Dell ha sembrado sus ordenadores con certificados raíz no se sabe con qué extraño propósito.
El primer certificado, estaba identificado como eDellRoot se incluía
en todos los equipos Inspiron 5000, XPS 15 y XPS 13 y según la firma formaba
parte del sistema de soporte a los usuarios. La compañía ya confirmó que
dejaría de incluir este certificado en sus nuevos portátiles, también ha
proporcionado una herramienta para eliminarlo de forma automática, así como un
sitio.
Pero la cosa no queda ahí, si ya resultaba difícil admitir la existencia de este certificado, ahora la publicación Laptop Mag ha anunciado un segundo certificado identificado como "DSDTestProvider". Este segundo certificado se instala y se usa por Dell System Detect (DSD), una aplicación descargada desde el sitio web de Dell, que proporciona características de detección de producto ("Detect Product"), para ayudar a los usuarios a identificar el modelo de su ordenador y otros detalles técnicos.
Se puede considerar que la exposición a este segundo certificado es
más limitada, ya que los usuarios debían descargarlo desde la web, y solo
estuvo disponible desde el 20 de octubre al 24 de noviembre en que al saltar
las alarmas dejó de incluirse.
Al igual que eDellRoot, DSDTestProvider también se instala en el almacén de certificados raíz, junto con su clave privada. Como ya aclaramos en la anterior una-al-día el principal problema reside en la capacidad que se le ofrece a un atacante para realizar ataques de hombre-en-el-medio o falsificar prácticamente cualquier dominio (que no use certificado pinning) y cualquier dato firmado con esa clave privada.
Precisamente, Symantec ha confirmado que han encontrado muestras de
malware en VirusTotal firmadas digitalmente con el certificado eDellRoot. Esto
podría pemitir a un atacante hacer pasar el malware como software legítimo en
los sistemas Dell afectados.
Al igual que con eDellRoot para eliminar este certificado es necesario
borrar primero la dll Dell.Foundation.Agent.Plugins.eDell.dll y posteriormente
eliminar el propio certificado DSDTestProvider.
Microsoft también sale al rescate de Dell, y de todos sus clientes, ya que ha actualizado sus herramientas de seguridad para eliminar ambos certificados del almacén. Según ha confirmado las herramientas actualizadas incluyen Windows Defender para Windows 10 y Windows 8.1, Microsoft Security Essentials para Windows 7 y Windows Vista, Microsoft Safety Scanner y Microsoft Windows Malicious Software Removal Tool.
Más información:
- Herramienta para eliminar eDellRoot https://dellupdater.dell.com/Downloads/APP009/eDellRootCertFix.exe
- Sloppy Security Software Exposes Dell Laptops to Hackers http://www.laptopmag.com/articles/dell-certificate-security-flaw
- Dell computers affected by eDellRoot self-signed root certificate http://www.symantec.com/connect/blogs/dell-computers-affected-edellroot-self-signed-root-certificate
- Program:Win32/CompromisedCert.D https://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?name=Program%3aWin32%2fCompromisedCert.D&threatid=224188&enterprise=0#tab=1
- Program:Win32/CompromisedCert.C https://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Program:Win32/CompromisedCert.C#tab=2
- Response to Concerns Regarding eDellroot Certificate http://en.community.dell.com/dell-blogs/direct2dell/b/direct2dell/archive/2015/11/23/response-to-concerns-regarding-edellroot-certificate