microsoft Windows Malicious Software Removal Tool.
Más información:
Fuente: Hispasec