Esta
misma semana descubríamos
la inclusión de un certificado raíz con
su clave privada en algunos portátiles Dell. Cuando parecía que volvía la
calma para la firma, se vuelve a encontrar otro certificado con las mismas
características que el anterior. No
querías caldo, pues toma dos tazas.
Tal como suena, parece que Dell
ha sembrado sus ordenadores con certificados raíz no se sabe con qué extraño
propósito.
El primer certificado, estaba identificado
como eDellRoot se incluía en todos los equipos Inspiron 5000, XPS 15 y XPS 13 y
según la firma formaba parte del sistema de soporte a los usuarios. La compañía
ya confirmó que dejaría de incluir este certificado en sus nuevos portátiles,
también ha proporcionado una herramienta
para eliminarlo de forma automática, así como un sitio.
Pero la cosa no queda ahí, si ya
resultaba difícil admitir la existencia de este certificado, ahora la
publicación Laptop Mag ha anunciado un segundo certificado identificado
como "DSDTestProvider". Este
segundo certificado se instala y se usa por Dell System Detect (DSD), una
aplicación descargada desde el sitio web de Dell, que proporciona características
de detección de producto ("Detect Product"), para ayudar a los
usuarios a identificar el modelo de su ordenador y otros detalles técnicos.
 |
| Los certificados eDellRoot y DSDTestProvider juntitos en el almacen |
Se puede considerar que la exposición
a este segundo certificado es más limitada, ya que los usuarios debían
descargarlo desde la web, y solo estuvo disponible desde el 20 de octubre al 24
de noviembre en que al saltar las alarmas dejó de incluirse.
Al igual que eDellRoot,
DSDTestProvider también se instala en el almacén de certificados raíz, junto
con su clave privada. Como ya aclaramos en la
anterior una-al-día el principal problema reside en la capacidad que se le
ofrece a un atacante para realizar ataques de hombre-en-el-medio o falsificar
prácticamente cualquier dominio (que no use certificado pinning) y cualquier
dato firmado con esa clave privada.
Precisamente, Symantec
ha confirmado que han encontrado
muestras de malware en VirusTotal firmadas digitalmente con el certificado eDellRoot.
Esto podría pemitir a un atacante hacer pasar el malware como software legítimo
en los sistemas Dell afectados.
 |
| Malware firmado con eDellRoot (Fuente: Symantec) |
Al igual que con eDellRoot para
eliminar este certificado es necesario borrar primero la dll
Dell.Foundation.Agent.Plugins.eDell.dll y posteriormente eliminar el propio
certificado DSDTestProvider.
Microsoft también sale al rescate
de Dell, y de todos sus clientes, ya que
ha actualizado sus herramientas de seguridad para eliminar ambos
certificados del almacén. Según ha
confirmado las herramientas actualizadas incluyen Windows Defender para Windows 10 y Windows 8.1, Microsoft
Security Essentials para Windows 7 y Windows Vista, Microsoft
Safety Scanner y Microsoft Windows Malicious Software Removal Tool.
Más información:
una-al-dia (24/11/2015)
Portátiles Dell con certificado raíz preinstalado
Herramienta para eliminar eDellRoot
Sloppy Security Software Exposes Dell Laptops
to Hackers
Dell computers affected by eDellRoot
self-signed root certificate
http://www.symantec.com/connect/blogs/dell-computers-affected-edellroot-self-signed-root-certificate
Program:Win32/CompromisedCert.D
Program:Win32/CompromisedCert.C
Response to Concerns Regarding eDellroot
Certificate
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario