中间人攻击 戴尔eDellRoot后门后续:根证书自带私钥 - APT防御产品

中间人攻击 戴尔eDellRoot后门后续:根证书自带私钥

11月22日,戴尔多个机型的机器被爆出预装了一个被称为eDellRoot的根证书后门,证书还夹带了对应的私钥,证书被除了火狐外的大部分浏览器接受。形象地说,这意味着戴尔在电脑上开了个后门,后门上还插着把钥匙。

此漏洞可导致中间人攻击,且已发现利用此漏洞制作的病毒,这对被安装了后门的用户是个严重的安全威胁。另外,戴尔的不少机器上还被研究者发现安装了与eDellRoot类似的、被称为DSDTestProvider的另一种根证书后门。

一个后门引发的漏洞

事情是这样的:上周末,一位叫Kevin的歪果仁在社交新闻网站Reddit的论坛上发了个帖子,说自己买的戴尔的XPS 15系列电脑上,有个莫名奇妙的证书,奇怪的是证书居然还携带了对应的私钥。Kevin写道:

戴尔肯定知道,联想之前被发现在用户电脑上安装广告程序Superfish后所造成的巨大负面影响。但是,戴尔还是决定效仿联想,甚至有过之而无不及:这个证书甚至都不是被第三方安装的,而是戴尔自己。雪上加霜地是,至少我们知道联想的流氓证书后门Superfish是为了在用户的网页上嵌入广告,而我们不知道戴尔为什么要把这个根证书安装到自己用户的电脑上。

一位叫Nord的工程师,也在22号在个人网站上发文,说自己发现了新买的灵越5000笔记本存在同样的问题:“这个证书对应的私钥被设置为不可导出,但却可以通过工具来获取。”

德国一位名叫Hanno Bock的安全研究者也发现了这个漏洞:“每个攻击者都可以使用这个根证书来生成对任意网站都有效的证书。甚至HTTP公钥固定协议(HPKP)都无法防止这种攻击,因为浏览器提供商允许本地安装的证书跳过公钥固定保护。”

这个证书从8月开始被安装到戴尔的电脑上,证书包含了PC型号、驱动和操作系统等信息。这个漏洞意味着,黑客实际上可以伪装成证书颁发机构,随意生成用于中间人攻击的有效证书,或把用户引导到钓鱼网站,而这些钓鱼网站并不会像一般的非法网站一样被标示出来。

23号,戴尔对这个漏洞发表了声明,说明这个证书是为了为用户提供更好的在线支持,但由此导致了意想不到的安全漏洞。戴尔为用户提供了卸载这个证书的方法。戴尔还表示,用户自己重装的系统不受此漏洞影响。戴尔在一段声明中说:

戴尔不会在用户电脑上安装任何广告程序或恶意程序,一旦按照戴尔提供的方法卸载,证书不会再自动安装到用户电脑上。

到目前为止,已经被发现存在 eDellRoot的根证书后门的机型有:戴尔 XPS 15笔记本、M4800工作站主机、灵越台式机和笔记本。

如何确定是否存在后门

如何确定自己的戴尔电脑上有没有这个eDellRoot后门呢?(DSDTestProvider查找方法同eDellRoot),目前搜集到了两个有效的方法:

一、安全宝自动检测: 

http://lucky.anquanbao.com/,进入检测页面即可自动检测是否存在后门。如果存在后门,按照页面给出的文档删除后门或下载最新官方补丁即可。

二、手动检测:

打开启动——输入certmgr.msc——跳出证书管理界面——点开受信任的根证书颁发机构,查看有没有名为eDellRoot的证书,如果有,那电脑上就存在这个后门。查找DSDTestProvider方法一样,只是有可能在证书管理器里所在的位置和eDellRoot不一样。

如何删除eDellRoot后门

戴尔官方发布了一份手册,向用户说明了删除后门的方法(DSDTestProvider删除方法和eDellRoot类似),整理如下:

一、自动删除:

下载戴尔官方补丁,点击执行即可:

https://dellupdater.dell.com/Downloads/APP009/eDellRootCertFix.exe

二、手动删除

见后门检测页面:http://lucky.anquanbao.com/


转载请注明出处 APT防御产品 » 中间人攻击 戴尔eDellRoot后门后续:根证书自带私钥

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址