В преддверии «черной пятницы» поставки компьютеров Dell разных моделей осуществляются с предустановленным корневым сертификатом и соответствующим секретным ключом. Все ведущие браузеры, за исключением Firefox, воспринимают этот сертификат как доверенный.

При наличии на рынке готовых инструментов для извлечения приватных ключей в ближайшее время можно ожидать всплеск MitM-атак, взломов защищенных коммуникаций, а также появления новых подделок под популярные ресурсы.

Со слов представителей Dell, производитель начал загружать сертификат на потребительские и коммерческие устройства в августе, чтобы ускорить подключение услуг техподдержки. Наличие сертификата позволяет работнику техподдержки получить необходимую информацию, такую как модель компьютера, установленные драйверы и операционная система.

«Недавно возникшая проблема связана с оставленным на машинах сертификатом, призванным улучшить, ускорить и облегчить техническое обслуживание для клиентов, — заявил представитель компании в ответ на запрос Threatpost. — К сожалению, этот сертификат привнес непредвиденную угрозу нарушения безопасности. Чтобы исправить ситуацию, мы предоставляем пользователям руководство по полному удалению сертификата из системы — через email-рассылки и публикации в разделе обслуживания заказчиков и на сайте службы техподдержки. Мы также начали удалять сертификат из систем Dell и в скором времени его вычистим».

«Dell предварительно не устанавливает рекламное или вредоносное ПО, — не преминул подчеркнуть собеседник Threatpost. — Сертификат повторно не встанет, если его удалить правильно, так, как рекомендует Dell».

Эта ситуация напомнила случай с Lenovo, когда начиная с Рождества ноутбуки компании продавались с предустановленной программой Superfish. Это ПО неустанно показывало рекламу и открывало возможность для проведения MitM-атак.

На настоящий момент сертификат eDellroot обнаружен на лэптопах Dell XPS 15, рабочих станциях M4800 и на продуктах линейки Inspiron.

«Это означает, что атакующий обретает полномочия удостоверяющего центра, которые можно использовать для генерации MitM-сертификатов или для перенаправления на фишинговые сайты, которое не будет отмечено как незаконное, — поясняет Кеннет Уайт (Kenneth White), директор проекта Open Crypto Audit Project. — С точки зрения пользователя, с таким же успехом можно применять поддельный эквивалент Verisign, Comodo или УЦ Symantec».

Уайт создал веб-сайт, на котором можно проверить уязвимость машины к атакам с использованием данного сертификата. Немецкий блогер Ханно Бёк (Hanno Böck) также предлагает аналогичную онлайн-проверку.

Неприятная ситуация была предана гласности в минувший уик-энд — в частности, всплыла отдельной темой на Reddit с подачи владельца Dell XPS 15 Кевина Хикса (Kevin Hicks). Судя по бурному обсуждению в этой ветке, случай с Кевином далеко не единственный.

Один из участников Reddit-дискуссии заявил:

Dell не могла не увидеть плохие отзывы о Lenovo в прессе, когда вскрылось истинное назначение Superfish. Тем не менее они сделали то же самое, но получилось еще хуже. Они установили не какое-то стороннее приложение, а собственный фуфлософт. Мало того, назначение сертификата доподлинно неизвестно. В случае с Superfish мы по крайней мере знали, что их фальшивый корневой УЦ нужен для внедрения рекламы на просматриваемые страницы, а зачем нужен сертификат Dell, неясно.

Программист из Флориды Джо Норд (Joe Nord) опубликовал на своем сайте предупреждение в отношении ноутбуков Dell Inspiron 5000. «Серийный номер начинается с «6b c5 7b 95 18 93 aa 97 4b 62″, а ключи помечены как не подлежащие экспорту, — пишет блогер. — Замечу, это не значит, что приватный ключ недоступен, его просто нельзя экспортировать. Обладание приватным ключом, присутствующим на моем компьютере, позволяет создавать сертификаты для любых сайтов и для любых целей, а компьютер автоматически, но ошибочно решит, что изданный сертификат валиден».

сертификат Dell

По свидетельству Бёка, сертификат-виновник был установлен с помощью ПО Dell Foundation Services, доступного на сайте компании. «Любой злоумышленник сможет использовать этот корневой сертификат для создания действующих сертификатов для произвольных страниц, — поясняет немецкий блогер. — От таких атак не защитит даже HTTP Public Key Pinning (HPKP, хранение списка разрешенных для домена сертификатов в исходных текстах браузера), так как вендоры браузеров разрешают переопределять эту защиту для локально установленных сертификатов. Такой компромисс в реализации предусмотрен в обеспечение так называемого перехвата TLS специальными прокси-узлами».

Категории: Уязвимости