Windows Defender: Sicherheitstool löscht Dells Root-Zertifikate
Es identifiziert das Zertifikat DSDTestProvider als “Win32/CompromisedCert.D”. Außerdem hat Dell nun bestätigt, dass es das Zertifikat eDellRoot auch als Aktualisierung verteilt hat. Das bedeutet, dass es womöglich auch auf vor August verkauften Dell-Rechnern installiert ist.
Die sowohl in Windows 8 als auch Windows 10 integrierte Sicherheitssoftware Windows Defender schafft es, die in dieser Woche entdeckten gefährlichen Root-Zertifikate von Dell zu beseitigen. Tests des ZDNet-Autors Ed Bott haben ergeben, dass Windows Defender bei einer Überprüfung das vom Support-Tool Dell System Detect installierte Zertifikat DSDTestProvider als potentielle Bedrohung “Win32/CompromisedCert.D” identifizierte.
“Ich habe den Zertifikatsmanager vor der Bereinigung geprüft und kann bestätigen, dass das gefährliche Zertifikat DSDTestProvider installiert war”, schreibt Bott. “Nach Abschluss der Bereinigung war es weg.”
Bott verweist allerdings auch darauf, dass Dell seine Rechner in der Regel mit einer vorinstallieren Sicherheitssoftware eines Drittanbieters ausstattet. Dadurch wird der in Windows enthaltene Defender automatisch deaktiviert.
Das DSDTestProvider-Zertifikat findet sich Dell zufolge auf Computern, die zwischen dem 20. Oktober und dem 24. November auf der Support-Website des Unternehmens die Anwendung Dell System Detect gestartet haben. Ihre Aufgabe ist es, das Gerät eines Besuchers zu erkennen und passend dazu Unterstützung zu offerieren.
Bereits zu Beginn der Woche hatte Dell bestätigt, dass es Geräte ab Werk mit dem ebenfalls selbst signierten Root-Zertifikat eDellRoot ausgeliefert hat. Es gehört zum Support-Dienst Dell Foundation Services. Da Dell beide Zertifikate zusammen mit einem privaten Schlüssel installiert, könnten Hacker sie benutzen, um per HTTPS verschlüsselten Datenverkehr zu entschlüsseln oder Schadsoftware zu signieren, die dann auf einem Dell-Rechner als vertrauenswürdig angezeigt würde.
Auf Anfrage von Computerworld bestätigte Dell jetzt via E-Mail, dass sich das eDellRoot-Zertifikat gegebenenfalls nicht nur auf Rechnern befindet, die Dell ab August ausgeliefert hat. Ältere Rechner sind demnach womöglich auch schon betroffen, da sie ab August ein Update auf die fehlerhaften Versionen 2.2 oder 2.3 der Dell Foundation Services erhalten haben könnten.
Zur Zahl der Betroffenen machte Dell derweil erneut keine Angaben. Es gab aber zu, dass das Werkzeug Kunden auffordert, automatische Updates zuzulassen. “Kunden, die ‘Ja’ gewählt haben, erhalten automatische Updates”, zitiert Computerworld aus der E-Mail eines Dell-Sprechers. Dell System Detect aktualisiere sich dagegen nicht von selbst.
Auf seiner Website liefert Dell mittlerweile detaillierte Informationen zu beiden Zertifikaten sowie Anleitungen zu deren Entfernung. Überdies verteilt der Computerhersteller seit 24. November Aktualisierungen, die die Zertifikate identifizieren und falls erforderlich löschen können. Darüber hinaus steht ein automatisches Removal-Tool bereit.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de