TECHNISCHE WARNUNG TW-T15/0106
Titel: Dell Foundation Services installierten kompromittiertes
CA-Zertifikat
Datum: 24.11.2015
Risiko: hoch
ZUSAMMENFASSUNG
Systeme der Firma Dell, auf denen der Dienst "Dell Foundation Services"
installiert ist, enthalten im Zertifikatsspeicher ein von Dell selbst
erstelltes Wurzelzertifikat. Dieses Zertifikat ermöglicht es, weitere
Zertifikate zu beglaubigen, Software zu signieren sowie den Einsatz für
beliebige weitere Zwecke. Zusätzlich wurde der zugehörige private
Schlüssel zu diesem Zertifikat auf die Systeme ausgerollt und kann somit
von jedem versierten Nutzer der betroffenen Systeme extrahiert und zur
Signierung genutzt werden.
Der Sachverhalt wurde vom Hersteller bestätigt 1.
REVISIONS HISTORIE
Version: 1.0
Revisionsbeschreibung
BETROFFENE SYSTEME
Systeme der Firma Dell auf dem der "Dell Foundation Services" installiert
ist.
EMPFEHLUNG
Das BSI empfiehlt, die Betroffenheit der Systeme zeitnah zu testen 3
und die Schwachstelle auf betroffenen Systemen schnellstmöglich mit dem
vom Hersteller bereitgestellten Patch 4 oder manuell 5 zu beseitigen.
BESCHREIBUNG
Dell Foundation Services (DFS) ist ein Remote-Support-Komponente, die auf
einigen Dell-Systemen installiert ist. DFS installiert ein
vertrauenswürdige Stammzertifikat (eDellRoot), die einen privaten
Schlüssel enthält.
Die Vertrauenswürdigkeit der Wurzelzertifikate und der Schutz der
privaten Schlüssel durch den Aussteller des Zertifikats ist für die
Gesamtsicherheit des Systems von entscheidender Bedeutung. Ein
installiertes Wurzelzertifikat mit öffentlich bekanntem privaten
Schlüssel gefährdet massiv die Sicherheit des Gesamtsystems.
Das Zertifikat ist als kompromittiert einzustufen, da der zugehörige
private Schlüssel öffentlich bekannt ist 2.
Mit diesem privaten Schlüssel ist es beispielsweise möglich, sogenannte
Man-in-the-Middle-Angriffe auf die betroffenen Systemen durchzuführen. So
können verschlüsselte Netzwerkverbindungen, die mit Zuhilfenahme des
Windows Zertifikatsspeichers aufgebaut wurden, von einem Dritten mit
Zugriff auf das Übertragungsnetz durchgeführt werden (z.B. bei Zugriffen
auf HTTPS-Webseiten mit Web-Browsern).
Ferner kann mit dem Zertifikat beliebige Software signiert oder ein
gefälschte Windows-Updates erstellt werden.
Das BSI stuft die entstandene Schwachstelle als schwerwiegend ein.
QUELLEN
- Herstellermeldung (englisch)
(Hyperlink aufrufen)
- Reddit Blogeintrag
(Hyperlink aufrufen)
- Onlinecheck für das eDellRoot-Zertifikat
(Hyperlink aufrufen)
- Herstellerpatch
(Hyperlink aufrufen)
- Herstellerworkaround (docx)
(Hyperlink aufrufen)
SERVICE-LINE: 02429 909-904 (Mobilfunk: 0151 56657347)
Stichworte (Tags): IT-Nachrichten GD-System.de, Windows Updates, Sicherheitslücken, Patches, IT-Service Hürtgenwald GD-System.de, PC-Hilfe Düren GD-System.de, Computernotdienst RurEifel GD-System.de
