Meer gevaarlijke certificaten op Dell-computers ontdekt

[Captain Kirk]

Op computers van Dell blijken meer gevaarlijke certificaten aanwezig te zijn dan alleen het eDellRoot rootcertificaat waar sinds gisteren voor wordt gewaarschuwd en waardoor gebruikers kunnen worden aangevallen. Dat meldt het beveiligingsbedrijf Duo Security aan de hand van eigen onderzoek.

Dell blijkt sinds augustus op computers hetzelfde rootcertificaat genaamd eDellRoot te installeren, inclusief bijbehorende privésleutel. Iets dat volgens de onderzoekers van Duo Security een 'vrij grote fout' is. Via het certificaat kunnen er man-in-the-middle-aanvallen op gebruikers worden uitgevoerd en is het bijvoorbeeld mogelijk om malware te installeren of versleutelde verbindingen af te luisteren. Daarnaast blijkt er ook een tweede eDellRoot certificaat te zijn. Dit tweede certificaat werd op 24 IP-adressen aangetroffen. Om welke modellen het precies gaat is onbekend.

"Het suggereert dat Dell opzettelijk identieke sleutels in andere modellen levert. Dit is een schaamteloze minachting voor basale cryptografische veiligheid", aldus de onderzoekers. Eén van de systemen die via het internet toegankelijk was en dit certificaat gebruikte om webdiensten over HTTPS aan te bieden was een SCADA-systeem. Dergelijke systemen worden onder andere voor de vitale infrastructuur gebruikt.

Als laatste werd er ook nog een Atheros Authenticode-certificaat ontdekt voor het signeren van software. Het wachtwoord van het certificaat werd binnen 6 uur gekraakt. Het certificaat bleek echter al te verlopen zijn, wat de mogelijkheid voor misbruik beperkt. Het lijkt er echter op dat het certificaat in gebruik was op het moment dat het nog geldig was.

Fabrikanten leren niet

Volgens de onderzoekers laat de ontdekking een verontrustende ontwikkeling onder fabrikanten zien. Het toevoegen van vertrouwde certificaten aan een systeem, en dan met name rootcertificaten, kan gebruikers aan onnodige risico's blootstellen. "Helaas blijken fabrikanten niet te leren van fouten uit het verleden en blijven ze die steeds herhalen", aldus de conclusie van het onderzoek (pdf). Dell heeft inmiddels aangegeven dat het eDellRoot-certificaat via een update zal worden verwijderd.

 

bron: security.nl