Dell entschuldigt sich für Root-Sicherheitsleck auf Rechnern

Dell liefert Rechner mit einem selbst signierten Root-Zertifikat aus. Das bestätigt der Hersteller jetzt. Dieses Zertifikat stellt jedoch laut Angaben des Unternehmens, das damit Berichte mehrerer Blogger bestätigt, ein “unbeabsichtigtes Sicherheitsleck” dar. Allerdings seien Großkunden, die eigene System-Images einspielten, nicht von dem Problem betroffen. Dell habe außerdem weder Adware noch Malware vorinstalliert. Inzwischen liefert Dell auch ein Removal-Tool für dieses Zertifikat. Eine detaillierte Anleitung für das Deinstallieren der Software liefert Dell hier.

Über dieses Root-Zertifikat könnte Dell beispielsweise HTTPS verschlüsselten Traffic entschlüsseln. Zu diesem Zweck hatte Lenovo bis Anfang des Jahres einige seiner Produkte mit einem solchen Zertifikat ausgestattet, allerdings im Zusammenspiel mit einer Adware namens Superfish Visual Discovery, die Inserate in Websites einschmuggelte.

“Sicherheit und Privatsphäre unserer Kunden hat bei Dell Priorität”, sagte eine Sprecherin des Computerherstellers. “Wir entfernen das Zertifikat ab sofort von allen Dell Systemen.”

Auf einer Web-Seite von LastPass konnten Anwender überprüfen, ob sie von der Adware betroffen sind. Jetzt ist auch Dell in der Kritik ein vergleichbares Sicherheitsleck auszuliefern. (Screenshot: CNET.de)

Laut dem Blogger Hanno Böck soll Dell das Root-Zertifikat mit dem Namen “eDellRoot” dem Certificate Store seiner Systeme hinzugefügt haben. Es werde durch die Software Dell Foundation Services installiert, die Dell weiterhin zum Download anbiete. Dells Beschreibung zufolge liefert die Software Funktionen für den Kundensupport.

“Jeder Angreifer kann das Root-Zertifikat benutzen, um gültige Zertifikate für beliebige Websites zu erstellen”, erläutert Böck. “Selbst HTTP Public Key Pinning (HPKP) schützt nicht vor solchen Angriffen, weil Browseranbieter lokal installierte Zertifikate erlauben, um den Key-Pinning-Schutz zu überschreiben. Das ist ein Kompromiss bei der Implementierung, der den Betrieb sogenannter TLS-Abfang-Proxies erlaubt.”

Ähnlich kritisch äußerte sich der Citrix-Mitarbeiter Joe Nord in seinem Blog. Das eDellRoot-Zertifikat sei bis 2039 gültig und für “alle Zwecke” zugelassen. Es sei damit “mächtiger” als ein ebenfalls installiertes legitimes Root-Zertifikat von DigiCert. Zudem befinde sich auf den Dell-Rechnern auch noch ein “privater Schlüssel, der zu dem Zertifikat gehört”. “Der Computer eines Endnutzers sollte niemals einen privaten Schlüssel haben, der zu einem Root-Zertifikat passt. Nur der Computer, der das Zertifikat ausgestellt hat, sollte einen privaten Schlüssel haben – und sehr gut geschützt sein.”

Zusammen mit dem Nutzer Kevin Hicks konnte Nord zudem bestätigen, dass Dell für jeden mit dem Root-Zertifikat ausgestatteten Computer denselben privaten Schlüssel vergeben hat, der sich Hicks zufolge mit öffentlich verfügbaren Tools auslesen lässt. “Jeder, der den privaten Schlüssel auf meinem Computer kennt, kann Zertifikate für jede Website und für jeden Zweck ausstellen und der Computer wird automatisch und fälschlicherweise annehmen, dass das ausgestellte Zertifikat gültig ist”, so Nord weiter.

[mit Material von Stefan Beiersmann, ZDNet.de]

Redaktion

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

1 Tag ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

3 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

3 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

4 Tagen ago