Tweede rootcertificaat met privésleutel op Dell-laptops gevonden

Kort na de vondst van een rootcertificaat met de naam eDellRoot, is er nog een certificaat met privésleutel op Dell-systemen gevonden. Dit certificaat draagt de naam DSDTestProvider. Het wordt geïnstalleerd door Dell System Detect in de Windows Certificate Store.

Dell 9550Het bestaan van het eerste beveiligingslek met eDellRoot werd afgelopen zondag kenbaar gemaakt door Joe Norden. De aanwezigheid en potentiële gevaar van het rootcertificaat werd daarna snel door veel anderen, waaronder Dell zelf, bevestigd. De fabrikant kwam met instructies om het certificaat te verwijderen, maar er blijkt nog een rootcertificaat met privésleutel te bestaan: DSDTestProvider. Hiermee kunnen net als bij eDellRoot trucs uitgehaald worden om een man-in-the-middle-aanval uit te voeren, door een certificaat te genereren dat gebruik maakt van de privésleutel van DSDTestProvider.

Het beveiligingsblog van de Carnegie Mellon University legt uit hoe het werkt: DSD staat voor Dell System Detect en is een applicatie die draait op een pc met Windows, om met de Dell ondersteuningswebsite te communiceren. DSD installeert het vertrouwde certificaat DSDTestprovider samen met de privésleutel. DSD is op sommige systemen voorgeïnstalleerd. Systemen die geen gebruik maken van een Dell-image of om andere redenen Dell System Detect niet geïnstalleerd hebben, zijn niet kwetsbaar zegt het instituut.

Doordat elk certificaat dat door DSDTestProvider CA ondertekend is wordt vertrouwd door het systeem, kan een kwaadwillende die een certificaat heeft gemaakt en ondertekent zich voordoen als een veilige website of andere service die een rootcertificaat vereist. De kwaadwillende kan een certificaat fabriceren omdat de privésleutel ook 'meegeleverd' wordt bij het certificaat dat zich op de computer bevindt.

Om van het certificaat af te komen kunnen gebruikers het uit de vertrouwde certificatenlijst halen in Windows Certifcate Manager. In de certificatenmanager kan het certificaat van de Trusted Root Certificate Store naar de Untrusted Certificates verplaatst worden. Door het certificaat als onbetrouwbaar te bestempelen, wordt voorkomen dat bij gebruik van DSD het certificaat weer als 'vertrouwd' geïnstalleerd wordt. Het certificaat werd ontdekt door de site LaptopMag op een recent aangeschafte Dell XPS 13.

Door Krijn Soeteman

Freelanceredacteur

Feedback • 25-11-2015 11:24
54 • submitter: basst85

25-11-2015 • 11:24

54 Linkedin

Submitter: basst85

Lees meer

Nieuw ontdekte malware richt zich op back-ups van iOS en BlackBerry Nieuws van 7 december 2015
Windows Defender verwijdert Dells rootcertificaten met privésleutel Nieuws van 26 november 2015
Dell-gebruikers melden aanwezigheid rootcertificaat met private sleutel - update Nieuws van 23 november 2015
Update-tool Lenovo maakte gebruikers kwetsbaar voor aanval Nieuws van 6 mei 2015
Lenovo belooft 'schone en veilige' computers na SuperFish-debacle Nieuws van 27 februari 2015
Lenovo brengt programma uit om Superfish-malware mee te verwijderen Nieuws van 21 februari 2015
Microsoft brengt update Defender uit voor verwijderen SuperFish Nieuws van 20 februari 2015
Meer producten en artikelen
Netwerk en systeembeheer Dell

Reacties (54)

-Moderatie-faq
54
54
45
4
0
0
Wijzig sortering
Volvofreak
25 november 2015 16:29
Heb beide certificaten verwijderd van mijn Dell Inspiron 15 - 7548, gekocht begin 2015, zoals hier eerder aanbevolen. Maar toch snap ik nog niet helemaal hoe de werking van de certificaten in elkaar zit in Windows 10. Wie bezorgd mij een heldere duidelijke uitleg ?
DaaNMageDDoN
@Volvofreak25 november 2015 19:09
Ik denk dat je dan even dit wil lezen:
https://en.wikipedia.org/wiki/Public_key_infrastructure
Het verwijderen van het certificaat is goed, maar niet de beste optie btw, het naar de untrusted container verplaatsen is beter, aangezien als je dan nog ooit per ongeluk (bijv. via DSD) het root certificate installeert onder de trusted, de untrusted in windows boven de trusted gaat...tenminste dat zou in lijn zijn met hoe MS normaal gesproken werkt of het zou iig een niet veel voorkomende waarschuwing genereren.
Wat iedereen hier vergeet is dat de methode werkt voor de current user, niet globaal!
https://technet.microsoft.com/en-us/library/bb687365.aspx
Volvofreak
@DaaNMageDDoN26 november 2015 21:00
Dank DaaNMageDDoN ! Ik ga het meteen bestuderen..... :P
Yariva
25 november 2015 11:26
Gaat daar lekker met Dell... Nog meer foute publiciteit voor hun kiezen.

btw, sommige systemen klinkt lekker vaag. Zijn dit nieuwe systemen met een factory image van dell, of juist oude, of...?
Auteurletatcest
@Yariva25 november 2015 11:32
De enige laptop waar LaptopMag over spreekt, is een recente XPS 13. Het bericht op de site van Carnegie Mellon bericht over 'pc's en tablets' zonder daar verder dieper op in te gaan.

Al wordt hieronder het antwoord mogelijk al gegeven vv

[Reactie gewijzigd door letatcest op 25 november 2015 11:43]

Deem
@letatcest25 november 2015 11:42
Dell System Detect staat naar mijn weten nooit standaard geinstalleerd. Het wordt pas geinstalleerd als je naar de Dell Support site gaat en daar kiest voor Systeem detectie ipv zelf serienummer invoeren.
nulkelvin
@Deem25 november 2015 14:06
Het is toch gewoon superslecht dat een tooltje dat daar helemaal niet voor bedoeld is zo'n root-certificate installeert?

Dat is gewoon je deuren wagenwijd openzetten.
tarnov
@nulkelvin25 november 2015 15:07
Dat certificaat is nog niet zo erg. Dat de private key er bij staat wel...
RGAT
@Yariva25 november 2015 11:32
Het certificaat werd ontdekt door de site LaptopMag op een recent aangeschafte Dell XPS 13.
Recente systemen lijkt het ;)
Alleen even wachten op meer Dell bezitters om dit te bevestigen.
henk1994
@RGAT25 november 2015 11:43
Ik heb een Dell laptop, en onlangs Dell System Detect geïnstalleerd op een schone Windows Installatie. Hoe kun je checken of het certificaat is geïnstalleerd?
Patrick_P
@henk199425 november 2015 12:24
Start eerst de Windows Certifcate Manager: > start > run > certmgr.msc

In de WCM kies je > Action > Find Certificates > plak daar: DSDTestProvider > klik Find Now.

Als je toch bezig bent zoek dan nog een keer maar nu op eDellRoot voor het probleem dat enkele dagen geleden werd gemeld: http://tweakers.net/nieuw...t-certificaat-op-pcs.html

Op de meeste systemen staan natuurlijk meerdere certificates van meerdere fabrikanten, zoek maar eens op Microsoft of op Intel. Dit is geen reden voor ongerustheid zolang de privésleutel niet openbaar is. Dell heeft nu dus twee maal wel deze privésleutel meegeleverd.
henk1994
@Patrick_P25 november 2015 12:49
Dit certificaat staat er inderdaad op. Ik heb vorige week een schone installatie gedaan op mijn Dell Latitude E5530 en voor de laatste drivers Dell System Detect geïnstalleerd. Daarbij is dit certificaat dus meegeïnstalleerd.

Versie: V3
Serienummer: ‎a4 4c 38 47 f8 ee 71 80 43 4d b1 80 b9 a7 e9 62
Verlener: CN = DSDTestProvider, O = DSDTestProvider, OU = DSDTestProvider
Geldig van: ‎woensdag ‎27 ‎mei ‎2015 14:36:18
Geldig tot: ‎zondag ‎1 ‎januari ‎2040 00:59:59

Ook na het verwijderen van Dell System Detect blijft het certificaat staan.
Patrick_P
@henk199425 november 2015 13:04
Je verwijdert daarmee alleen een programma, niet het certificaat.

Zoals het artikel al aangeeft kun je het certicicaat het beste niet verwijderen,maar verplaatsen naar de map 'Untrusted Certificates'. Sleep het certificaat daar simpelweg heen met je muis.

Het certificaat kan hierdoor niet zomaar weer op je computer actief worden. Als je het delete zou het opnieuw op je computer kunnen komen zolang Dell dit blijft pushen bij gebruik van Dell System Detect.
Geekomatic
@Patrick_P25 november 2015 13:53
Krijg je geen popup als een programma een certificaat wil installeren?
Heb ik wel eens gezien.
Of sneakt Dell hier langs?
DaaNMageDDoN
@Geekomatic25 november 2015 18:49
Voor het installeren van Dell System Detect komt (indien niet uitgezet) uac om toestemming vragen.
Het root certificaat in de untrusted container slepen is een goede methode, maar ik vroeg me af of de private key niet ook aanwezig is. Het publiekelijk verspreiden van de root key is de wortel van het probleem.
Volgens mij kun je bij het openen van de root certificate (nu als het goed is in de untrusted certificates container) zien dat je een private key hebt die bij het certificaat hoort indien aanwezig.

Wat trouwens ook interessant is om naar te kijken is of het niet alleen voor de current user, maar ook voor de current computer is geinstalleerd:
https://technet.microsoft.com/en-us/library/bb687365.aspx

[Reactie gewijzigd door DaaNMageDDoN op 25 november 2015 19:16]

ATS
@RGAT25 november 2015 12:50
Op mijn (zeer recente) Alienware staat hij in elk geval niet. eDellRoot stond er wel op.
raxon
@Yariva25 november 2015 14:05
Ach ja, sarcasme hier, welke dell heeft dan ook verstand van zaken als het gaat om interessante certificaten. Wie rijmt er mee🍅
Snow_King
25 november 2015 11:28
Om deze reden vertrouw ik al jaren OEM laptops niet. Het eerste wat ik direct doe is het systeem wissen en een vers OS er op zetten.

De Windows van laptops zit altijd zó vol met bloatware, dat wil je gewoon niet hebben.
oef!
@Snow_King25 november 2015 11:35
Voor de grote groep mensen die laptops zakelijk gebruikt is dit geen optie. De laptops bevatten alleen maar recovery images waardoor het issue niet opgelost wordt. Deze certificaten lijken zich trouwens te beperken tot de nieuwe modellen, op mijn XPS uit 2014 staan ze allebei niet.
Standeman
@oef!25 november 2015 11:46
Met de download tool van MS kan je zo een bootable USB stick maken met een vers OS. Dus dat is tegenwoordig geen probleem meer..
oef!
@Standeman25 november 2015 11:59
Bij een persoonlijke laptop vind ik dit geen probleem (al vraag ik me af of het werkt, zie de reactie van Yngwie) maar bij een zakelijke laptop heb ik hier geen behoefte aan. Daarnaast zullen de meeste zakelijke gebruikers niet de rechten of de knowhow hebben om dit tot een goed einde te brengen, denk hierbij aan exchange instellingen of verplichte virusscanners.
Standeman
@oef!25 november 2015 12:01
Dan lijkt me die taak weggelegd voor systeembeheer die de laptops uitdeelt. Ik heb bij verschillende werkgevers eigenlijk maar weinig gezien dat er geen compleet nieuwe image er over heen ging als er weer een partij nieuwe laptops binnenkwam..
Great-Force
@oef!25 november 2015 12:08
In het bedrijfsleven wordt vaak (in ieder geval bij de grote bedrijven) een volume licentie aangeschaft die op meerdere laptops gebruikt kan worden. Door middel van een standaard image op de server worden de laptops voorzien van een schone Windows installatie waarop de wensen van het bedrijf al zijn doorgevoerd.
Voor kleine bedrijven houdt men het inderdaad vaak bij de geleverde OEM image.
Yngwie-
@Standeman25 november 2015 11:53
Maar die werkt in de meeste gevallen niet met de OEM branded licentiekey die op de laptop/PC zit.
EraYaN
@Yngwie-25 november 2015 12:01
Als je de correcte ISO download wel. De enige editie van window 8 waar dat niet bij kon waren de "met Bing" versies.
Fairy
@Yngwie-25 november 2015 12:05
Als je 'm upgrade naar Windows 10 kun je daarna desgewenst W10 schoon installeren.
vSchooten
@Yngwie-25 november 2015 13:17
jawel, je moet alleen de correcte versie van windows op de USB zetten met minimaal windows 8 omdat de key anders niet in de moederbord wordt gezet. I kahd dit gedaan toen ik een nieuwe laptop van asus had gekocht, die had windows 8 en ik had direct een w10 upgrade gedaan en daarna een schone installatie (w10 sleutel moest op w10 geactiveerd worden).
Deem
@Snow_King25 november 2015 11:40
Dell System Detect staat niet standaard geinstalleerd. Het wordt pas geinstalleerd als je naar de Dell support site gaat en daar ervoor kiest om je systeemconfiguratie te detecteren ipv serienummer invoeren.

Het is trouwens niet de eerste keer dat er veiligheidsproblemen zijn met DSD gezien ze afgelopen tijd een behoorlijke hoeveelheid aan incidenten hebben plaatsgevonden.

[Reactie gewijzigd door Deem op 25 november 2015 11:53]

bbob
@Deem25 november 2015 11:51
So what.

Dell installerend daarmee software waarmee anderen leuke dingen op jou systeem kunnen doen. 3x raden of Dell je hiervoor waarschuwt, ik denk het niet.

Het begint er nu op te lijken dat men bij Dell niet erg nadenkt over veiligheid als er op sommige laptops/pc's nu al 2 certificaten met private key staan. Je kan dan spreken over structureel lak aan veiligheid. Voor een groot merk als Dell is dit toch wel triest te noemen.
Deem
@bbob25 november 2015 11:54
Waarschuwen hebben ze in het verleden wel netjes gedaan.
Tevens hebben ze mensen die de Dell site bezochten, gewezen (met behulp van een infobalk aan bovenkant site) dat er een probleem was met DSD en dat een update dat zou verhelpen.

[Reactie gewijzigd door Deem op 25 november 2015 11:57]

Henk Poley
@Snow_King25 november 2015 11:46
Dan nog is er een achterdeurtje in Windows waardoor het BIOS/UEFI een programma kan plaatsen dat bij het opstarten wordt uitgevoerd. De automatische bestandssysteem controle (autochk.exe) is niet ondertekend (wordt niet gecontroleerd) en kan daardoor worden vervangen.

https://securelist.com/an...ute-computrace-revisited/

Lijkt mij dat bitlocker of andere schijf encryptie hier afdoende tegen werkt. Maar weet niet of je dat eenvoudig kan activeren nog voor de eerste keer opstarten, met de standaard installatie media. Dan is het kwaad natuurlijk al geschied.
Yggdrasil
@Henk Poley25 november 2015 12:04
Precies, daar maakte Lenovo dit jaar nog een grote blunder mee: nieuws: Lenovo haalt rootkit weg uit bios meerdere laptopmodellen
NSG
@Snow_King25 november 2015 11:42
Opnieuw installeren van een OS is leuk hoor.
Maar zodra je op de driver pagina van Dell komt is een van de eerste dingen die je gevraagd wordt om Dell System Detect te installeren. Want ja, zo hoef je zelf niet op zoek naar de drivers die je nodig hebt. Dus uiteindelijk zal dat wel iets zijn dat veel gebruikers installeren.
_Thanatos_
@Snow_King25 november 2015 11:36
Heb ik ook een keer gedaan, en netjes dezelfde key gebruikt. En wat dacht je? Dan is Windows opeens niet legitiem :(

Ze halen schijnbaar hele smerige truukjes uit.

Ohja, en denk maar niet dat ze je een werkende code geven. Je mag een restore doen, zodat je alle bloat weer terug krijgt.

[Reactie gewijzigd door _Thanatos_ op 25 november 2015 11:37]

Blokker_1999
@_Thanatos_25 november 2015 11:41
De key op de sticker kan je niet ingeven in een retail Windows. Wat je nodig hebt is een OEM windows installatie en deze zal sinds heel wat jaren zijn activatie doen aan de hand van een key die zit opgeslagen in het BIOS/EFI van de computer.
_Thanatos_
@Blokker_199925 november 2015 18:01
In dit geval zat er geen key in het bios. Tooltje gebruikt om dat te checken, en nee.

Het ging trouwens om Windows 7, en bij mijn weten kan die niet eens omgaan met keys in het bios.
SunnieNL
@_Thanatos_25 november 2015 22:37
Windows7 heeft een oem cd nodig voor zijn installatie met de key op de sticker.
NSG
@_Thanatos_25 november 2015 11:44
Je kan nog altijd activeren via de telefoon.
http://answers.microsoft....b3-4d1c-812f-4b21fbd807a7
HADES2001
@_Thanatos_25 november 2015 12:29
Complete onzin, als je een schone installatie wil kan je of van de microsoft site zo de image downloaden, of je kan een telefoontje doen naar de Dell helpdesk en ze sturen je gratis een Windows installatie DVD OEM.
Je license key staat trouwens tegenwoordig der middel van OEM 3.0 in je moederbord voorgeprogrameerd en hoef je niet eens in te geven.
_Thanatos_
@HADES200125 november 2015 18:02
In dit geval ging het om Lenovo. Die zijn schijnbaar iets klantonvriendelijker.
DaaNMageDDoN
@HADES200125 november 2015 19:03
En die OEM dvd met de Dell Image bevat hoogstwaarschijnlijk het certificaat en misschien ook wel DSD, juist dat waar je vanaf wilde komen.
RoestVrijStaal
@Snow_King25 november 2015 12:16
Daarom: BTO Laptops (bto.eu)

Waarbij je je hardware kan samenstellen en handmatig vervangen nog ook ipv wegwerptroep bij de meeste OEMs.
robbinwehl
25 november 2015 13:18
Bovenstaande is 1 van de vele redenen waarom ik een nieuwe pc altijd een clean install geef.

(Bloatware, adware, trial antivirus, en self signed root certificaten)
kimborntobewild
@robbinwehl25 november 2015 16:31
Malware/security leaks zitten tegenwoordig steeds vaker (ook) in firmware, zoals UEFI en drivers.
robbinwehl
@kimborntobewild25 november 2015 16:46
Net zoals de secure boot, gaat UEFI boot meteen uit (indien mogelijk) .
Mogelijk kan er dan nog malware in de firmware zitten.. maar gelukkig kunnen ze hier geen rootcertificaten in proppen ;-)
kimborntobewild
@robbinwehl25 november 2015 18:04
Net zoals de secure boot, gaat UEFI boot meteen uit (indien mogelijk).
Ik weet niet meer waarom, maar bij mijn moederbord lukte me dat niet (of was 't gewoon niet meer mogelijk.)
Dat ze trouwens geen rootcertificaten in firmware kunnen stoppen, dat betwijfel ik. Het is toch gewoon software?
robbinwehl
@kimborntobewild26 november 2015 09:22
Firmware is inderdaad software, software die het mogelijk maakt de hardware aan te sturen. (Ik heb het dan uiteraard over firmware in een pc bijvoorbeeld van je HD of DVDspeler)
In firmware kunnen wel certificate 'hashes' in zitten, die in theorie later aangesproken zou kunnen worden door software (op bijvoorbeeld Windows).
Dennis
25 november 2015 15:49
Wat al een hoop helpt is Firefox gebruiken, omdat die niet gebruik maakt van de standaard Windows certificate store maar een eigen certificate store heeft.
Plopeye
@Dennis25 november 2015 16:13
Dat is slechts schijnveiligheid, deze machines zijn heel simpel te infecteren met een stukje malware wat gesigned is met deze keys...

En zo zijn er nog vele andere vormen om dit uit te buiten...
XeNoN62
25 november 2015 12:13
Zal HP hier ook last van hebben? Die kan je ook online laten checken welk systeem je in huis heb.
Kennyyy01
25 november 2015 12:40
Is het ook niet gewoon regel 1 dat private keys ook private blijven? En dus niet maar overal naartoe gedistribueerd worden...
Tomino
@Kennyyy0125 november 2015 13:06
Dit
Plopeye
25 november 2015 14:54
En dit laat maar weer eens zien waarom nooit een fabrieksinstallatie gebruiken.

In de grotere omgevingen SCCM uitrol met eigen image, drivers en software.
DCG909
25 november 2015 18:41
Had wel de e-root, maar deze niet.
M17 R3.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee