di Pierluigi Paganini*
Alcuni PC prodotti dalla Dell sono stati messi in commercio con pre-installato un certificato di root che si chiama eDellRoot e che espone gli utenti a rischio di attacchi informatici. A comunicarlo è stata l’azienda, attraverso il suo blog aziendale.
Gli hacker potrebbero sfruttare la presenza del certificato per decriptare le connessioni HTTPs e accedere a dati sensibili.
La situazione è molto simile a quella che si è verificata a inizio anno con il caso Superfish, che ha coinvolto il gigante cinese Lenovo. Anche in quel caso gli esperti scoprirono la presenza di un malware pre-installato sulle machine Lenovo. Il malware usava un certificato di root self-signed che consentiva al codice malevolo di iniettare messaggi pubblicitari nelle sessioni web degli utenti, esponendo gli stessi a vari tipi di attacchi.
Sono passati pochi mesi e ora gli esperti si interrogano sul perché Dell abbia iniziato a diffondere un certificato di root chiamato eDellRoot. Il certificato include la chiave private esponendo gli utenti ad attacchi di man-in-the-middle. Per esempio, è sufficiente che un PC con eDellRoot si connetta a un hotspot Wi-Fi controllato dall’attaccante affinché quest’ultimo possa sfruttare il certificato per decriptare il traffico della vittima e accedere alle informazioni in transito.
Il certificato è stato distribuito a partire dalla scorso 18 agosto come parte di un aggiornamento dell’applicazione Dell Foundation Services (DFS).
Il certificato eDellRoot è stato scoperto dai ricercatori dell’azienda Duo Labs, che hanno esaminato un portatile Dell in loro possesso. Scoperta l’anomalia, si sono rivolti al rappresentante del progetto Censys e hanno scoperto che certificati con il medesimo hash erano in uso in tutto il mondo.
Perché sui Pc Dell c’è il certificato eDellRoot?
Quanto scoperto dai ricercatori significa semplicemente che Dell ha intenzionalmente distribuito il certificato sui suoi computer in tutto il mondo. Addirittura in un caso il certificato eDellRoot è stato usato per fornire servizi di accesso sicuro a un sistema SCADA.
La lista dei modelli impattati include XPS, OptiPlex, Inspiron, Vostoro, e Precision.
Inizialmente Dell non ha fornito una spiegazione plausibile per la presenza di eDellRoot. L’azienda ha dichiarato che il certificato è usato per fornire una serie di servizi di supporto e assistenza al cliente.
Nel frattempo, Dell ha aggiornato l’applicazione DFS il lunedì dopo che la notizia era venuta allo scoperto. La società ha dichiarato che offrirà uno strumento per rimuovere il certificato.
Purtroppo, il certificato non può essere rimosso semplicemente a causa della presenza di una DLL (-Dell.Foundation.Agent.Plugins.eDell.dll) che reinstalla il certificato se viene eliminato. Gli utenti devono eliminare sia la DLL che il certificato.
Dell prevede di fornire informazioni dettagliate per rimuovere il certificato e annuncia che le macchine che verranno distribuite in futuro non lo includeranno
*Pierluigi Paganini
Membro Gruppo di Lavoro Cyber G7 2017 presso Ministero degli Esteri
Membro Gruppo Threat Landscape Stakeholder Group ENISA
Collaboratore SIPAF presso il Mef
