你需要知道戴尔的根证书安全崩溃

事故的全部范围还不清楚,但有一个工具可以移除

全封闭的资深作家,IDG新闻服务 |

戴尔的根证书错误可能会影响大量用户
奥特曼Gerd (CC0)

为了简化远程支持,戴尔安装自签名根证书以及客户电脑上相应的私钥,显然没有意识到这可能会将用户的加密通信暴露给潜在的间谍。

更令人惊讶的是,这家公司在完全意识到这一点的情况下做出了这样的决定非常相似的安全失误它的竞争对手之一联想(Lenovo)于今年2月曝光。

在联想的案例中,它是一个名为Superfish的广告程序,预装在该公司的一些消费级笔记本电脑上,并安装了一个自签名的根证书。在戴尔的案例中,它是该公司自己的支持工具之一,这可能更糟糕,因为戴尔对该决定负有全部责任。

具有讽刺意味的是,戴尔实际上利用了联想的不幸事件来强调自己对隐私的承诺,并为自己的产品做广告。戴尔Inspiron 20和XPS 27一体机、Inspiron 14 5000系列、Inspiron 15 7000系列、Inspiron 17 7000系列笔记本电脑以及其他产品的产品页面上写着:“担心Superfish吗?戴尔将其预装软件限制在我们所有电脑上的少量高价值应用程序上。我们预加载的每个应用程序都经过安全、隐私和可用性测试,以确保我们的客户体验到最好的计算性能,更快的设置,减少隐私和安全担忧。”

你为什么要关心

eDellRoot自签名证书安装在Windows证书存储库的“受信任的根证书颁发机构”下。这意味着任何使用eDellRoot证书的私钥签名的SSL/TLS或代码签名证书都将受到浏览器、桌面电子邮件客户端和在受影响的戴尔系统上运行的其他应用程序的信任。

例如,攻击者可以使用eDellRoot私钥(现在可以在网上公开)为任何启用http的网站生成证书。然后,他们可以使用公共无线网络或被黑客攻击的路由器,来解密受影响的戴尔系统向这些网站发送的流量。

在这些所谓的中间人(MitM)攻击中,攻击者拦截用户对安全网站(例如bankofamerica.com)的HTTPS请求。然后,他们开始充当代理,从自己的机器与真实网站建立合法连接,并在使用eDellRoot密钥生成的流氓bankofamerica.com证书重新加密后,将流量传递回受害者。

用户将在浏览器中看到一个与美国银行的有效的https加密连接,但攻击者实际上能够读取和修改他们的流量。

攻击者还可以使用eDellRoot私钥生成可用于签名恶意文件的证书。当这些文件被执行时,会在受影响的戴尔系统上产生不那么可怕的“用户帐户控制”提示,因为在操作系统看来,它们就好像是由可信的软件发布者签名的。在64位版本的Windows中,使用这种流氓证书签名的恶意系统驱动程序也会绕过驱动程序签名验证。

不仅仅是笔记本电脑

最初的报告是关于在各种型号的戴尔笔记本电脑上找到eDellRoot证书。然而,证书实际上是由Dell Foundation Services (DFS)应用程序安装的发布说明,可用于笔记本电脑、台式机、一体机、二体机和各种戴尔产品线的塔,包括XPS、OptiPlex、Inspiron、Vostro和Precision Tower。

戴尔周一表示,它从8月份开始在“消费者和商用设备”上加载该工具的当前版本。这可能是指自8月以来销售的设备,也可能是之前销售的设备,并收到了DFS工具的更新版本。至少在一台较老的电脑上发现了这种证书:一台4月份出厂的戴尔Venue Pro 11平板电脑。

多个证书

来自Duo security安全公司的研究人员找到第二个eDellRoot证书分布在世界各地的24个系统都有不同的指纹。最令人惊讶的是,其中一个系统似乎是SCADA(监视控制和数据采集)设置的一部分,就像那些用于控制工业过程的系统。

其他用户也报告存在另一个名为DSDTestProvider的证书在一些戴尔电脑上。一些人推测这与戴尔系统检测实用程序有关,尽管这还没有被证实。

有一个删除工具可用

戴尔公布一个删除工具已公布的手动清除说明为eDellRoot证书。然而,对于没有技术知识的用户来说,这些说明可能太难理解了。该公司还计划推动软件更新今天,它将搜索证书并自动从系统中删除它。

企业用户是高价值的目标

漫游的企业用户,尤其是出差的高管,可能是利用这一漏洞的中间人攻击者最具吸引力的目标,因为他们的电脑上可能有有价值的信息。

“如果我是一名黑帽黑客,我会立即前往最近的大城市机场,坐在国际头等舱休息室外,窃听每个人的加密通信,”安全公司Errata security的首席执行官罗伯特·格雷厄姆(Robert Graham)在一次采访中说博客

当然,公司应该在购买的笔记本电脑上部署自己的、干净的、预先配置好的Windows映像。他们还应该确保他们的漫游员工总是通过安全的虚拟专用网(vpn)连接到公司办公室。

不仅仅是戴尔(Dell)的电脑用户应该关心这个问题

这个安全漏洞的影响不仅仅局限于戴尔系统的所有者。除了从加密的流量中窃取信息(包括登录凭证),中间人攻击者还可以动态修改流量。这意味着从受影响的戴尔电脑接收邮件的人,或代表戴尔用户接收请求的网站,不能确定其真实性。

加入网络世界社区足球竞猜app软件脸谱网LinkedIn对自己最关心的话题发表评论。
相关:

Lucian Constantin是CSO的资深作家,主要研究信息安全、隐私和数据保护。

版权©2015足球竞彩网下载

SD-WAN买家指南:向供应商(和您自己)提出的关键问题