30 nov. 2015

Herramientas para remover certificados en laptops Dell

La semana pasada descubríamos la inclusión de un certificado raíz con su clave privada en algunos portátiles Dell. Cuando parecía que volvía la calma para la firma, se vuelve a encontrar otro certificado con las mismas características que el anterior. Parece que Dell ha sembrado sus ordenadores con certificados raíz no se sabe con qué extraño propósito.

El primer certificado, estaba identificado como "eDellRoot" se incluía en todos los equipos Inspiron 5000, XPS 15 y XPS 13 y según la firma formaba parte del sistema de soporte a los usuarios. La compañía ya confirmó que dejaría de incluir este certificado en sus nuevos portátiles, también ha proporcionado una herramienta [EXE] para eliminarlo de forma automática, así como un sitio.

Ahora la publicación Laptop Mag ha anunciado un segundo certificado identificado como "DSDTestProvider". Este segundo certificado se instala y se usa por Dell System Detect (DSD), una aplicación descargada desde el sitio web de Dell, que proporciona características de detección de producto ("Detect Product"), para ayudar a los usuarios a identificar el modelo de su ordenador y otros detalles técnicos.

Al igual que eDellRoot, DSDTestProvider también se instala en el almacén de certificados raíz, junto con su clave privada. Como ya aclaramos en la anterior una-al-día el principal problema reside en la capacidad que se le ofrece a un atacante para realizar ataques Man-in-the-Middle o falsificar prácticamente cualquier dominio (que no use certificado pinning) y cualquier dato firmado con esa clave privada.

Precisamente, Symantec ha confirmado que han encontrado muestras de malware en VirusTotal firmadas digitalmente con el certificado eDellRoot. Esto podría permitir a un atacante hacer pasar el malware como software legítimo en los sistemas Dell afectados.

Al igual que con eDellRoot para eliminar este certificado es necesario borrar primero la DLL Dell.Foundation.Agent.Plugins.eDell.dll y posteriormente eliminar el propio certificado DSDTestProvider.

Microsoft también sale al rescate de Dell, y de todos sus clientes, ya que ha actualizado sus herramientas de seguridad para eliminar ambos certificados del almacén. Según ha confirmado las herramientas actualizadas incluyen Windows Defender para Windows 10 y Windows 8.1, Microsoft Security Essentials para Windows 7 y Windows Vista, Microsoft Safety Scanner y Microsoft Windows Malicious Software Removal Tool.

Fuente: Hispasec

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!