Dell-gebruikers melden aanwezigheid rootcertificaat met private sleutel - update

Enkele kopers van Dell-laptops melden dat op hun systeem een rootlevelcertificaat met de naam eDellRoot aanwezig is dat voor alle toepassingen vertrouwd wordt terwijl ook de private sleutel op het systeem zou staan. Dit zou misbruik mogelijk maken.

Het gaat om een zelf-gesigneerd certificaat waarover Joe Norden zondag berichtte. Hij kocht een nieuwe Dell Inspiron 15 5000-laptop en ontdekte het rootcertificaat met de naam eDellRoot. Ook constateerde hij dat de privésleutel eveneens op zijn systeem aanwezig was. Die sleutel was niet te exporteren maar volgens Reddit-gebruiker Rotorcowboy is de sleutel wel te kopiëren. Ook hij trof hetzelfde certificaat en bijbehorende sleutel aan op zijn net nieuwe Dell XPS 15-pc.

Onduidelijk is waarom Dell het certificaat op de systemen plaatst. Bovendien lijken slechts enkele kopers deze aan te treffen: veel mensen die recent een Dell-pc hebben gekocht melden dat ze eDellRoot niet vinden. De helpdesk van Dell heeft via Twitter bevestigd dat het om een certificaat van het computerbedrijf gaat, maar ziet de aanwezigheid vooralsnog niet als een beveiligingsrisico.

Dat risico is dat malwareschrijvers kwaadaardige software met het certificaat kunnen ondertekenen, waarna bij Windows geen alarmbellen gaan rinkelen. De vergelijking met Superfish van Lenovo gaat deels op: dat ging om malware van een derde partij die met behulp van een certificaat ssl-verkeer van klanten kaapte voor het injecteren van advertenties maar ook te misbruiken was dankzij de aanwezigheid van de privésleutel.

Update, 17.50: Ook een tweaker geeft op Gathering of Tweakers aan het certificaat op zijn XPS 15 te hebben.

Update 2, dinsdag 10.50: Man-in-the-middle-aanvallen blijken wel degelijk mogelijk, zoals meerdere users in de comments aangaven en inmiddels in een proof-of-concept is aangetoond.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 23-11-2015 15:03
49 • submitter: ctrlaltdelbe

23-11-2015 • 15:03

49 Linkedin

Submitter: ctrlaltdelbe

Lees meer

Dell XPS 15 Review

Laptop met ruimte voor kleur

 187
Sennheiser-programma's plaatsten rootcertificaten met privésleutels Nieuws van 28 november 2018
HP installeert ongevraagd 'telemetrieanalysetool' op computers van klanten Nieuws van 28 november 2017
Lenovo schikt met Amerikaanse waakhond FTC om SuperFish-malware Nieuws van 5 september 2017
Lenovo raadt aan bloatware wegens man-in-the-middle-risico te verwijderen Nieuws van 2 juni 2016
Dell komt met update voor automatische schermhelderheid XPS 13 - update Nieuws van 21 december 2015
Windows Defender verwijdert Dells rootcertificaten met privésleutel Nieuws van 26 november 2015
Tweede rootcertificaat met privésleutel op Dell-laptops gevonden Nieuws van 25 november 2015
Dell erkent veiligheidsblunder met certificaat op pc's Nieuws van 24 november 2015
Update-tool Lenovo maakte gebruikers kwetsbaar voor aanval Nieuws van 6 mei 2015
Lenovo belooft 'schone en veilige' computers na SuperFish-debacle Nieuws van 27 februari 2015
Lenovo brengt programma uit om Superfish-malware mee te verwijderen Nieuws van 21 februari 2015
Maker Lenovo-malware: gebruikers waren niet kwetsbaar Nieuws van 20 februari 2015
Https-verkeer Lenovo-laptops af te luisteren dankzij meegeleverde malware Nieuws van 19 februari 2015
'Lenovo overtreedt wet met voorgeïnstalleerde malware' Nieuws van 19 februari 2015
'Malware die Lenovo op laptops installeerde kaapte ssl-verbindingen' - update Nieuws van 19 februari 2015
Lenovo stopt voorlopig met plaatsen van Superfish-adware op laptops Nieuws van 19 januari 2015
Kopers Lenovo-laptops klagen over adware die advertenties in websites injecteert Nieuws van 15 januari 2015
Meer producten en artikelen
Laptops

Reacties (49)

-Moderatie-faq
49
48
40
7
0
0
Wijzig sortering
Niemand_Anders
23 november 2015 16:05
Als het op beide systemen om EXACT hetzelfde certificaat gaat, bestaat de kans op man in the middle attacks natuurlijk wel. Althans voor Dell eigenaren met dit TRUSTED root certificaat. Want als ik een certifcaat 'mail.google.com' aanmaak op basis van dit root certifcaat, zullen alle computers waarop dit root certificaat is geinstalleerd dat sub certificaat accepteren als 'geldig'.

Bij veel bedrijven worden ook veel self-signed root certificaten gebruikt voor hosting van infratructuur. Een Man in the middle attack zou niet mogelijk zijn als op elke Dell PC een ander (uniek) root certificaat zou worden geinstalleerd. Iets wat je zou kunnen verwachten als de private key po de computer zelf aanwezig is. Omdat certificaten ondertekend met een Dell root certificaat een verkeerde fingerprint zou hebben ten opzichte van op jouw computer geinstalleerde Dell root certificaat zou het certificaat als ongeldig worden beschouwd (fingerpint mismatch).

Wel zijn op deze Dell computers alleen de software onderdelen vatbaar voor dit misbruik als zij gebruik maken van de Windows Certificate Store zoals MSIE en Chrome. Een Browser zoals Firefox of mail client zoals Thunderbird heeft zijn eigen root certificate store en is dus niet 'vatbaar'..
Alex3
@Niemand_Anders24 november 2015 01:37
Een dergelijk rootcertificaat zal niet door browsers geaccepteerd worden om domeinen als mail.google.com te certificeren.
Niemand_Anders
@Alex324 november 2015 09:56
Jouw browser accepteert ELK certificaat welke ondertekend is door een op jouw computer TRUSTED CA. Een certificaat is vrijwel altijd onderdeel van een certificate chain. Jouw computer controleert elk certificaat uit die chain op geldigheid (datums, checksums en parent certificate). Dat kan ook niet anders, want anders zou je later nooit kunnen overstappen van Verisign naar Comodo..

En wat Dell hier doet, is niet zo heel erg veel anders dan het let's encrypt programma. Dat initiatief heeft de bekende certificate store beheerders (zoals Microsoft en Mozilla) gevraagd hun root certificaat op te nemen als trusted CA.

Daarbij geloof ik helemaal niets van dat klantenservice verhaal, want dan is enkel een RSA keypair al voldoende waarbij op de Dell computer alleen de public key aanwezig is en de private key op de Dell servers onder het serialnumber wordt opgeslagen. Voor encryptie om met de klantenservice te communiceren gebruikt men dan de public key zodat de informatie *ALLEEN* met de private key ontsleuteld kan worden.. Daarbij hebben we al een zeer goed systeem waarmee browsers veilig met een server kunnen communiceren. Want encryptie met klantenservice gaat vooral om TRANSPORT beveiliging en daarvoor bestaat het SSL/TLS protocol al..
Yggdrasil
@Alex324 november 2015 09:03
Waarom niet? Als dat cert voor mail.google.com uitgegeven is door een trusted root weet de browser niet beter, ongeacht welke root. Alleen als de browser HTTP Public Key Pinning toepast, waarbij de hash van het verwachte certificaat vergeleken wordt met het werkelijk ontvangen certificaat, én deze root niet daarvan uitsluit wordt dit gedetecteerd.
BlaSfem0n
24 november 2015 08:38
Er zijn al instructies en een tool voor het verwijderen ervan:

https://dellupdater.dell....tRemovalInstructions.docx
PcDealer
@BlaSfem0n24 november 2015 09:22
Je meldt de eDellRoot Certificate Removal Instructions. De url naar de tool uit het document is deze: https://dellupdater.dell....P009/eDellRootCertFix.exe
CAPSLOCK2000
23 november 2015 15:41
"Misbruik voor man-in-the-middle-aanvallen zou niet mogelijk zijn aangezien het certificaat niet door een officiële certificaatautoriteit is uitgegeven."

Is het echt een rootcertificaat? Hoe kan Dell dan beweren dat het niet geschikt is voor een MITM-aanval? Rootcertificaten zijn juist bij uitstek geschikt voor zo'n anval. De enige beperking is dat deze aanval alleen werkt op Dell-laptops. Als Dell zegt dat het geen probleem is dan zeggen ze dus eigenlijk dat je een laptop van een ander merk moet kopen.
Dat de private key er bij zit wekt alleen maar de suggestie dat ze ook echt iets MITM-achtigs willen doen. Zo'n key kan ook voor een virusscanner zijn maar in dat geval snap ik niet dat Dell dat niet onmiddelijk naar buiten brengt.

[Reactie gewijzigd door CAPSLOCK2000 op 23 november 2015 15:45]

Anoniem: 616444
24 november 2015 08:11
update: Dell gaat beveiligingslek in laptops vandaag nog repareren:
http://www.nu.nl/internet...in-laptops-repareren.html

Slechte beurt voor Dell, wel goede zaak dat ze het zo snel weer terugdraaien.
gooddaddy
24 november 2015 08:11
En Dell gaat het certificaat verwijderen: http://www.nu.nl/internet...in-laptops-repareren.html
Darm
23 november 2015 15:21
Ik vond het genoemde certificaat ook op mijn nieuwe Optiplex 9020.
Maar hoe weet ik of ook die privesleutel ook aanwezig is?
ik gebruikte certmgr.msc, en daar stond bij "vertrouwde basiscertificaten" het edellroot certificaat bij.
Het logo'tje voor dit certificaat is ook anders dan de andere, er staat een sleuteltje bij dit logo..
Of is dat de aanwijzing voor die privesleutel?

Is hier iets aan te doen? Ik ben niet zo thuis in certificaten en sleutels...
Alvast bedankt!
Bacchus
@Darm23 november 2015 15:37
Het sleuteltje erbij geeft aan dat je de geheime/privésleutel hebt. Je kan het certificaat verplaatsen naar de untrusted/onvertrouwde store om het als zodanig te markeren. Verwijderen kan ook maar dat kun je niet ongedaan maken, mocht dat om de een of andere reden nodig zijn.
Darm
@Bacchus23 november 2015 15:52
Oké, bedankt voor de snelle reactie! Ik ga dat hier eens melden aan mijn oversten, en zien wat ik er dan mee moet doen.

Is dit trouwens echt een ernstig beveiligingsprobleem?
Raden jullie aan om het te verwijderen/verplaatsen?
Als ik het verplaats, blijft de sleutel toch ook gewoon op mijn pc staan?

Groeten, J.
Dr. Prozac
23 november 2015 15:13
Dus bij een nieuwe computer, ongeacht van welk merk, alles _zelf_ checken, want de fabrikant heeft misschien een andere definitie van veiligheid.
Simyager
@Dr. Prozac23 november 2015 15:19
Dus bij een nieuwe computer de HDD/SSD formateren of een andere SSD inzetten...
TD-er
@Simyager23 november 2015 15:58
En dan maar hopen dat er niets in de BIOS/UEFI zit die dingen met je OS wil doen na installatie :)
MadEgg
@TD-er23 november 2015 16:38
Och, anders is het retour naar de fabrikant. Ik doe niets met voorgeinstalleerde software, er zit altijd te veel troep tussen. Waar dit weer een mooi voorbeeld van is.

Als het niet mogelijk is om zelf een OS te installeren dan is het einde verhaal voor het apparaat, en gaat ie gewoon terug. In dat geval is mij namelijk een incompleet apparaat wat niet aan de specificaties voldoet verkocht.
Anoniem: 406468
@TD-er23 november 2015 17:58
En nu we toch bezig zijn, meteen gewoon wat foute merken überhaupt niet aankopen. Sommige merken KUCHLENOVOKUCH hebben wel al bewezen dat ze niet te vertrouwen zijn en keer op keer malware, spyware of andere crapware op de computers zetten.
Rolfie
@Dr. Prozac23 november 2015 15:30
Een Tweaker, zet meteen zijn eigen installatie er op. Maar je wel hiervan de kennis hebben. En de meeste gebruikers hebben deze kennis niet.
stresstak
@Rolfie23 november 2015 20:51
Een Tweaker, ja. Maar als je regelmatig die dingen zakelijk koopt heb je niet altijd kennis, kunde, tijd en zin om er schoon mee te beginnen. En de leverancier ook niet altijd.
HuntingVillager
@Dr. Prozac23 november 2015 16:46
Daarom zou je ook je eigen computer samen moeten stellen. Het is goedkoper, leuker (van mijn mening) en geen bloatware! ;)
dasiro
@HuntingVillager23 november 2015 18:47
als het om privé-toestellen gaat wel, maar als je per week een paar pc's oid moet uitleveren aan je gebruikers, dan ga je geen tijd meer willen besteden aan assemblage en zelf garantie bij fabrikanten te gaan claimen
Anoniem: 380117
@Dr. Prozac23 november 2015 15:26
Of gewoon direct een frisse installatie doen, ben je gelijk van alle bloatware af :)
Geekomatic
@Anoniem: 38011723 november 2015 20:16
Juistem, door ook alle "herstel" partities te wissen.
Vooraf wel even je Windows product key veiligstellen,
als die niet al op een sticker staat.
Deem
23 november 2015 15:11
Net even gekeken op mijn Latitude E7440. Geen eDellroot certificaat.

Als je het certificaat aan treft, kan je hem dan verwijderen zonder consequenties?

Verder nooit noemenswaardige mankementen gehad met (zakelijke) Dell machines. Ik beheer er 80 van Laptops, workstations en servers over een periode van meer dan 10 jaar.

[Reactie gewijzigd door Deem op 23 november 2015 15:15]

Snake
@Deem23 november 2015 15:44
Heb je de 'Dell Foundation Services' geinstalleerd?
Deem
@Snake23 november 2015 15:56
Nee, We gooien de Dell workplace en andere Dell randzaken er standaard af.
BèR
@Deem23 november 2015 18:49
Heb mijn E7450 laatst geüpgrade naar Windows 10, net gekeken, geen eDellRoot.
Moet er wel bij zeggen dat ik her en der al wat Dell-bloat gedeïnstalleerd heb.
Rataplan_
23 november 2015 15:16
En daarom is het eerste wat ik doe met zakelijke laptops of systemen ons sysprep image eroverheen. Altijd en steevast. Weg met alle bloatware en backdoors (althans, die van de leverancier :)).

[Reactie gewijzigd door Rataplan_ op 23 november 2015 15:17]

buzzin
@Rataplan_23 november 2015 15:18
precies.
Stap 1 harddisk leeg
Stap 2 Bios/Eufi nakijken
Stap 3 OS opnieuw installeren/image op zetten

Bij elk merk, elk type......met uitzondering van m'n mobieltje....(want te veel werk blablabla :P )
m3gA
@buzzin23 november 2015 15:21
Inderdaad. Het zal weinig helpen als bedrijven zoals Lenovo rootkits in hun bios hebben


nieuws: Lenovo haalt rootkit weg uit bios meerdere laptopmodellen
Anoniem: 426269
@buzzin23 november 2015 15:35
Is bij stap 2 de BIOS/UEFI op 'standaardinstellingen' zetten en opslaan voldoende? Of blijven er dan nog steeds dingen zoals Lenovo rootkits in de Bios staan?
Yggdrasil
@Anoniem: 42626924 november 2015 09:10
Dat is niet voldoende. Een rootkit zal gewoon in de BIOS firmware verwerkt zitten.
jimbo123
23 november 2015 15:05
De helpdesk van Dell heeft via Twitter bevestigd dat het om een certificaat van het computerbedrijf gaat, maar ziet de aanwezigheid vooralsnog niet als een beveiligingsrisico.

Dat risico is dat malwareschrijvers kwaadaardige software met het certificaat kunnen ondertekenen, waarna bij Windows geen alarmbellen gaan rinkelen
Nee inderdaad, als er malware geinstalleerd kan worden heeft dat niets met een beveiligingsrisico te maken... hoe komen ze er toch bij? |:(
Blokker_1999
@jimbo12323 november 2015 15:22
Indien de aanwezigheid van het certificaat een zeldzaamheid is (waarom is het dan aanwezig?) dan is het risico klein omdat slechts een beperkt aantal PCs er dan last van zal hebben.
Xudonax
@Blokker_199923 november 2015 16:00
Het is niet zo heel erg zeldzaam. Hier op kantoor gekeken, twee generaties XPS 15 hebben het, de Dell Precision M2800 hebben het en ook hun voorgangers (verschillende edities Latitude van 2~3 jaar oud) hebben het...
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee