1

Dell descubre nuevo ataque de hackers

La empresa ha detectado una nueva aplicación del sistema Dell que también instala un certificado root autofirmado en equipos.

La trama se complica: después de que Dell confirmó que uno de sus herramientas de soporte instalaba un peligroso certificado root autofirmado que podía modificar la clave privada en los computadores, los usuarios descubrieron un certificado similar desplegado por una herramienta Dell diferente.

El segundo certificado se llama DSDTestProvider y se instala por un aplicación llamada Sistema Dell Detect (DSD). A los usuarios se les solicita descargar e instalar esta herramienta cuando visitan el sitio Web de soporte de Dell y hacen clic en el botón “Detectar Producto”.

El primer certificado  – del que se informó el fin de semana – se llama eDellRoot y se instala con los Servicios de la Fundación Dell (DFS), una aplicación que implementa varias funciones de apoyo.

“El certificado no es malware o adware”, señaló sobre eDellRoot en una entrada de blog la representante de Dell, Laura Pevehouse Thomas.

“Por el contrario, se pretende proporcionar la etiqueta de servicio del sistema de asistencia en línea de Dell que nos permite identificar rápidamente el modelo de la computadora, por lo que es más fácil y más rápido para dar servicio a nuestros clientes”.

Falsificaciones
Sin embargo, debido a que tanto eDellRoot y DSDTestProvider están instalados en el almacén root de Windows de las certificaciones de autorización junto con sus claves privadas, puedan ser utilizados por los atacantes para generar certificados rogue para cualquier sitio web que sería aceptado en los sistemas Dell afectados.

Los certificados también podrían utilizarse para firmar archivos de malware y hacerlos más creíbles o que saltaran algunas restricciones.

Dell ha lanzado una herramienta de eliminación con sus instrucciones para desterrar el certificado eDellRoot, pero todavía tiene que hacer lo mismo para DSDTestProvider o incluso reconocer su presencia en los sistemas.

Opciones manuales

Esta no es la primera vez en que una herramienta del Sistema de Detección de Dell ha abierto un agujero de seguridad en los dispositivos de los usuarios.

En abril, un investigador de seguridad reveló una vulnerabilidad que podría haber permitido a un atacante remoto instalar malware en un computador con la aplicación en ejecución DSD.

Las pruebas realizadas dentro de una máquina virtual de Windows 10 revelaron que el certificado DSDTestProvider se queda atrás en el sistema cuando se desinstala el Dell  Sistema de Detección de herramienta.

Por lo tanto, los usuarios que quieren eliminarlo de su sistema debe hacerlo manualmente después de desinstalar DSD.

Esto se puede hacer con la tecla de Windows + r, escribiendo certlm.msc y pulsando Ejecutar. Después de permitir que la consola de administración de Microsoft ejecutar, los usuarios pueden navegar a Entidades de certificación raíz de confianza> Certificados, busque el certificado DSDTestProvider aparece en la lista, haga clic derecho sobre él y elimínelo.

“Los usuarios finales se basan en imágenes de fábrica de los sistemas operativos para estar razonablemente seguros por defecto, el acto de volver a instalar un sistema operativo desde fuentes originales está – a menudo – más allá de las capacidades técnicas de los usuarios finales de la media “, dijo Tod Beardsley, gerente de ingeniería de seguridad en Rapid7.

Beardsley destacó que Dell, gracias a estos ataques, tiene la oportunidad de actuar con rapidez y decisión para reparar el daño.

“Ahora puede revocar los certificados de los canallas, y evitar una repetición del escándalo Superfish de principios de este año”, recordó.