Windows Defender verwijdert Dells rootcertificaten met privésleutel

Microsoft heeft eDellRoot en DSDTestProvider aan zijn antimalwaredefinities toegevoegd en Windows Defender detecteert en blokkeert of verwijdert de beide certificaten als gevolg hiervan. Defender beschouwt de certificaten als 'mogelijke dreiging'.

Microsoft heeft de antimalwaredefinities voor eDellRoot en DSDTestProvider de namen Win32/CompromisedCert.C en Win32/CompromisedCert.D gegeven. De beveiligingssoftware van Microsoft heeft de certificaten het waarschuwingsniveau 'gemiddeld' gegeven. De update is in de nacht van woensdag op donderdag verschenen en kopers van Dell-pc's kunnen nu met Microsofts antimalwaresoftware de certificaten met privésleutel van hun systeem verwijderen of deze blokkeren.

De update verschijnt binnen enkele dagen nadat het DSDTestProvider-certificaat ontdekt werd en enkele dagen nadat eDellRoot in de publiciteit kwam. Dell publiceerde eerder een handleiding om eDellRoot handmatig te verwijderen. De rootcertificaten met privésleutel maken misbruik mogelijk, onder andere door malware er mee te signeren zodat Windows deze als authentiek Windows-programma accepteert. Daarnaast zijn er man-in-the-middle-aanvallen mee uit te voeren, waarbij de Dell-systemen https-verbindingen via nep-domeinen maken zonder alarm te slaan. Het is onbekend of andere malwarescanners de rootcertificaten ook aan hun definities gaan toevoegen. Dell Windows Defender eDellRoot

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 26-11-2015 10:26
24 • submitter: dennizzz

26-11-2015 • 10:26

24

Submitter: dennizzz

Lees meer

Registeraanpassing maakt Windows Defender een 'adware-killer'
Registeraanpassing maakt Windows Defender een 'adware-killer' Nieuws van 27 november 2015
Tweede rootcertificaat met privésleutel op Dell-laptops gevonden
Tweede rootcertificaat met privésleutel op Dell-laptops gevonden Nieuws van 25 november 2015
Dell erkent veiligheidsblunder met certificaat op pc's
Dell erkent veiligheidsblunder met certificaat op pc's Nieuws van 24 november 2015
Dell-gebruikers melden aanwezigheid rootcertificaat met private sleutel - update
Dell-gebruikers melden aanwezigheid rootcertificaat met private sleutel - update Nieuws van 23 november 2015
Meer producten en artikelen
Netwerk en systeembeheer

Reacties (24)

-Moderatie-faq
24
24
22
0
0
0
Wijzig sortering
Maurits van Baerle 26 november 2015 10:41
Als ik dat screenshot bekijk worden de certificaten niet verwijderd maar geblokkeerd. De vraag is waarom ze niet gewoon netjes gedeinstalleerd worden. Zelfs Dell zelf zal ze niet meer willen gebruiken en voor een volgende support tool een veiliger methode kiezen. Dan kunnen ze dus prima gedeinstalleerd worden.
Snake @Maurits van Baerle26 november 2015 10:42
Beter is om ze op de Untrusted list te zetten. Dan kunnen ze niet meer herinstalleerd worden.
Maurits van Baerle @Snake26 november 2015 10:44
Lees net de comment van vanrijn een minuut na mij en een untrusted store is inderdaad beter dan verwijderen, bij nader inzien.

Is dat wat Windows Defender doet?
casparvl @Maurits van Baerle26 november 2015 10:46
In een vorig nieuwsbericht (nieuws: Tweede rootcertificaat met privésleutel op Dell-laptops gevonden) stond "In de certificatenmanager kan het certificaat van de Trusted Root Certificate Store naar de Untrusted Certificates verplaatst worden. Door het certificaat als onbetrouwbaar te bestempelen, wordt voorkomen dat bij gebruik van DSD het certificaat weer als 'vertrouwd' geïnstalleerd wordt."

Om te voorkomen dat het opnieuw als vertrouwd geinstalleerd wordt is het dus handiger het certificaat niet te verwijderen, maar te blokkeren.
Maurits van Baerle @casparvl26 november 2015 10:50
Dat is helemaal waar natuurlijk. Maar, als Windows Defender zegt dat hij het 'blokkeert' betekent dat dan dat hij het certificaat naar untrusted heeft verhuisd?

(Het is jaren geleden dat ik Windows Defender heb gebruikt dus ben niet helemaal op de hoogte)
CH4OS @Maurits van Baerle26 november 2015 11:02
Je kan middels certmgr.msc het certificaat controleren, danwel het zelf verplaatsen naar de untrusted store.
Baelin @Maurits van Baerle26 november 2015 10:44
Als je ze verwijderd heb je de kans dat het programma ze gewoon weer stug terug zet omdat het programma denk dat ze ontbreken / niet geïnstalleerd zijn.
Als je ze blokkeert dan zeg je expliciet dat je die niet wil en dan worden ze dus ook geweigerd als een of ander programma ze terug probeert te zetten.
vanrijn 26 november 2015 10:42
Zoals in een ander topic hierover al genoemd werd, zou het niet handiger zijn geweest dat deze certificaten niet helemaal verwijderd worden maar in een untrusted container worden gezet?
Zo heeft, wanneer deze per ongeluk nogmaals wordt geïnstalleerd, de untrusted versie prioriteit boven de trusted versie en wordt de consument ook op de lange termijn beschermd.
Jack Flushell @vanrijn26 november 2015 11:04
Dat is precies wat er gebeurd. De titel van het nieuwsbericht is fout.
Zie ook een aantal eerdere reacties.
SunnieNL @vanrijn26 november 2015 11:25
Dat maakt op dit moment niet zo'n verschil met windows defender.
Als hij ze zou verwijderen, dan blokkeert hij nog steeds ook de herinstallatie ervan.
(een virus installatie wordt immers ook tegengehouden.. hij laat het virus zichzelf niet eerst installeren om het daarna weer weg te halen)
Laidback Luc 26 november 2015 10:27
Mooie actie van Microsoft om Dell even te helpen met de fout te herstellen! :)
Uiteindelijk is Microsoft ook degene die er last van krijgt als het certificaat misbruikt wordt natuurlijk..

[Reactie gewijzigd door Laidback Luc op 31 juli 2024 02:43]

Jack Flushell @Laidback Luc26 november 2015 11:02
Dat heeft helemaal niets te maken met (willen) 'helpen' m.i.
Windows Defender doet gewoon zijn werk... die tool is per slot van rekening bedoeld om je PC veilig(er) te maken.
TimMer @Jack Flushell26 november 2015 11:14
Anders had Dell het probleem zelf op moeten lossen, dus wel degelijk helpen. Maar uiteindelijk draait het om de gebruiker en daar zijn zowel Dell als Microsoft bij gebaat dat die tevreden is.
Jack Flushell @TimMer27 november 2015 07:43
Fout. Het is en blijft een beveiligingstool dat toevallig van MS is. Dat ze Dell helpen is bijzaak / bijkomstig.
SED 26 november 2015 10:29
Ik hoop wel dat deze optie ook bij andere malware pakketten bekend is gemaakt en dat men een zelfde plan trekt ongeacht merk van malware scanner.
Een lompe manier om een lompe fout recht te trekken.. past wel.
Carlos0_0 @SED26 november 2015 11:02
Ja zal wel mooi zijn want als je een andere virusscanner installeert wordt windows defender uitgezet, dus zal het mooi zijn als andere virusscanners dit ook inbouwen.
enver63 26 november 2015 10:46
Goede actie van Microsoft. Kunnen ze Windows Defender ook uitbreiden zodat die alle bloatware en andere nonsens die fabrikanten meeleveren weghaalt? O-)
Tweade @enver6326 november 2015 11:01
Dat kan bij W10, via instellingen kan je altijd terug naar een schone installatie.
rainrazor 26 november 2015 10:28
Prima oplossing lijkt mij. Zo heeft de thuis gebruiker die dit soort nieuws niet in de gaten houdt toch een oplossing!
HarryL 26 november 2015 10:29
Dit is wel een heel snelle en nette oplossing! Microsoft is goed bezig :)
Keypunchie 26 november 2015 11:09
Mis nog wel een belangrijke nuance. Dat Dell die certificaten aan je Trust Store toevoegt is nog tot daaraan toe en kun je over discussiëren wat de waarde daarvan is.

De oer- en oergrove fout, is dat ze de private key ook mee-installeren!

Daardoor kan iedereen ondertekenen. Die publieke certificaten op zich konden niet heel veel kwaad.
Eloy 26 november 2015 11:24
Zoals verwacht. Hebben ze ook met Superfish gedaan.
jimbo123 26 november 2015 12:47
Ik vraag mij af of Dell dit met Microsoft heeft kunnen regelen of dat dit een eigen initiatief van Microsoft is geweest.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq