Abo
  • IT-Karriere:

Gefährliches Root-Zertifikat: HTTPS-Verschlüsselung von Dell-Nutzern gefährdet

Ein auf aktuellen Dell-Laptops vorinstalliertes Root-Zertifikat ermöglicht es Angreifern, nach Belieben HTTPS-Verbindungen mitzulesen. Eine fast identische Sicherheitslücke, verursacht durch das Programm Superfish, betraf vor einigen Monaten Lenovo-Laptops.

Artikel veröffentlicht am , Hanno Böck
Die HTTPS-Verbindungen von Dell-Nutzern sind nicht sicher - ein Root-Zertifikat erlaubt Angreifern Man-in-the-Middle-Angriffe.
Die HTTPS-Verbindungen von Dell-Nutzern sind nicht sicher - ein Root-Zertifikat erlaubt Angreifern Man-in-the-Middle-Angriffe. (Bild: Jjpwiki/Wikimedia Commons/CC-BY-SA 4.0)

Aus dem Superfish-Skandal haben einige Hersteller offenbar nichts gelernt: Auf Laptops der Firma Dell ist ein Root-Zertifikat vorinstalliert, das von Browsern als gültig akzeptiert wird, die den systemweiten Zertifikatsspeicher nutzen. Besonders drastisch: Auch der private Key befindet sich auf dem System und ist inzwischen öffentlich. Damit ist es jedem Angreifer möglich, Nutzern von Dell-Laptops mittels Man-in-the-Middle-Angriffen falsche HTTPS-Webseiten unterzuschieben oder verschlüsselte Daten mitzulesen.

Root-Zertifikat ermöglicht Man-in-the-Middle-Angriffe

Stellenmarkt
  1. MAINGAU Energie GmbH, Obertshausen
  2. über Kienbaum Consultants International GmbH, Stuttgart

Das Zertifikat, das unter dem Namen "eDellRoot" im Zertifikatsspeicher des Systems abgelegt wird, wird durch eine Software namens Dell Foundation Services installiert. Diese wird nach wie vor auf der Dell-Webseite zum Download angeboten. Laut der etwas unklaren Beschreibung von Dell dient die Software dazu, Kundenservice-, Messaging- und Supportfunktionen bereitzustellen.

Der private Schlüssel des Zertifikats ist im Windows-Zertifikatsspeicher nicht exportierbar abgelegt. Damit lässt er sich mit Windows-Bordmitteln nicht extrahieren. Ein richtiger Schutz ist das natürlich nicht, es gibt Tools, die derartige nicht exportierbare Zertifikate aus dem Zertifikatsspeicher extrahieren können. Ein Nutzer der Plattform Reddit hat den Key dort inzwischen veröffentlicht.

Nutzer entsprechender Laptops sind somit einem hohen Sicherheitsrisiko ausgesetzt. Jeder Angreifer kann dieses Root-Zertifikat nutzen, um gültige Zertifikate für beliebige Webseiten zu erstellen. Selbst wenn die Webseite durch HTTP Public Key Pinning (HPKP) ihre Zertifikate schützt, hilft das in diesem Fall nicht, denn für manuell installierte Zertifikate ist der Key-Pinning-Schutz nicht wirksam - ein Kompromiss, den die Browserhersteller bei der Implementierung eingegangen sind, um die Funktionsweise von sogenannten TLS-Interception-Proxies nicht zu beeinträchtigen.

Keine Stellungnahme von Dell

Der Autor dieses Artikels wurde bereits vor einigen Wochen von dem Softwareentwickler Kristof Mattei auf dieses Root-Zertifikat aufmerksam gemacht. Wir hatten Dell vor zwei Wochen um eine Stellungnahme gebeten, eine Antwort haben wir bislang nicht erhalten.

Welchem Zweck das installierte Root-Zertifikat dient, ist damit zurzeit unklar. Dass es sich um eine böswillige Maßnahme handelt, um die Überwachung von Nutzern zu erleichtern, erscheint allerdings auch eher unwahrscheinlich, denn dann hätte Dell den privaten Schlüssel für das Zertifikat vermutlich nicht mitinstalliert.

Betroffen sind Nutzer der betroffenen Laptops nur, wenn sie Browser oder andere Programme nutzen, die auf den Zertifikats-Systemspeicher zurückgreifen. Unter den Windows-Browsern nutzen der Internet Explorer und Chrome diesen Zertifikatsspeicher. Nicht betroffen sind Firefox-Nutzer, da der Mozilla-Browser einen eigenen Zertifikatsspeicher besitzt.

Onlinetest prüft Verwundbarkeit

Nutzer von Dell-Laptops können mittels eines von uns bereitgestellten Onlinetests prüfen, ob sie von dem Problem betroffen sind. Wer betroffen ist, sollte umgehend das entsprechende Zertifikat im Zertifikatsmanager von Windows löschen. Der Zertifikatsmanager lässt sich starten, indem nach dem Klick auf "Start" der Befehl "certmgr.msc" eingegeben wird. Dort ist das Zertifikat unter dem Punkt "Vertrauenswürdige Stammzertifikate" zu finden. Außerdem muss die Datei (Dell.Foundation.Agent.Plugins.eDell.dll) manuell gelöscht werden. Das Zertifikat entfernen alleine reicht nicht, um das Problem zu beheben. Dell hat eine Anleitung und ein automatisches Entfernungstool bereitgestellt.

Der Vorfall ist nahezu identisch mit den Ereignissen um das Programm Superfish. Im Frühjahr war bekanntgeworden, dass Lenovo auf seinen Laptops ein Programm vorinstalliert hatte, das in HTTPS-Verbindungen eingriff, um dort Werbung einzufügen. Dazu nutzte es ebenfalls ein Root-Zertifikat, dessen privater Schlüssel Teil der Software war. Anschließend wurden zahlreiche weitere Programme gefunden, die alle von demselben Sicherheitsproblem betroffen waren, weil sie alle ein Softwaremodul namens Komodia nutzten. Andere Programme mit ähnlichen Sicherheitsproblemen, darunter etwa die Software Privdog und der Adblocker Adguard, wurden ebenfalls entdeckt.

Nachtrag vom 24. November 2015, 10:29 Uhr

Dell hat inzwischen mit einer Stellungnahme reagiert. Darin entschuldigt sich der Konzern für den Vorfall und kündigt ein baldiges Update an, welches das entsprechende Zertifikat entfernen soll. Weiterhin hat Dell eine Anleitung und ein Tool zum Entfernen des Zertifikats bereitgestellt, wir haben den Text entsprechend angepasst. Anders, als wir ursprünglich geschrieben haben, reicht es nicht, lediglich das Zertifikat manuell zu löschen.



Anzeige
Spiele-Angebote
  1. 39,99€ (Release am 3. Dezember)
  2. 4,99€
  3. (-78%) 2,20€

Rüttelhuhn01 25. Nov 2015

Gibt es auch auf DELL Geräten laufende Webserver mit diesem Root Zertifikat? Sind die...

SoniX 24. Nov 2015

;-) Nun sollte das iso nur noch verhindern das Malware (so nenne ich das mal) aus dem...

Thiesi 24. Nov 2015

Du nutzt aber sicher auch keinen Edge, IE, Chrome oder andere Exoten-Browser, so dass in...

mastermind 24. Nov 2015

Äh ja, nur dass PGP/GPG eben *nicht* mit einer Zertifikatskette arbeiten. Daher gibt es...

Technikfreak 24. Nov 2015

gab es auch schon und bei Dell kannst du ja wählen, welches... aber ohne OS kauft dir...


Folgen Sie uns
       


iOS 13 ausprobiert

Apple hat iOS 13 offiziell vorgestellt. Die neue Version des mobilen Betriebssystems bringt unter anderem den Dark Mode sowie zahlreiche Verbesserungen einzelner Apps.

iOS 13 ausprobiert Video aufrufen
Elektromobilität: Warum der Ladestrom so teuer geworden ist
Elektromobilität
Warum der Ladestrom so teuer geworden ist

Das Aufladen von Elektroautos an einer öffentlichen Ladesäule kann bisweilen teuer sein. Golem.de hat mit dem Ladenetzbetreiber Allego über die Tücken bei der Ladeinfrastruktur und den schwierigen Kunden We Share gesprochen.
Ein Bericht von Friedhelm Greis

  1. Elektromobilität Hamburg lädt am besten, München besser als Berlin
  2. Volta Charging Werbung soll kostenloses Elektroauto-Laden ermöglichen
  3. Elektromobilität Allego stellt 350-kW-Lader in Hamburg auf

Change-Management: Die Zeiten, sie, äh, ändern sich
Change-Management
Die Zeiten, sie, äh, ändern sich

Einen Change zu wollen, gehört heute zum guten Ton in der Unternehmensführung. Doch ein erzwungener Wandel in der Firmenkultur löst oft keine Probleme und schafft sogar neue.
Ein Erfahrungsbericht von Marvin Engel

  1. IT-Jobs Der Amtsschimmel wiehert jetzt agil
  2. MINT Werden Frauen überfördert?
  3. Recruiting Wenn das eigene Wachstum zur Herausforderung wird

WLAN-Kameras ausgeknipst: Wer hat die Winkekatze geklaut?
WLAN-Kameras ausgeknipst
Wer hat die Winkekatze geklaut?

Weg ist die Winkekatze - und keine unserer vier Überwachungskameras hat den Dieb gesehen. Denn WLAN-Cams von Abus, Nest, Yi Technology und Arlo lassen sich ganz einfach ausschalten.
Von Moritz Tremmel

  1. Wi-Fi 6 Router und Clients für den neuen WLAN-Standard
  2. Wi-Fi 6 und 802.11ax Was bringt der neue WLAN-Standard?
  3. Brandenburg Vodafone errichtet 1.200 kostenlose WLAN-Hotspots

    •  /