Gefährliches Root-Zertifikat: HTTPS-Verschlüsselung von Dell-Nutzern gefährdet

Aus dem Superfish-Skandal haben einige Hersteller offenbar nichts gelernt: Auf Laptops der Firma Dell ist ein Root-Zertifikat vorinstalliert, das von Browsern als gültig akzeptiert wird, die den systemweiten Zertifikatsspeicher nutzen. Besonders drastisch: Auch der private Key befindet sich auf dem System und ist inzwischen öffentlich. Damit ist es jedem Angreifer möglich, Nutzern von Dell-Laptops mittels Man-in-the-Middle-Angriffen falsche HTTPS-Webseiten unterzuschieben oder verschlüsselte Daten mitzulesen.

Root-Zertifikat ermöglicht Man-in-the-Middle-Angriffe

Das Zertifikat, das unter dem Namen "eDellRoot" im Zertifikatsspeicher des Systems abgelegt wird, wird durch eine Software namens Dell Foundation Services installiert. Diese wird nach wie vor auf der Dell-Webseite zum Download angeboten. Laut der etwas unklaren Beschreibung von Dell dient die Software dazu, Kundenservice-, Messaging- und Supportfunktionen bereitzustellen.

Der private Schlüssel des Zertifikats ist im Windows-Zertifikatsspeicher nicht exportierbar abgelegt. Damit lässt er sich mit Windows-Bordmitteln nicht extrahieren. Ein richtiger Schutz ist das natürlich nicht, es gibt Tools, die derartige nicht exportierbare Zertifikate aus dem Zertifikatsspeicher extrahieren können. Ein Nutzer der Plattform Reddit hat den Key dort inzwischen veröffentlicht.

Nutzer entsprechender Laptops sind somit einem hohen Sicherheitsrisiko ausgesetzt. Jeder Angreifer kann dieses Root-Zertifikat nutzen, um gültige Zertifikate für beliebige Webseiten zu erstellen. Selbst wenn die Webseite durch HTTP Public Key Pinning (HPKP) ihre Zertifikate schützt, hilft das in diesem Fall nicht, denn für manuell installierte Zertifikate ist der Key-Pinning-Schutz nicht wirksam - ein Kompromiss, den die Browserhersteller bei der Implementierung eingegangen sind, um die Funktionsweise von sogenannten TLS-Interception-Proxies nicht zu beeinträchtigen.

Keine Stellungnahme von Dell

Der Autor dieses Artikels wurde bereits vor einigen Wochen von dem Softwareentwickler Kristof Mattei auf dieses Root-Zertifikat aufmerksam gemacht. Wir hatten Dell vor zwei Wochen um eine Stellungnahme gebeten, eine Antwort haben wir bislang nicht erhalten.

Welchem Zweck das installierte Root-Zertifikat dient, ist damit zurzeit unklar. Dass es sich um eine böswillige Maßnahme handelt, um die Überwachung von Nutzern zu erleichtern, erscheint allerdings auch eher unwahrscheinlich, denn dann hätte Dell den privaten Schlüssel für das Zertifikat vermutlich nicht mitinstalliert.

Betroffen sind Nutzer der betroffenen Laptops nur, wenn sie Browser oder andere Programme nutzen, die auf den Zertifikats-Systemspeicher zurückgreifen. Unter den Windows-Browsern nutzen der Internet Explorer und Chrome diesen Zertifikatsspeicher. Nicht betroffen sind Firefox-Nutzer, da der Mozilla-Browser einen eigenen Zertifikatsspeicher besitzt.

Onlinetest prüft Verwundbarkeit

Nutzer von Dell-Laptops können mittels eines von uns bereitgestellten Onlinetests prüfen, ob sie von dem Problem betroffen sind. Wer betroffen ist, sollte umgehend das entsprechende Zertifikat im Zertifikatsmanager von Windows löschen. Der Zertifikatsmanager lässt sich starten, indem nach dem Klick auf "Start" der Befehl "certmgr.msc" eingegeben wird. Dort ist das Zertifikat unter dem Punkt "Vertrauenswürdige Stammzertifikate" zu finden. Außerdem muss die Datei (Dell.Foundation.Agent.Plugins.eDell.dll) manuell gelöscht werden. Das Zertifikat entfernen alleine reicht nicht, um das Problem zu beheben. Dell hat eine Anleitung und ein automatisches Entfernungstool bereitgestellt.

Der Vorfall ist nahezu identisch mit den Ereignissen um das Programm Superfish. Im Frühjahr war bekanntgeworden, dass Lenovo auf seinen Laptops ein Programm vorinstalliert hatte, das in HTTPS-Verbindungen eingriff, um dort Werbung einzufügen. Dazu nutzte es ebenfalls ein Root-Zertifikat, dessen privater Schlüssel Teil der Software war. Anschließend wurden zahlreiche weitere Programme gefunden, die alle von demselben Sicherheitsproblem betroffen waren, weil sie alle ein Softwaremodul namens Komodia nutzten. Andere Programme mit ähnlichen Sicherheitsproblemen, darunter etwa die Software Privdog und der Adblocker Adguard, wurden ebenfalls entdeckt.

Nachtrag vom 24. November 2015, 10:29 Uhr

Dell hat inzwischen mit einer Stellungnahme reagiert. Darin entschuldigt sich der Konzern für den Vorfall und kündigt ein baldiges Update an, welches das entsprechende Zertifikat entfernen soll. Weiterhin hat Dell eine Anleitung und ein Tool zum Entfernen des Zertifikats bereitgestellt, wir haben den Text entsprechend angepasst. Anders, als wir ursprünglich geschrieben haben, reicht es nicht, lediglich das Zertifikat manuell zu löschen.