Dell entschuldigt sich für Root-Sicherheitsleck auf Rechnern

Dell liefert Rechner mit einem selbst signierten Root-Zertifikat aus. Das bestätigt der Hersteller jetzt. Dieses Zertifikat stellt jedoch laut Angaben des Unternehmens, das damit Berichte mehrerer Blogger bestätigt, ein “unbeabsichtigtes Sicherheitsleck” dar. Allerdings seien Großkunden, die eigene System-Images einspielten, nicht von dem Problem betroffen. Dell habe außerdem weder Adware noch Malware vorinstalliert. Inzwischen liefert Dell auch ein Removal-Tool für dieses Zertifikat. Eine detaillierte Anleitung für das Deinstallieren der Software liefert Dell hier.

Über dieses Root-Zertifikat könnte Dell beispielsweise HTTPS verschlüsselten Traffic entschlüsseln. Zu diesem Zweck hatte Lenovo bis Anfang des Jahres einige seiner Produkte mit einem solchen Zertifikat ausgestattet, allerdings im Zusammenspiel mit einer Adware namens Superfish Visual Discovery, die Inserate in Websites einschmuggelte.

“Sicherheit und Privatsphäre unserer Kunden hat bei Dell Priorität”, sagte eine Sprecherin des Computerherstellers. “Wir entfernen das Zertifikat ab sofort von allen Dell Systemen.”

Auf einer Web-Seite von LastPass konnten Anwender überprüfen, ob sie von der Adware betroffen sind. Jetzt ist auch Dell in der Kritik ein vergleichbares Sicherheitsleck auszuliefern. (Screenshot: CNET.de)

Laut dem Blogger Hanno Böck soll Dell das Root-Zertifikat mit dem Namen “eDellRoot” dem Certificate Store seiner Systeme hinzugefügt haben. Es werde durch die Software Dell Foundation Services installiert, die Dell weiterhin zum Download anbiete. Dells Beschreibung zufolge liefert die Software Funktionen für den Kundensupport.

“Jeder Angreifer kann das Root-Zertifikat benutzen, um gültige Zertifikate für beliebige Websites zu erstellen”, erläutert Böck. “Selbst HTTP Public Key Pinning (HPKP) schützt nicht vor solchen Angriffen, weil Browseranbieter lokal installierte Zertifikate erlauben, um den Key-Pinning-Schutz zu überschreiben. Das ist ein Kompromiss bei der Implementierung, der den Betrieb sogenannter TLS-Abfang-Proxies erlaubt.”

Ähnlich kritisch äußerte sich der Citrix-Mitarbeiter Joe Nord in seinem Blog. Das eDellRoot-Zertifikat sei bis 2039 gültig und für “alle Zwecke” zugelassen. Es sei damit “mächtiger” als ein ebenfalls installiertes legitimes Root-Zertifikat von DigiCert. Zudem befinde sich auf den Dell-Rechnern auch noch ein “privater Schlüssel, der zu dem Zertifikat gehört”. “Der Computer eines Endnutzers sollte niemals einen privaten Schlüssel haben, der zu einem Root-Zertifikat passt. Nur der Computer, der das Zertifikat ausgestellt hat, sollte einen privaten Schlüssel haben – und sehr gut geschützt sein.”

Zusammen mit dem Nutzer Kevin Hicks konnte Nord zudem bestätigen, dass Dell für jeden mit dem Root-Zertifikat ausgestatteten Computer denselben privaten Schlüssel vergeben hat, der sich Hicks zufolge mit öffentlich verfügbaren Tools auslesen lässt. “Jeder, der den privaten Schlüssel auf meinem Computer kennt, kann Zertifikate für jede Website und für jeden Zweck ausstellen und der Computer wird automatisch und fälschlicherweise annehmen, dass das ausgestellte Zertifikat gültig ist”, so Nord weiter.

[mit Material von Stefan Beiersmann, ZDNet.de]

Redaktion

Recent Posts

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

10 Stunden ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

14 Stunden ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

15 Stunden ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

1 Tag ago

Rechenzentrumsnetzwerke als Schlüssel für Desaster Recovery

Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.

1 Tag ago

Cybersecurity mit KI: Strategischer Vorteil oder Sicherheitsrisiko?

Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…

2 Tagen ago