Akasztják a hóhért: amikor kiderült, hogy a Lenovo némelyik konzumer notebookján egy gyárilag telepített program, a Superfish olyan közbeékelődő belső tanúsítványt telepít az eszközökre, amely a titkosított SSL/TLS kapcsolatok manipulálását is elősegítheti, a Dell store-jában egyes gépeknél megjelent egy kitétel arról, hogy a Dell esetében nem kell aggódni a Superfis-hez hasonló incidensek miatt, mert nála nem fordulhat elő (a megjegyzés egyébként még mindig megtalálható). Hát most előfordult.

Ráadásul itt is egy tanúsítvánnyal van gond, és a kockázat is hasonló.

Mindenhol ugyanaz a privát kulcs

A Lenovo gépeket érintő problémát úgy fedezték fel, hogy bizonyos gépeken olyan szponzorált találatok jelentek meg az internetes kereséseknél, amelyek adware jelenlétére utaltak. A Dellnél azonban kicsit más a helyzet: adware jellegű tevékenység ugyanis nincs.

Egyes Dell gépeken van egy gyárilag telepített tanúsítvány, az eDellRoot. Ez a gyártó szándéka szerint csupán azt szolgálná, hogy a szervizszolgáltatás biztonságosan azonosíthassa a gépmodellt. A Dell hangsúlyozta is, hogy nem használták személyes ügyfél-információk gyűjtésére. Erre utal egyébként az is, hogy a Dell privát kulcsot telepített a rendszerre.

A problémát az okozta, hogy a tanúsítványhoz tartozó privát kulccsal simán hitelesíteni lehetett hamis HTTPS weboldalakat, és így azokat a böngészők nem is jelezték veszélyesnek. Azaz a támadók az eDellRoottal érvényes tanúsítványt hozhattak létre. Ez azért veszélyes, mert böngészők többsége lehetővé teszi, hogy helyileg telepített tanúsítványok figyelmen kívül hagyják az ún. Public Key Pinning védelmet (ez egy HTTP kiegészítés, amely az ún. man-in-the-middle, azaz közbeékelődéses támadások kivédésére szolgál).

Az Internet Explorer, az Edge és a Chrome esetében ez működik is. A Firefox azonban szerencsére jelzi a buherált weboldalakat, ugyanis saját tanúsítványtárolót használ.

A Duo Security kiderítette, hogy az eDellRoot még az ipari környezetben használt SCADA (Supervisory Control And Data Acquisition) rendszerek esetében is okozott problémát. Igaz, ezt Steve Manzuik, a Duo kutatási igazgatója, az érintett rendszer hibás konfigurálására vezette vissza, tekintve, hogy a SCADA rendszereket jellemzően kritikus feladatokra alkalmazzák, ezért nem is nyitottak az internet felé.

Elnézést, kedves felhasználó!

A Dell azonnal reagált: elnézést kért a felhasználóktól, és még tegnap kiadott egy javítást. Az internetes közösség is gyorsan lépett: elérhető egy webes eszköz, amelyen lehet ellenőrizni azt, hogy az adott gépet érinti-e a probléma, de aki nem akar bíbelődni ezzel, a Dell oldaláról letöltheti a javítást.

A cég egyébként kiadott egy részletes, képernyőmentésekkel illusztrált útmutatót is, hogy kézzel hogyan kell eltávolítani az eDellRootot. A lényeg röviden: le kell állítani a Dell Foundation Services szolgáltatást, és törölni kell a Windows tanúsítványmenedzserében az eDellRoot tanúsítványt a megbízható legfelső szintű hitelesítésszolgáltatók közül.