Dell Foundation Services installierten kompromittiertes CA-Zertifikat

Nubira
Moderator

Beiträge: 15134

Technische Warnung des Bürger-CERT
----------------------------------

TECHNISCHE WARNUNG TW-T15/0106
Titel: Dell Foundation Services installierten kompromittiertes
CA-Zertifikat
Datum: 24.11.2015
Risiko: hoch

ZUSAMMENFASSUNG
Systeme der Firma Dell, auf denen der Dienst "Dell Foundation Services"
installiert ist, enthalten im Zertifikatsspeicher ein von Dell selbst
erstelltes Wurzelzertifikat. Dieses Zertifikat ermöglicht es, weitere
Zertifikate zu beglaubigen, Software zu signieren sowie den Einsatz für
beliebige weitere Zwecke. Zusätzlich wurde der zugehörige private
Schlüssel zu diesem Zertifikat auf die Systeme ausgerollt und kann somit
von jedem versierten Nutzer der betroffenen Systeme extrahiert und zur
Signierung genutzt werden.

Der Sachverhalt wurde vom Hersteller bestätigt [1].

REVISIONS HISTORIE
Version: 1.0
Revisionsbeschreibung

BETROFFENE SYSTEME
Systeme der Firma Dell auf dem der "Dell Foundation Services" installiert
ist.

EMPFEHLUNG
Das BSI empfiehlt, die Betroffenheit der Systeme zeitnah zu testen [3]
und die Schwachstelle auf betroffenen Systemen schnellstmöglich mit dem
vom Hersteller bereitgestellten Patch [4] oder manuell [5] zu beseitigen.

BESCHREIBUNG
Dell Foundation Services (DFS) ist ein Remote-Support-Komponente, die auf
einigen Dell-Systemen installiert ist. DFS installiert ein
vertrauenswürdige Stammzertifikat (eDellRoot), die einen privaten
Schlüssel enthält.

Die Vertrauenswürdigkeit der Wurzelzertifikate und der Schutz der
privaten Schlüssel durch den Aussteller des Zertifikats ist für die
Gesamtsicherheit des Systems von entscheidender Bedeutung. Ein
installiertes Wurzelzertifikat mit öffentlich bekanntem privaten
Schlüssel gefährdet massiv die Sicherheit des Gesamtsystems.

Das Zertifikat ist als kompromittiert einzustufen, da der zugehörige
private Schlüssel öffentlich bekannt ist [2].

Mit diesem privaten Schlüssel ist es beispielsweise möglich, sogenannte
Man-in-the-Middle-Angriffe auf die betroffenen Systemen durchzuführen. So
können verschlüsselte Netzwerkverbindungen, die mit Zuhilfenahme des
Windows Zertifikatsspeichers aufgebaut wurden, von einem Dritten mit
Zugriff auf das Übertragungsnetz durchgeführt werden (z.B. bei Zugriffen
auf HTTPS-Webseiten mit Web-Browsern).

Ferner kann mit dem Zertifikat beliebige Software signiert oder ein
gefälschte Windows-Updates erstellt werden.

Das BSI stuft die entstandene Schwachstelle als schwerwiegend ein.

QUELLEN
- Herstellermeldung (englisch)
http://en.community.dell.com/dell-blogs/direct2dell/b/direct2dell/archive/2015/11/23/response-to-concerns-regarding-edellroot-certificate
- Reddit Blogeintrag
https://www.reddit.com/r/technology/comments/3twmfv/dell_ships_laptops_with_rogue_root_ca_exactly/
- Onlinecheck für das eDellRoot-Zertifikat
https://edell.tlsfun.de/de/
- Herstellerpatch
https://dellupdater.dell.com/Downloads/APP009/eDellRootCertFix.exe
- Herstellerworkaround (docx)
https://dellupdater.dell.com/Downloads/APP009/eDellRootCertRemovalInstructions.docx

-----------------------------------------------------------------------
Diese Technische Warnung ist ein kostenloses Service-Angebot des
Bürger-CERT, http://www.buerger-cert.de. Die Informationen werden mit
größter Sorgfalt recherchiert und aufbereitet, dennoch kann eine
Gewähr oder Haftung für die Vollständigkeit und Richtigkeit nicht
übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und
Anregungen an die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de

Nubira
Moderator

Beiträge: 15134

Technische Warnung des Bürger-CERT
----------------------------------

TECHNISCHE WARNUNG TW-T15/0106 UPDATE 1
Titel: Dell Foundation Services installierten kompromittiertes
CA-Zertifikat
Datum: 24.11.2015
Risiko: hoch

ZUSAMMENFASSUNG
Systeme der Firma Dell, auf denen der Dienst "Dell Foundation Services"
installiert ist, enthalten im Zertifikatsspeicher ein von Dell selbst
erstelltes Wurzelzertifikat.

Dieses Zertifikat ermöglicht es, weitere Zertifikate zu beglaubigen,
Software zu signieren sowie den Einsatz für beliebige weitere Zwecke.
Zusätzlich wurde der zugehörige private Schlüssel zu diesem Zertifikat
auf die Systeme ausgerollt und kann somit von jedem versierten Nutzer der
betroffenen Systeme extrahiert und zur Signierung genutzt werden.

Der Sachverhalt wurde vom Hersteller bestätigt [1].

Update 1:
Mit dem Dienst "Dell System Detect" wird im Zertifikatsspeicher ein
weiteres selbst erstelltes 'DSDTestProvider' Wurzelzertifikat samt
zugehörigem privaten Schlüssel installiert [6].

REVISIONS HISTORIE
Version: 1.0
Revisionsbeschreibung

BETROFFENE SYSTEME
Systeme der Firma Dell auf dem der "Dell Foundation Services" installiert
ist.

EMPFEHLUNG
Das BSI empfiehlt, die Betroffenheit der Systeme zeitnah zu testen [3]
und die Schwachstelle auf betroffenen Systemen schnellstmöglich mit dem
vom Hersteller bereitgestellten Patch [4] oder manuell [5] zu beseitigen.

Update 1:
Die empfohlene Testseite [3] wurde aktualisiert. Die vom Hersteller
bereitgestellte Anleitung und der Patch beziehen sich allerdings nur auf
das 'eDellRoot' Zertifikat.
Die Deinstallation eines Wurzelzertifikats mit Hilfe von certmgr.msc wird
in der folgenden Anleitung beschrieben [7]. Im aktuellen Fall muss nach
dem Zertifikat 'DSDTestProvider' gesucht werden. Zertifikate können durch
das Verschieben in den Ordner "Nicht vertrauenswürdige Zertifikate" auch
widerrufen werden. Diese Maßnahme bietet einen erhöhten Schutz vor einer
erneuten Installation eines kompromittierten Zertifikats.
Vertrauenswürdiger Stämme (Zertifikatsvertrauenslisten) und unzulässige
Zertifikate können auch für zentral administrierte Systeme konfiguriert
werden [7].

BESCHREIBUNG
Dell Foundation Services (DFS) ist ein Remote-Support-Komponente, die auf
einigen Dell-Systemen installiert ist. DFS installiert ein
vertrauenswürdige Stammzertifikat (eDellRoot), die einen privaten
Schlüssel enthält.

Die Vertrauenswürdigkeit der Wurzelzertifikate und der Schutz der
privaten Schlüssel durch den Aussteller des Zertifikats ist für die
Gesamtsicherheit des Systems von entscheidender Bedeutung. Ein
installiertes Wurzelzertifikat mit öffentlich bekanntem privaten
Schlüssel gefährdet massiv die Sicherheit des Gesamtsystems.

Das Zertifikat ist als kompromittiert einzustufen, da der zugehörige
private Schlüssel öffentlich bekannt ist [2].

Mit diesem privaten Schlüssel ist es beispielsweise möglich, sogenannte
Man-in-the-Middle-Angriffe auf die betroffenen Systemen durchzuführen. So
können verschlüsselte Netzwerkverbindungen, die mit Zuhilfenahme des
Windows Zertifikatsspeichers aufgebaut wurden, von einem Dritten mit
Zugriff auf das Übertragungsnetz durchgeführt werden (z.B. bei Zugriffen
auf HTTPS-Webseiten mit Web-Browsern).

Ferner kann mit dem Zertifikat beliebige Software signiert oder ein
gefälschte Windows-Updates erstellt werden.

Das BSI stuft die entstandene Schwachstelle als schwerwiegend ein.

QUELLEN
- Herstellermeldung (englisch)
http://en.community.dell.com/dell-blogs/direct2dell/b/direct2dell/archive/2015/11/23/response-to-concerns-regarding-edellroot-certificate
- Reddit Blogeintrag
https://www.reddit.com/r/technology/comments/3twmfv/dell_ships_laptops_with_rogue_root_ca_exactly/
- Onlinecheck für das eDellRoot-Zertifikat
<https://edell.tlsfun.de/de/[/url]
- Herstellerpatch
https://dellupdater.dell.com/Downloads/APP009/eDellRootCertFix.exe
- Herstellerworkaround (docx)
https://dellupdater.dell.com/Downloads/APP009/eDellRootCertRemovalInstructions.docx
- How to Patch Dell's Dangerous Certificate Flawch)
http://www.laptopmag.com/articles/remove-dells-sloppy-security-software
- Konfigurieren vertrauenswürdiger Stämme und unzulässiger Zertifikate
https://technet.microsoft.com/de-de/de/library/dn265983.aspx

-----------------------------------------------------------------------
Diese Technische Warnung ist ein kostenloses Service-Angebot des
Bürger-CERT, http://www.buerger-cert.de. Die Informationen werden mit
größter Sorgfalt recherchiert und aufbereitet, dennoch kann eine
Gewähr oder Haftung für die Vollständigkeit und Richtigkeit nicht
übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und
Anregungen an die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de

Xandros
Premium-User

Beiträge: 521

Zitat:
Zusätzlich wurde der zugehörige private Schlüssel zu diesem Zertifikat
auf die Systeme ausgerollt und kann somit von jedem versierten Nutzer der
betroffenen Systeme extrahiert und zur Signierung genutzt werden.

Hat hier jemand ein Dell? Ich hätte gern den Schlüssel (für Testzwecke versteht sich!) ...

Version 3.1 | Load: 0.003869 | S: 1_2

Autor	Mitteilung
Nubira Moderator Beiträge: 15134	Gesendet: 19:38 - 24.11.2015 Technische Warnung des Bürger-CERT ---------------------------------- TECHNISCHE WARNUNG TW-T15/0106 Titel: Dell Foundation Services installierten kompromittiertes CA-Zertifikat Datum: 24.11.2015 Risiko: hoch ZUSAMMENFASSUNG Systeme der Firma Dell, auf denen der Dienst "Dell Foundation Services" installiert ist, enthalten im Zertifikatsspeicher ein von Dell selbst erstelltes Wurzelzertifikat. Dieses Zertifikat ermöglicht es, weitere Zertifikate zu beglaubigen, Software zu signieren sowie den Einsatz für beliebige weitere Zwecke. Zusätzlich wurde der zugehörige private Schlüssel zu diesem Zertifikat auf die Systeme ausgerollt und kann somit von jedem versierten Nutzer der betroffenen Systeme extrahiert und zur Signierung genutzt werden. Der Sachverhalt wurde vom Hersteller bestätigt [1]. REVISIONS HISTORIE Version: 1.0 Revisionsbeschreibung BETROFFENE SYSTEME Systeme der Firma Dell auf dem der "Dell Foundation Services" installiert ist. EMPFEHLUNG Das BSI empfiehlt, die Betroffenheit der Systeme zeitnah zu testen [3] und die Schwachstelle auf betroffenen Systemen schnellstmöglich mit dem vom Hersteller bereitgestellten Patch [4] oder manuell [5] zu beseitigen. BESCHREIBUNG Dell Foundation Services (DFS) ist ein Remote-Support-Komponente, die auf einigen Dell-Systemen installiert ist. DFS installiert ein vertrauenswürdige Stammzertifikat (eDellRoot), die einen privaten Schlüssel enthält. Die Vertrauenswürdigkeit der Wurzelzertifikate und der Schutz der privaten Schlüssel durch den Aussteller des Zertifikats ist für die Gesamtsicherheit des Systems von entscheidender Bedeutung. Ein installiertes Wurzelzertifikat mit öffentlich bekanntem privaten Schlüssel gefährdet massiv die Sicherheit des Gesamtsystems. Das Zertifikat ist als kompromittiert einzustufen, da der zugehörige private Schlüssel öffentlich bekannt ist [2]. Mit diesem privaten Schlüssel ist es beispielsweise möglich, sogenannte Man-in-the-Middle-Angriffe auf die betroffenen Systemen durchzuführen. So können verschlüsselte Netzwerkverbindungen, die mit Zuhilfenahme des Windows Zertifikatsspeichers aufgebaut wurden, von einem Dritten mit Zugriff auf das Übertragungsnetz durchgeführt werden (z.B. bei Zugriffen auf HTTPS-Webseiten mit Web-Browsern). Ferner kann mit dem Zertifikat beliebige Software signiert oder ein gefälschte Windows-Updates erstellt werden. Das BSI stuft die entstandene Schwachstelle als schwerwiegend ein. QUELLEN - Herstellermeldung (englisch) http://en.community.dell.com/dell-blogs/direct2dell/b/direct2dell/archive/2015/11/23/response-to-concerns-regarding-edellroot-certificate - Reddit Blogeintrag https://www.reddit.com/r/technology/comments/3twmfv/dell_ships_laptops_with_rogue_root_ca_exactly/ - Onlinecheck für das eDellRoot-Zertifikat https://edell.tlsfun.de/de/ - Herstellerpatch https://dellupdater.dell.com/Downloads/APP009/eDellRootCertFix.exe - Herstellerworkaround (docx) https://dellupdater.dell.com/Downloads/APP009/eDellRootCertRemovalInstructions.docx ----------------------------------------------------------------------- Diese Technische Warnung ist ein kostenloses Service-Angebot des Bürger-CERT, http://www.buerger-cert.de. Die Informationen werden mit größter Sorgfalt recherchiert und aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit und Richtigkeit nicht übernommen werden. Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de
Nubira Moderator Beiträge: 15134	Gesendet: 16:54 - 25.11.2015 Technische Warnung des Bürger-CERT ---------------------------------- TECHNISCHE WARNUNG TW-T15/0106 UPDATE 1 Titel: Dell Foundation Services installierten kompromittiertes CA-Zertifikat Datum: 24.11.2015 Risiko: hoch ZUSAMMENFASSUNG Systeme der Firma Dell, auf denen der Dienst "Dell Foundation Services" installiert ist, enthalten im Zertifikatsspeicher ein von Dell selbst erstelltes Wurzelzertifikat. Dieses Zertifikat ermöglicht es, weitere Zertifikate zu beglaubigen, Software zu signieren sowie den Einsatz für beliebige weitere Zwecke. Zusätzlich wurde der zugehörige private Schlüssel zu diesem Zertifikat auf die Systeme ausgerollt und kann somit von jedem versierten Nutzer der betroffenen Systeme extrahiert und zur Signierung genutzt werden. Der Sachverhalt wurde vom Hersteller bestätigt [1]. Update 1: Mit dem Dienst "Dell System Detect" wird im Zertifikatsspeicher ein weiteres selbst erstelltes 'DSDTestProvider' Wurzelzertifikat samt zugehörigem privaten Schlüssel installiert [6]. REVISIONS HISTORIE Version: 1.0 Revisionsbeschreibung BETROFFENE SYSTEME Systeme der Firma Dell auf dem der "Dell Foundation Services" installiert ist. EMPFEHLUNG Das BSI empfiehlt, die Betroffenheit der Systeme zeitnah zu testen [3] und die Schwachstelle auf betroffenen Systemen schnellstmöglich mit dem vom Hersteller bereitgestellten Patch [4] oder manuell [5] zu beseitigen. Update 1: Die empfohlene Testseite [3] wurde aktualisiert. Die vom Hersteller bereitgestellte Anleitung und der Patch beziehen sich allerdings nur auf das 'eDellRoot' Zertifikat. Die Deinstallation eines Wurzelzertifikats mit Hilfe von certmgr.msc wird in der folgenden Anleitung beschrieben [7]. Im aktuellen Fall muss nach dem Zertifikat 'DSDTestProvider' gesucht werden. Zertifikate können durch das Verschieben in den Ordner "Nicht vertrauenswürdige Zertifikate" auch widerrufen werden. Diese Maßnahme bietet einen erhöhten Schutz vor einer erneuten Installation eines kompromittierten Zertifikats. Vertrauenswürdiger Stämme (Zertifikatsvertrauenslisten) und unzulässige Zertifikate können auch für zentral administrierte Systeme konfiguriert werden [7]. BESCHREIBUNG Dell Foundation Services (DFS) ist ein Remote-Support-Komponente, die auf einigen Dell-Systemen installiert ist. DFS installiert ein vertrauenswürdige Stammzertifikat (eDellRoot), die einen privaten Schlüssel enthält. Die Vertrauenswürdigkeit der Wurzelzertifikate und der Schutz der privaten Schlüssel durch den Aussteller des Zertifikats ist für die Gesamtsicherheit des Systems von entscheidender Bedeutung. Ein installiertes Wurzelzertifikat mit öffentlich bekanntem privaten Schlüssel gefährdet massiv die Sicherheit des Gesamtsystems. Das Zertifikat ist als kompromittiert einzustufen, da der zugehörige private Schlüssel öffentlich bekannt ist [2]. Mit diesem privaten Schlüssel ist es beispielsweise möglich, sogenannte Man-in-the-Middle-Angriffe auf die betroffenen Systemen durchzuführen. So können verschlüsselte Netzwerkverbindungen, die mit Zuhilfenahme des Windows Zertifikatsspeichers aufgebaut wurden, von einem Dritten mit Zugriff auf das Übertragungsnetz durchgeführt werden (z.B. bei Zugriffen auf HTTPS-Webseiten mit Web-Browsern). Ferner kann mit dem Zertifikat beliebige Software signiert oder ein gefälschte Windows-Updates erstellt werden. Das BSI stuft die entstandene Schwachstelle als schwerwiegend ein. QUELLEN - Herstellermeldung (englisch) http://en.community.dell.com/dell-blogs/direct2dell/b/direct2dell/archive/2015/11/23/response-to-concerns-regarding-edellroot-certificate - Reddit Blogeintrag https://www.reddit.com/r/technology/comments/3twmfv/dell_ships_laptops_with_rogue_root_ca_exactly/ - Onlinecheck für das eDellRoot-Zertifikat <https://edell.tlsfun.de/de/[/url] - Herstellerpatch https://dellupdater.dell.com/Downloads/APP009/eDellRootCertFix.exe - Herstellerworkaround (docx) https://dellupdater.dell.com/Downloads/APP009/eDellRootCertRemovalInstructions.docx - How to Patch Dell's Dangerous Certificate Flawch) http://www.laptopmag.com/articles/remove-dells-sloppy-security-software - Konfigurieren vertrauenswürdiger Stämme und unzulässiger Zertifikate https://technet.microsoft.com/de-de/de/library/dn265983.aspx ----------------------------------------------------------------------- Diese Technische Warnung ist ein kostenloses Service-Angebot des Bürger-CERT, http://www.buerger-cert.de. Die Informationen werden mit größter Sorgfalt recherchiert und aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit und Richtigkeit nicht übernommen werden. Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de
Xandros Premium-User Beiträge: 521	Gesendet: 20:47 - 25.11.2015 Zitat: Zusätzlich wurde der zugehörige private Schlüssel zu diesem Zertifikat auf die Systeme ausgerollt und kann somit von jedem versierten Nutzer der betroffenen Systeme extrahiert und zur Signierung genutzt werden. Hat hier jemand ein Dell? Ich hätte gern den Schlüssel (für Testzwecke versteht sich!) ...