• IT-Karriere:
  • Services:

HTTPS-Verschlüsselung: Noch ein gefährliches Dell-Zertifikat

Offenbar gibt es eine weitere von Dell bereitgestellte Software, die ein Root-Zertifikat samt privatem Schlüssel installiert. Das Tool namens Dell System Detect ist schon früher als Sicherheitsrisiko aufgefallen.

Artikel veröffentlicht am , Hanno Böck
Ein weiteres gefährliches Root-Zertifikat ist auf Dell-Laptops zu finden.
Ein weiteres gefährliches Root-Zertifikat ist auf Dell-Laptops zu finden. (Bild: Dell Inc./ Wikimedia Commons/CC-BY 2.0)

Das Ausmaß der Probleme mit gefährlichen Zertifikaten auf Dell-Laptops ist offenbar noch größer als gedacht. Eine zweite Software mit Namen Dell System Detect liefert ebenfalls ein gefährliches Root-Zertifikat mit, das für Man-in-the-Middle-Angriffe gegen verschlüsselte HTTPS-Verbindungen genutzt werden kann.

Stellenmarkt
  1. Prodatic-EDV-Konzepte GmbH, Wermelskirchen
  2. Hays AG, Thüringen

Gestern war bekannt geworden, dass auf aktuellen Dell-Laptops unter dem Namen "eDellRoot" ein Root-Zertifikat samt privatem Schlüssel abgelegt ist. Jeder kann dieses Zertifikat extrahieren und anschließend damit nach Belieben Webseitenzertifikate signieren und für Angriffe nutzen.

Dell System Detect mit Root-Zertifikat

Zwischenzeitlich hat Dell auf seinem Firmenblog eine Stellungnahme veröffentlicht und dort eine Anleitung sowie ein Tool zum Entfernen des Zertifikats bereitgestellt. In einem Kommentar unter dem Blogeintrag weist ein Nutzer darauf hin, dass auf seinem XPS-Laptop ein weiteres Zertifikat mit dem Namen DSDTestProvider installiert worden sei.

DSD steht für "Dell System Detect", dieses Tool lässt sich auf der Dell-Webseite herunterladen. Nach einer Testinstallation konnten wir das Zertifikat und den zugehörigen privaten Schlüssel extrahieren. Die Sicherheitsprobleme sind dieselben wie beim ersten Mal: Jeder Angreifer kann damit nach Belieben Zertifikate ausstellen, die vom Browser des Nutzers akzeptiert werden.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Der von uns bereitgestellte Onlinetest ist bereits aktualisiert und prüft nun beide problematische Dell-Zertifikate. Die Anleitung von Dell ist bislang unvollständig und berücksichtigt dieses weitere Zertifikat nicht.

Offenbar ist das nicht das erste Mal, dass Dell System Detect für eine gravierende Sicherheitslücke verantwortlich ist. In einem Blogeintrag berichteten die Entwickler des Antivirenprogramms Malwarebytes im April, dass ältere Versionen von Dell System Detect eine Remote-Code-Execution-Lücke enthielten.

Atheros-Zertifikat und weitere Funde

Von weiteren Funden im Zusammenhang mit dem Dell-Zertifikat berichtet die Firma Duo Security. Auf einigen Dell-Laptops sei ein Zertifikat zum Signieren von Treibern von Atheros gefunden worden. Allerdings sei das Zertifikat schon lange abgelaufen gewesen und dürfte somit aktuell keine Gefahr mehr darstellen. Weiterhin untersuchte Duo Security, ob Zertifikate, die mit dem eDellRoot-Zertifikat signiert wurden, im Internet zu finden seien. Die Forscher fanden zwar keine derartigen Hosts, dafür aber ein weiteres Zertifikat mit demselben Namen, das von 24 Hosts im Internet genutzt werde, darunter ein Scada-System einer Wasserversorgungsanlage. Der Grund hierfür ist bislang unklar.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

Gol D. Ace 24. Nov 2015

Wenn du das Public-Key-Verschlüsselungsverfahren verstehst sollte einiges klarer...


Folgen Sie uns
       


Sony Alpha 1 - Fazit

Die Alpha 1 von Sony überzeugt in unserem Test.

Sony Alpha 1 - Fazit Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /