De Hispasec – Una al Día: Portátiles Dell con certificado raíz preinstalado (24/11/2015)

Saludos nuevamente.

Esta noticia es un tanto curiosa. Mejor se las dejo para que la lean:

Portátiles Dell con certificado raíz preinstalado
martes, 24 de noviembre de 2015

A principios de año descubrimos como los portátiles Lenovo venían con un regalo en forma de malware y un certificado raíz preinstalado. Ahora de forma muy similar, se descubre que una serie de portátiles Dell también incluyen un certificado raíz preinstalado, con las graves implicaciones que puede tener.

Dell_Logo

El anuncio ha venido de la mano del investigador Joe Nord al descubrir que su recientemente adquirido Dell Inspiron Serie 5000 incluía preinstalado el certificado raíz etiquetado como “eDellRoot, con su clave privada y todo. La inclusión de un certificado de este tipo deja a todos los ordenadores expuestos a ataques “hombre en el medio“, con posibilidad de realizar ataques de fraude bancario, compras, robo de identidad, etc. Se ha confirmado que el certificado se incluía en todos los equipos Inspiron 5000, XPS 15 y XPS 13.

eDellRoot

Certificado raíz eDellRoot

Finalmente Dell ha reconocido el problema, no le quedaba otra. Según ha confirmado el certificado se instalaba por la aplicación Dell Foundation Services, como parte de una herramienta de soporte para intentar hacer que el servicio a los sistemas de los clientes fuera lo más fácil y rápido.

Como siempre, para Dell la seguridad y privacidad de sus clientes es una de las principales preocupaciones y prioridades de la compañía. Pero en su aviso nos aclaran que este certificado es malware ni adware, y que se instalaba para ayudar a los usuarios. Como si con eso no hubiera ningún otro problema.

DellInspirionSerie5000

Dell Inspirion Serie 5000

El problema es más grave de lo que en un principio puede parecer, de ahí que hayan saltado todas las alarmas. El mayor problema es la capacidad que se le ofrece a un atacante para falsificar prácticamente cualquier dominio (que no use certificado pinning) y cualquier dato firmado con esa clave privada. Las víctimas potenciales, son, como no, los usuarios de DELL afectados. Ellos son los que contienen el certificado que validará cualquier certificado false extendido con la clave privada.

Resulta sorprendente como después de todo el escándalo que supuso el caso Superfish para Lenovo, una firma como Dell haya caído en el mismo error. De hecho, el certificado de Dell fue creado meses después de todo lo ocurrido con Lenovo. ¿Es qué nadie en Dell prestó atención a lo ocurrido?

Sorprendentemente, el certificado no puede eliminarse simplemente, cuando se intenta eliminar aparece de nuevo. Una dll incluida con el certificado raíz reinstala el archivo en caso de borrarse. Primero es necesario eliminar la dll Dell.Foundation.Agent.Plugins.eDell.dll y posteriormente eliminar el propio certificado eDellRoot.

Dell ha publicado un documento en el que explica el proceso detalladamente y ha confirmado que a partir de ahora los equipos ya no incluirán este certificado. También ha anunciado que iniciará un proceso de actualización de los equipos que eliminará el certificado de forma automática.

Más información:

una-al-dia (20/02/2015) Portátiles Lenovo con malware de regalo

http://unaaldia.hispasec.com/2015/02/portatiles-lenovo-con-malware-de-regalo.html

New Dell computer comes with a eDellRoot trusted root certificate

http://joenord.blogspot.com.es/2015/11/new-dell-computer-comes-with-edellroot.html

Response to Concerns Regarding eDellroot Certificate

http://en.community.dell.com/dell-blogs/direct2dell/b/direct2dell/archive/2015/11/23/response-to-concerns-regarding-edellroot-certificate

 

Antonio Ropero

Twitter: @aropero

Acerca de Hector Suarez Planas

Es Licenciado en Ciencia de la Computación (3 de julio de 2002). Ha sido Administrador de Red en varias organizaciones, Programador y Analista de Sistemas. Actualmente se desempeña como Administrador de Red del Telecentro Tele Turquino de Santiago de Cuba. Tiene experiencia con sistemas Windows y GNU/Linux, Infraestructura de Redes (Cisco, AlliedTelesis, Netgear y HP ProCurve, Vyatta/VyOS), Servidores tanto físicos como virtuales (plataformas VMWare, Proxmox VE y Xen), Sistemas de Seguridad Informática (Snort/Suricata IDS, appliances AlienVault OSSIM), programador (Delphi, C++ Builder, Perl [poco], Python [algo]), entre otras cosas. Actualmente estoy incursionando en todo lo que tiene relación con Cloud Computing (OpenStack) y Centros de Datos. :-)
Esta entrada fue publicada en DELL. Guarda el enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *