ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2015-11-24

Dell製PCで確認されたeDellRoot証明書の関連情報をまとめてみた

| 20:55 |  Dell製PCで確認されたeDellRoot証明書の関連情報をまとめてみたを含むブックマーク

Dell製PCで確認された勝手ルート証明書問題(Superfish2.0とも呼称されている)の関連情報をまとめます。

Dellの公式見解・サポート情報

Superfish2.0の概要

経緯
日時出来事
2015年11月2日「eDellRoot」がルート証明書インストールされていることをユーザーが発見。
2015年11月22日他ユーザーの検証を通じこの証明書が複数のDell製PCにインストールされている可能性。
ユーザーからの問い合わせを受けてDellが調査を開始。
2015年11月23日Dellが問題の内容や証明書の削除手順を公開。
2015年11月24日ユーザーが「DSDTestProvider」の証明書でも同様の問題を発見。CERT/CC脆弱性情報を公開。
2015年11月25日Dellが「DSDTestProvider」の問題を解決するためのツール、及び手順を公開。
2015年12月1日Dellがこの問題に関して詳細情報を公開。
問題
  • 証明書と一緒に秘密鍵も格納されていた。
  • ISCへ投稿された情報によれば証明書は全て同じ鍵で生成されている可能性がある。
  • 証明書は有効期限が2039年、用途はALLとして登録されていた。
  • Lenovo製PCで確認されたSuperfish問題と同じ脅威が存在する懸念がある。
  • BlueToothの管理ソフトに同梱されている証明書でも同様の問題が確認された(但しこちらの証明書は有効期限が既に切れている)
  • PFXのパスワードはeDellRoot証明書が「dell」、BlueTooth管理ソフトの証明書が「t-span」であった。
  • DSDTestProviderの証明書でも同様の問題が確認された。
eDellRootの証明書
DSDTestProviderの証明書

Dell System Detectとは何ですか?

Dell System Detect(DSD)は、デル・サポート・サイトとやり取りするためのアプリケーションで、お客様の許可を得た上でWindowsベースのPCまたはタブレットで実行します。お客様に特化したよりよいサポートを提供することを目的にしています

http://www.dell.com/support/Article/us/en/19/SLN117738/JA

脆弱性情報

CERT/CC
JPCERT/CC(JVN)

影響対象機種

確認されている影響対象まとめると次の通り。

問題の証明書対象時期パスワード
eDellRoot2015年11月20日〜23日の工場生産モデル
2015年8月18日以降にオンラインでDFSを更新した場合
dell
DSDTestProvider2015年10月20日〜11月24日の間に自身でインストール
(サポートを受けている時)
不明
Atherosプリインストール?
(BlueTooth搭載機種)
詳細不明t-span
「eDellRoot」証明書のインストールが確認されている機種
Dellの発表により対象とされる機種
有志の検証等により確認されている機種

少なくとも次の機種で確認されている。尚、独自のシステムイメージを使用するOEM製品は影響を受けないと報じられている。

国内販売機種でも確認されている模様。

2015年8月以降出荷されたモデルが対象である可能性

BrianKrebsがeDellRoot証明書が格納されているモデルが8月15日以降に出荷されたDell製PCが該当するとBlogで言及している。

発見者の投稿・Blog

eDellRoot証明書の分析レポート

検証方法

格納されている証明書の確認
  • 格納されている証明書にeDellRootが含まれていないかを確認する。
    • スタートボタン⇒「certmgr.msc」と入力し実行⇒「信頼されたルート証明機関」をクリック⇒「証明書」をクリック
    • 表示された証明書の発行先にに「eDellRoot」「DSDTestProvider」が含まれているか確認する。
検証サイトでの確認(現在のところeDellRootのみ)
  • UAC等により格納情報が確認が出来ない場合、検証サイトにアクセスしてeDellRoot証明書がインストールされているか確認することが出来る模様。(piyokango未検証)
  • 検証サイト(1) https://edell.tlsfun.de/
    • 問題がない場合は次の表示となる

f:id:Kango:20151124140123p:image:w450

  • 検証サイト(2)

f:id:Kango:20151124215829p:image:w450

eDellRootが確認された場合の対応方法

(1) Dellが案内している方法
  • Dell Update(法人向けの場合はDell Commandも可)を利用することで問題の証明書が検出され削除される。(32bit版対応は12月1日より配信開始)
(2) 自身で削除する場合
  • Dellより削除手順が公開されている。
  • 自動、手動いずれも削除をするには管理者権限が必要。
  • Dell製削除ツールにより自動で削除を行う場合

Dellより公開されている削除ツールをダウンロードして実行する。2つ公開されているが、No.2を実行すれば2つの問題が解決される。

Noツール名eDellRoot証明書DSDTestProvider証明書
1eDellRootCertFix.exe対応非対応
2DellCertFix.exe対応対応
  • 手動で証明書を削除を行う場合

The Register によればDell Foundation Servicesのdllファイルを削除した上で証明書を取り除かなかった場合、再度証明書がインストールされてしまうため、先にこのdllファイルを削除する必要がある。

No手順
1サービスより「Dell Foundation Services」を探し、これを停止する。
2Dell.Foundation.Agent.Plugins.eDell.dllを探しこれを削除する。
ファイルの場所は「c:\Program Files\Dell\Dell Foundation Services」
3「信頼されたルート証明機関、あるいは「個人」より証明書を選択し、「eDellRoot」「DSDTestProvider」を削除する。
4PCを再起動する。
Microsoftの対応

Windows Defenderでも問題の証明書が検出されるようになった。

eDellRootProgram:Win32/CompromisedCert.C
DSDTestDriverProgram:Win32/CompromisedCert.D

Rotocowboy氏とDellサポートのやり取り

Redditに書かれた内容と高梨さんTweetメモ

eDellRoot証明書で署名されたマルウェア

更新履歴

  • 2015年11月24日 PM 新規作成
  • 2015年11月24日 PM 概要を加筆、修正
  • 2015年11月25日 AM 最新の情報を反映
  • 2015年11月25日 AM DSDTestProviderの情報を反映
  • 2015年11月26日 PM 最新の情報を反映
  • 2015年11月27日 AM 影響対象の機種を「8月以降」へ修正
  • 2015年12月1日 PM Dellの詳細発表の内容を反映