Das fragwürdige Zertifikat ist auf neueren Dell-Rechnern als "Vertrauenswürdige Stammzertifizierungsstelle" hinterlegt.

Ein Dell-Kunde entdeckte auf seinem neuen XPS-15-Laptop von Dell eine angeblich vertrauenswürdige Zertifizierungsstelle namens eDellRoot. Doch dieses Zertifikat ist alles andere als vertrauenswürdig – im Gegenteil: Es gefährdet alle verschlüsselten Verbindungen des Systems.

Unser improvisierter Man-in-the-Middle konnte die scheinbar sichere Verbindung zur Deutschen Bank ohne Mühe belauschen.

Das fragwürdige CA-Zertifikat findet sich im Windows Zertifikatsspeicher unter "Vertrauenswürdige Stammzertifizierungsstellen" von Dell-Systemen, berichtet der Nutzer rotorcowboy auf reddit. Es darf somit die Echtheit beliebiger Zertifikate beglaubigen. Das geht dann mit dem zugehörigen, geheimen Schlüssel, den dummerweise nicht nur Dell hat. Er findet sich nämlich ebenfalls im Zertifikatsspeicher von Windows und ist dort als nicht exportierbar markiert. Trotzdem lässt er sich mit wenig Aufwand extrahieren, wie rotorcowboy erklärt. Sowohl das Zertifikat als auch der extrahierte, jetzt-nicht-mehr-so-geheime Schlüssel stehen zum öffentlichen Download bereit.

Akute Gefahr durch Man-in-the-Middle

Bei einem Schnelltest konnte heise Security das CA-Zertifikat tatsächlich auf Anhieb auf einem Test-Notebook von Dells Consumer-Marke Alienware nachweisen. Ein schnell eingerichteter Man-in-the-Middle-Proxy mit der eDell-Root-CA konnte dann auch sofort alle verschlüsselten Verbindungen mitlesen – etwa die zu Microsofts Bing oder der Deutschen Bank. Die komplette SSL/TLS-Verschlüsselung war damit nur noch schöner Schein. Egal ob Online-Banking, Passwort-Eingaben, Software-Downloads: Jeder Angreifer mit Zugang zum Netzwerkverkehr des Systems kann das alles fast beliebig mitlesen oder sogar manipulieren.

Damit ist die fragwürdige Dell-CA nicht nur ein Privatsphären-Problem sondern ein veritables Sicherheitsloch von bislang kaum abschätzbarem Ausmaß. Schließlich ist Dell einer der größten Hardware-Hersteller und das CryptoAPI nutzen fast alle Windows-Programme, inklusive Internet Explorer, Edge und Chrome. Prominente Ausnahmen sind Mozillas Firefox und Thunderbird, die einen eigenen Zertifikatsspeicher mitbringen.

Schneller Workaround

Der einfachste Workaround ist es, dem Zertifikat die Rechte zu entziehen.

Noch ist nicht klar, auf wie vielen Dell-Rechnern das eDellRoot-Zertifikat installiert ist; dass wir es gleich auf dem ersten entdeckten, lässt schlimmes befürchten. Und wo es drauf ist, ist Alarm angesagt. Hanno Böck stellt auf seiner Seite tlsfun.de einen Schnelltest bereit, der anzeigt, ob das eDell-Root-Zertifikat installiert ist. Als provisorische Schutzmaßnahme kann man Dells Hintertür-Zertifizierungsstelle selbst das Vertrauen entziehen. Starten Sie dazu den Zertifikats-Manager über den Befehl certmgr.msc . Unter Zertifikate - Aktueller Benutzer / Vertrauenswürdige Stammzertifizierungsstellen / Zertifikate findet sich das fragliche Zertifikat eDellRoot .

Nachdem wir in dessen Eigenschaften, erreichbar über die rechte Maustaste, die Option Alle Zwecke für dieses Zertifikat deaktivieren angewählt hatten, war der Lauscher wieder ausgesperrt. Allerdings ist das mehr ein schneller Workaround denn echter Schutz. Nachdem bislang nicht bekannt ist, wozu dieses Zertifikat eigentlich dient, muss man damit rechnen, dass dieser Schritt Nebenwirkungen haben könnte. Außerdem hatten wir bislang keine Zeit, systematisch zu testen, ob sich Dell nicht auch anderen Stellen weitere Kuckuckseier hinterlassen hat.

Vor einiger Zeit betraf ein ähnliches Problem Lenovo-Notebooks. Dort klinkte sich die Adware Superfish Visual Discovery in verschlüsselte Verbindungen ein, um dort Werbung anzuzeigen; als Nebeneffekt konnten Angreifer über den CA-Schlüssel Lenovo-Systeme kompromittieren. Warum Dell jetzt seine Kunden einer ähnlichen Gefahr aussetzt, ist bislang unbekannt.

Update 24.11.15, 11.26 Uhr: Dell hat auf die Vorwürfe gegen das vorinstallierte Root-CA-Zertifikat reagiert und will ab dem heutigen Tag ein Update zur Verfügung stellen, das das Zertifikat entfernt. (ju)