Windows Defender verwijdert Dells rootcertificaten met privésleutel

Microsoft heeft eDellRoot en DSDTestProvider aan zijn antimalwaredefinities toegevoegd en Windows Defender detecteert en blokkeert of verwijdert de beide certificaten als gevolg hiervan. Defender beschouwt de certificaten als 'mogelijke dreiging'.

Microsoft heeft de antimalwaredefinities voor eDellRoot en DSDTestProvider de namen Win32/CompromisedCert.C en Win32/CompromisedCert.D gegeven. De beveiligingssoftware van Microsoft heeft de certificaten het waarschuwingsniveau 'gemiddeld' gegeven. De update is in de nacht van woensdag op donderdag verschenen en kopers van Dell-pc's kunnen nu met Microsofts antimalwaresoftware de certificaten met privésleutel van hun systeem verwijderen of deze blokkeren.

De update verschijnt binnen enkele dagen nadat het DSDTestProvider-certificaat ontdekt werd en enkele dagen nadat eDellRoot in de publiciteit kwam. Dell publiceerde eerder een handleiding om eDellRoot handmatig te verwijderen. De rootcertificaten met privésleutel maken misbruik mogelijk, onder andere door malware er mee te signeren zodat Windows deze als authentiek Windows-programma accepteert. Daarnaast zijn er man-in-the-middle-aanvallen mee uit te voeren, waarbij de Dell-systemen https-verbindingen via nep-domeinen maken zonder alarm te slaan. Het is onbekend of andere malwarescanners de rootcertificaten ook aan hun definities gaan toevoegen.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 26-11-2015 10:26
24 • submitter: dennizzz

26-11-2015 • 10:26

24 Linkedin

Submitter: dennizzz

Lees meer

Registeraanpassing maakt Windows Defender een 'adware-killer' Nieuws van 27 november 2015
Tweede rootcertificaat met privésleutel op Dell-laptops gevonden Nieuws van 25 november 2015
Dell erkent veiligheidsblunder met certificaat op pc's Nieuws van 24 november 2015
Dell-gebruikers melden aanwezigheid rootcertificaat met private sleutel - update Nieuws van 23 november 2015
Meer producten en artikelen
Netwerk en systeembeheer

Reacties (24)

-Moderatie-faq
-124024+122+20+30Ongemodereerd0
Wijzig sortering
Maurits van Baerle
26 november 2015 10:41
Als ik dat screenshot bekijk worden de certificaten niet verwijderd maar geblokkeerd. De vraag is waarom ze niet gewoon netjes gedeinstalleerd worden. Zelfs Dell zelf zal ze niet meer willen gebruiken en voor een volgende support tool een veiliger methode kiezen. Dan kunnen ze dus prima gedeinstalleerd worden.
Snake
@Maurits van Baerle26 november 2015 10:42
Beter is om ze op de Untrusted list te zetten. Dan kunnen ze niet meer herinstalleerd worden.
Maurits van Baerle
@Snake26 november 2015 10:44
Lees net de comment van vanrijn een minuut na mij en een untrusted store is inderdaad beter dan verwijderen, bij nader inzien.

Is dat wat Windows Defender doet?
casparvl
@Maurits van Baerle26 november 2015 10:46
In een vorig nieuwsbericht (nieuws: Tweede rootcertificaat met privésleutel op Dell-laptops gevonden) stond "In de certificatenmanager kan het certificaat van de Trusted Root Certificate Store naar de Untrusted Certificates verplaatst worden. Door het certificaat als onbetrouwbaar te bestempelen, wordt voorkomen dat bij gebruik van DSD het certificaat weer als 'vertrouwd' geïnstalleerd wordt."

Om te voorkomen dat het opnieuw als vertrouwd geinstalleerd wordt is het dus handiger het certificaat niet te verwijderen, maar te blokkeren.
Maurits van Baerle
@casparvl26 november 2015 10:50
Dat is helemaal waar natuurlijk. Maar, als Windows Defender zegt dat hij het 'blokkeert' betekent dat dan dat hij het certificaat naar untrusted heeft verhuisd?

(Het is jaren geleden dat ik Windows Defender heb gebruikt dus ben niet helemaal op de hoogte)
CH4OS
@Maurits van Baerle26 november 2015 11:02
Je kan middels certmgr.msc het certificaat controleren, danwel het zelf verplaatsen naar de untrusted store.
Baelin
@Maurits van Baerle26 november 2015 10:44
Als je ze verwijderd heb je de kans dat het programma ze gewoon weer stug terug zet omdat het programma denk dat ze ontbreken / niet geïnstalleerd zijn.
Als je ze blokkeert dan zeg je expliciet dat je die niet wil en dan worden ze dus ook geweigerd als een of ander programma ze terug probeert te zetten.
vanrijn
26 november 2015 10:42
Zoals in een ander topic hierover al genoemd werd, zou het niet handiger zijn geweest dat deze certificaten niet helemaal verwijderd worden maar in een untrusted container worden gezet?
Zo heeft, wanneer deze per ongeluk nogmaals wordt geïnstalleerd, de untrusted versie prioriteit boven de trusted versie en wordt de consument ook op de lange termijn beschermd.
Jack Flushell
@vanrijn26 november 2015 11:04
Dat is precies wat er gebeurd. De titel van het nieuwsbericht is fout.
Zie ook een aantal eerdere reacties.
SunnieNL
@vanrijn26 november 2015 11:25
Dat maakt op dit moment niet zo'n verschil met windows defender.
Als hij ze zou verwijderen, dan blokkeert hij nog steeds ook de herinstallatie ervan.
(een virus installatie wordt immers ook tegengehouden.. hij laat het virus zichzelf niet eerst installeren om het daarna weer weg te halen)
Laidback Luc
26 november 2015 10:27
Mooie actie van Microsoft om Dell even te helpen met de fout te herstellen! :)
Uiteindelijk is Microsoft ook degene die er last van krijgt als het certificaat misbruikt wordt natuurlijk..

[Reactie gewijzigd door Laidback Luc op 26 november 2015 10:28]

Jack Flushell
@Laidback Luc26 november 2015 11:02
Dat heeft helemaal niets te maken met (willen) 'helpen' m.i.
Windows Defender doet gewoon zijn werk... die tool is per slot van rekening bedoeld om je PC veilig(er) te maken.
TimMer
@Jack Flushell26 november 2015 11:14
Anders had Dell het probleem zelf op moeten lossen, dus wel degelijk helpen. Maar uiteindelijk draait het om de gebruiker en daar zijn zowel Dell als Microsoft bij gebaat dat die tevreden is.
Jack Flushell
@TimMer27 november 2015 07:43
Fout. Het is en blijft een beveiligingstool dat toevallig van MS is. Dat ze Dell helpen is bijzaak / bijkomstig.
SED
26 november 2015 10:29
Ik hoop wel dat deze optie ook bij andere malware pakketten bekend is gemaakt en dat men een zelfde plan trekt ongeacht merk van malware scanner.
Een lompe manier om een lompe fout recht te trekken.. past wel.
Carlos0_0
@SED26 november 2015 11:02
Ja zal wel mooi zijn want als je een andere virusscanner installeert wordt windows defender uitgezet, dus zal het mooi zijn als andere virusscanners dit ook inbouwen.
enver63
26 november 2015 10:46
Goede actie van Microsoft. Kunnen ze Windows Defender ook uitbreiden zodat die alle bloatware en andere nonsens die fabrikanten meeleveren weghaalt? O-)
Tweade
@enver6326 november 2015 11:01
Dat kan bij W10, via instellingen kan je altijd terug naar een schone installatie.
rainrazor
26 november 2015 10:28
Prima oplossing lijkt mij. Zo heeft de thuis gebruiker die dit soort nieuws niet in de gaten houdt toch een oplossing!
HarryL
26 november 2015 10:29
Dit is wel een heel snelle en nette oplossing! Microsoft is goed bezig :)
Keypunchie
26 november 2015 11:09
Mis nog wel een belangrijke nuance. Dat Dell die certificaten aan je Trust Store toevoegt is nog tot daaraan toe en kun je over discussiëren wat de waarde daarvan is.

De oer- en oergrove fout, is dat ze de private key ook mee-installeren!

Daardoor kan iedereen ondertekenen. Die publieke certificaten op zich konden niet heel veel kwaad.
Eloy
26 november 2015 11:24
Zoals verwacht. Hebben ze ook met Superfish gedaan.
jimbo123
26 november 2015 12:47
Ik vraag mij af of Dell dit met Microsoft heeft kunnen regelen of dat dit een eigen initiatief van Microsoft is geweest.
1 2

Op dit item kan niet meer gereageerd worden.

Google Pixel 7 Sony WH-1000XM5 Apple iPhone 14 Samsung Galaxy Watch5, 44mm Sonic Frontiers Samsung Galaxy Z Fold4 Insta360 X3 Nintendo Switch Lite

Tweakers is samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer onderdeel van DPG Media B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee