martes, 24 de noviembre de 2015

Portátiles Dell con certificado raíz preinstalado

A principios de año descubrimos como los portátiles Lenovo venían con un regalo en forma de malware y un certificado raíz preinstalado. Ahora de forma muy similar, se descubre que una serie de portátiles Dell también incluyen un certificado raíz preinstalado, con las graves implicaciones que puede tener.

El anuncio ha venido de la mano del investigador Joe Nord al descubrir que su recientemente adquirido Dell Inspiron Serie 5000 incluía preinstalado el certificado raíz etiquetado como "eDellRoot", con su clave privada y todo. La inclusión de un certificado de este tipo deja a todos los ordenadores expuestos a ataques "hombre en el medio", con posibilidad de realizar ataques de fraude bancario, compras, robo de identidad, etc. Se ha confirmado que el certificado se incluía en todos los equipos Inspiron 5000, XPS 15 y XPS 13.

Certificado raíz eDellRoot
Finalmente Dell ha reconocido el problema, no le quedaba otra. Según ha confirmado el certificado se instalaba por la aplicación Dell Foundation Services, como parte de una herramienta de soporte para intentar hacer que el servicio a los sistemas de los clientes fuera lo más fácil y rápido.

Como siempre, para Dell la seguridad y privacidad de sus clientes es una de las principales preocupaciones y prioridades de la compañía. Pero en su aviso nos aclaran que este certificado es malware ni adware, y que se instalaba para ayudar a los usuarios. Como si con eso no hubiera ningún otro problema.

Dell Inspirion Serie 5000
El problema es más grave de lo que en un principio puede parecer, de ahí que hayan saltado todas las alarmas. El mayor problema es la capacidad que se le ofrece a un atacante para falsificar prácticamente cualquier dominio (que no use certificado pinning) y cualquier dato firmado con esa clave privada. Las víctimas potenciales, son, como no, los usuarios de DELL afectados. Ellos son los que contienen el certificado que validará cualquier certificado false extendido con la clave privada.

Resulta sorprendente como después de todo el escándalo que supuso el caso Superfish para Lenovo, una firma como Dell haya caído en el mismo error. De hecho, el certificado de Dell fue creado meses después de todo lo ocurrido con Lenovo. ¿Es qué nadie en Dell prestó atención a lo ocurrido?

Sorprendentemente, el certificado no puede eliminarse simplemente, cuando se intenta eliminar aparece de nuevo. Una dll incluida con el certificado raíz reinstala el archivo en caso de borrarse. Primero es necesario eliminar la dll Dell.Foundation.Agent.Plugins.eDell.dll y posteriormente eliminar el propio certificado eDellRoot.

Dell ha publicado un documento en el que explica el proceso detalladamente y ha confirmado que a partir de ahora los equipos ya no incluirán este certificado. También ha anunciado que iniciará un proceso de actualización de los equipos que eliminará el certificado de forma automática.

Más información:

una-al-dia (20/02/2015) Portátiles Lenovo con malware de regalo
http://unaaldia.hispasec.com/2015/02/portatiles-lenovo-con-malware-de-regalo.html

New Dell computer comes with a eDellRoot trusted root certificate
http://joenord.blogspot.com.es/2015/11/new-dell-computer-comes-with-edellroot.html

Response to Concerns Regarding eDellroot Certificate
http://en.community.dell.com/dell-blogs/direct2dell/b/direct2dell/archive/2015/11/23/response-to-concerns-regarding-edellroot-certificate

Antonio Ropero
antonior@hispasec.com
Twitter: @aropero

Etiquetas: , , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017