威胁预警:戴尔电脑eDellRoot证书已被黑客利用

2015-11-25

戴尔多款个人电脑产品被爆预装了自签名的eDellRoot根证书,并附带对应的私钥,由此引入的安全漏洞可能触发多种风险。此事11月22日在Reddit社交网站曝光,并很快得到其它用户及安全专家的证实。Dell官方证实此证书从八月开始在其家用和商用产品中加载,本意是为了给用户提供更好的在线支持服务。

可能的影响

数字证书具有多重的用途:SSL加密、代码证书签名、邮件加密、双因子认证等。都是由受认证信任的证书颁发机构(CA)来颁发的,而证书的信任机制依赖根证书,在颁发证书时首先有根CA机构的根证书,再由根CA机构颁发中级CA机构的证书,最后由中级CA机构颁发具体的证书。根证书是最关键的一个证书,如果它不受信任,它下面的所有证书都不受信任。操作系统在安装过程中会默认安装一些受信任的CA机构的根证书,戴尔此次就是在系统中安装了自签名的根证书,同时将本应严格保存在根CA机构的私钥也附带了进去。这样任何人都可以通过一些简单的方式获得私钥,并生产证书,这些证书对预装了eDellRoot的设备来说是可信性。

这就意味这黑客可以伪装成证书颁发机构,随意生成证书,具体的攻击场景包括:中间人攻击解密HTTPs流量、假冒网站和给恶意软件签名。由于某些杀毒软件对使用有效数字签名的程序不进行检查,因此经过这种处理的软件就可以绕过检测。

很可能存在这样一种情况:你在机场、图书馆或者咖啡厅,通过WiFi上网购物,而这个WiFi其实是黑客部署的,并使用eDellRoot证书设置了中间代理人,这时该设备和网络支付HTTPs服务器之间的流量会被攻击者截获,并通过私钥进行解密,最终网上支付的帐户信息会被攻击者窃取,即使采用了HTTPs的方式。

我们的发现

我们利用安全分析云VirusBook.cn对带有eDellRoot证书签名的样本进行了跟踪,今天上午发现了两个新的样本:

• SHA256:0be52e42a0b418f2c332c83da9fe5cff3f626b0fcb49b175ab72430106ee3a35

• SHA256:20d285b66efe0a1838aed866ee2c5dbbb9a17f5904c11360e4f0924ad0ee9ac6

通过多个杀毒引擎的检测和ThreatBook研究团队的分析,这两个样本分别属于Conficker和Zbot恶意软件家族。ThreatBook 推测黑客在进行实验,通过eDellRoot证书签名方式来探测杀毒引擎的检测能力。由于eDellRoot证书及其私钥是公开的,并可以很容易的被任何人(包括黑客)得到,因此任何使用此证书来进行签名的程序都可能是不安全的,需要慎重的标记并检查。

我们基于eDellRoot证书提取了IOCs指标,加入到ThreatBook的威胁情报平台并向客户实时推送。

检测与清除

• 网络检测: https://edell.tlsfun.de/

• 手动检测:打开启动——输入certmgr.msc——跳出证书管理界面——点开受信任的根证书颁发机构,查看有没有名为eDellRoot的证书;

• 删除:参照戴尔官方文档

(https://dellupdater.dell.com/Downloads/APP009/eDellRootCertificateRemovalInstructions.pdf)

• 机读威胁情报OpenIOC:

下载地址:(https://threatbook.cn/ioc/edellroot/)

SHA1: 779DC716CE260986A125771B7C6440804C3A19CE

MD5: 2A196F063C0349B6109CA191917690C9

SHA256: 329B05B4F1E6926057F06BFB50C006D924CB1B028B45C7713B286D43B7D336A0

返回Blog首页