Windows Defender verwijdert Dells rootcertificaten met privésleutel

Microsoft heeft eDellRoot en DSDTestProvider aan zijn antimalwaredefinities toegevoegd en Windows Defender detecteert en blokkeert of verwijdert de beide certificaten als gevolg hiervan. Defender beschouwt de certificaten als 'mogelijke dreiging'.

Microsoft heeft de antimalwaredefinities voor eDellRoot en DSDTestProvider de namen Win32/CompromisedCert.C en Win32/CompromisedCert.D gegeven. De beveiligingssoftware van Microsoft heeft de certificaten het waarschuwingsniveau 'gemiddeld' gegeven. De update is in de nacht van woensdag op donderdag verschenen en kopers van Dell-pc's kunnen nu met Microsofts antimalwaresoftware de certificaten met privésleutel van hun systeem verwijderen of deze blokkeren.

De update verschijnt binnen enkele dagen nadat het DSDTestProvider-certificaat ontdekt werd en enkele dagen nadat eDellRoot in de publiciteit kwam. Dell publiceerde eerder een handleiding om eDellRoot handmatig te verwijderen. De rootcertificaten met privésleutel maken misbruik mogelijk, onder andere door malware er mee te signeren zodat Windows deze als authentiek Windows-programma accepteert. Daarnaast zijn er man-in-the-middle-aanvallen mee uit te voeren, waarbij de Dell-systemen https-verbindingen via nep-domeinen maken zonder alarm te slaan. Het is onbekend of andere malwarescanners de rootcertificaten ook aan hun definities gaan toevoegen. Dell Windows Defender eDellRoot

Door Olaf van Miltenburg

Nieuwscoördinator

26-11-2015 • 10:26

24

Submitter: dennizzz

Reacties (24)

24
24
22
0
0
0
Wijzig sortering
Als ik dat screenshot bekijk worden de certificaten niet verwijderd maar geblokkeerd. De vraag is waarom ze niet gewoon netjes gedeinstalleerd worden. Zelfs Dell zelf zal ze niet meer willen gebruiken en voor een volgende support tool een veiliger methode kiezen. Dan kunnen ze dus prima gedeinstalleerd worden.
Beter is om ze op de Untrusted list te zetten. Dan kunnen ze niet meer herinstalleerd worden.
Lees net de comment van vanrijn een minuut na mij en een untrusted store is inderdaad beter dan verwijderen, bij nader inzien.

Is dat wat Windows Defender doet?
In een vorig nieuwsbericht (nieuws: Tweede rootcertificaat met privésleutel op Dell-laptops gevonden) stond "In de certificatenmanager kan het certificaat van de Trusted Root Certificate Store naar de Untrusted Certificates verplaatst worden. Door het certificaat als onbetrouwbaar te bestempelen, wordt voorkomen dat bij gebruik van DSD het certificaat weer als 'vertrouwd' geïnstalleerd wordt."

Om te voorkomen dat het opnieuw als vertrouwd geinstalleerd wordt is het dus handiger het certificaat niet te verwijderen, maar te blokkeren.
Dat is helemaal waar natuurlijk. Maar, als Windows Defender zegt dat hij het 'blokkeert' betekent dat dan dat hij het certificaat naar untrusted heeft verhuisd?

(Het is jaren geleden dat ik Windows Defender heb gebruikt dus ben niet helemaal op de hoogte)
Je kan middels certmgr.msc het certificaat controleren, danwel het zelf verplaatsen naar de untrusted store.
Als je ze verwijderd heb je de kans dat het programma ze gewoon weer stug terug zet omdat het programma denk dat ze ontbreken / niet geïnstalleerd zijn.
Als je ze blokkeert dan zeg je expliciet dat je die niet wil en dan worden ze dus ook geweigerd als een of ander programma ze terug probeert te zetten.
Zoals in een ander topic hierover al genoemd werd, zou het niet handiger zijn geweest dat deze certificaten niet helemaal verwijderd worden maar in een untrusted container worden gezet?
Zo heeft, wanneer deze per ongeluk nogmaals wordt geïnstalleerd, de untrusted versie prioriteit boven de trusted versie en wordt de consument ook op de lange termijn beschermd.
Dat is precies wat er gebeurd. De titel van het nieuwsbericht is fout.
Zie ook een aantal eerdere reacties.
Dat maakt op dit moment niet zo'n verschil met windows defender.
Als hij ze zou verwijderen, dan blokkeert hij nog steeds ook de herinstallatie ervan.
(een virus installatie wordt immers ook tegengehouden.. hij laat het virus zichzelf niet eerst installeren om het daarna weer weg te halen)
Mooie actie van Microsoft om Dell even te helpen met de fout te herstellen! :)
Uiteindelijk is Microsoft ook degene die er last van krijgt als het certificaat misbruikt wordt natuurlijk..

[Reactie gewijzigd door Laidback Luc op 31 juli 2024 02:43]

Dat heeft helemaal niets te maken met (willen) 'helpen' m.i.
Windows Defender doet gewoon zijn werk... die tool is per slot van rekening bedoeld om je PC veilig(er) te maken.
Anders had Dell het probleem zelf op moeten lossen, dus wel degelijk helpen. Maar uiteindelijk draait het om de gebruiker en daar zijn zowel Dell als Microsoft bij gebaat dat die tevreden is.
Fout. Het is en blijft een beveiligingstool dat toevallig van MS is. Dat ze Dell helpen is bijzaak / bijkomstig.
Ik hoop wel dat deze optie ook bij andere malware pakketten bekend is gemaakt en dat men een zelfde plan trekt ongeacht merk van malware scanner.
Een lompe manier om een lompe fout recht te trekken.. past wel.
Ja zal wel mooi zijn want als je een andere virusscanner installeert wordt windows defender uitgezet, dus zal het mooi zijn als andere virusscanners dit ook inbouwen.
Goede actie van Microsoft. Kunnen ze Windows Defender ook uitbreiden zodat die alle bloatware en andere nonsens die fabrikanten meeleveren weghaalt? O-)
Dat kan bij W10, via instellingen kan je altijd terug naar een schone installatie.
Prima oplossing lijkt mij. Zo heeft de thuis gebruiker die dit soort nieuws niet in de gaten houdt toch een oplossing!
Dit is wel een heel snelle en nette oplossing! Microsoft is goed bezig :)
Mis nog wel een belangrijke nuance. Dat Dell die certificaten aan je Trust Store toevoegt is nog tot daaraan toe en kun je over discussiëren wat de waarde daarvan is.

De oer- en oergrove fout, is dat ze de private key ook mee-installeren!

Daardoor kan iedereen ondertekenen. Die publieke certificaten op zich konden niet heel veel kwaad.
Zoals verwacht. Hebben ze ook met Superfish gedaan.
Ik vraag mij af of Dell dit met Microsoft heeft kunnen regelen of dat dit een eigen initiatief van Microsoft is geweest.

Op dit item kan niet meer gereageerd worden.