Thema: Lücken in Dell Rechnern

[SiLæncer]

Nach der DoS-Schwachstelle im Sommer tut sich nun ein Sicherheitsloch in Laptops der Hersteller Toshiba, Dell, Sony Vaio und Asus auf, zumindest wenn das vorinstallierte Windows XP benutzt wird. So soll es nach Angaben des Dienstleisters SecureWorks möglich sein, über eine Lücke in der Implementierung des Bluetooth-Treibers von Toshiba beliebige Software in den Rechner zu schleusen und zu starten. Unter Umständen stürzt Windows auch nur ab.

Toshibas Bluetooth-Stack wird auf den genannten Geräten meist mitinstalliert. Für eine erfolgreiche Attacke muss der Angeifer zwar in die Nähe seines Opfers kommen, und die kann unter Umständen unter zehn Metern liegen, aber gerade auf Flughafen oder Bahnhöfen stellt dies in der Regel kein Problem dar. Betroffen ist der Toshiba Bluetooth Stack in den Versionen 3.x, 4 bis 4.00.35 sowie alle OEM-Versionen. Die 64-Bit-Version des Treibers ist nicht verwundbar. Toshiba stellt ein Update bereit.

Der Fehlerbericht führt verwundbare Dell-Modelle separat auf. So sollten sich Besitzer von Dell Latitude 820/D620/D420/D520 an den Hersteller wenden, wenn die Software-Version nicht 4.00.22(D) SP2 oder aktueller ist. Bei Dell Latitude D810/D610/D410/D510/X1 sollte der Stand mindestens 4.00.20(D) SP2 sein. Die installierte Version lässt sich im Gerätemanager über Eigenschaften/Treiber abfragen. Als Workaround können Anwender Bluetooth deaktivieren oder zumindest in den unsichtbaren Mode schalten, um sich vor Angreifern zu verbergen.

Als Entdecker der Lücke würdigt SecureWorks David Maynor und Jon Ellch, die vor einigen Wochen ziemlich viel Wirbel um Sicherheitslücken in Apples WLAN-Treibern verursacht hatten. Apple hatte behauptet, keine Informationen von den beiden zum Verifizieren der Probleme erhalten zu haben. Diesmal scheint zumindest mit Toshiba und Dell die Kommunikation funktioniert zu haben. Immerhin bedankt sich SecureWorks explizit bei Dells Security Response Team und Toshibas Bluetooth Support Team für die Zusammenarbeit.

Der Fehlerbericht enthält auch das derzeit noch recht selten verwendetes CVSS Scoring (Common Vulnerability Scoring System), also eine Risikoeinschätzung von Sicherheitslücken, mit der Anwender besser entscheiden können, wie kritisch das Problem ist und wie schnell ein Patch installiert werden sollte:

Access Vector: Remote
Access Complexity: High
Authentication: Not Required
Confidentiality: Complete
Integrity: Complete
Availability: Complete
Impact Bias: Normal
Score: 8.0

Siehe dazu auch:

    * Multiple Vendor Bluetooth Memory Stack Corruption Vulnerability, Fehlerbericht von SecureWorks

Quelle und Links : http://www.heise.de/security/news/meldung/79438

[SiLæncer]

Mit einem eigenen Root-CA-Zertifikat hebelt Dell offenbar die Verschlüsselung seiner Kunden aus. Denn mit der kann sich jeder gültige Zertifikate ausstellen und damit Dell-Anwender nicht nur belauschen sondern auch Systeme mit Schad-Software infizieren.

Ein Dell-Kunde entdeckte auf seinem neuen XPS-15-Laptop von Dell eine angeblich vertrauenswürdige Zertifizierungsstelle namens eDellRoot. Doch dieses Zertifikat ist alles andere als vertrauenswürdig – im Gegenteil: Es gefährdet alle verschlüsselten Verbindungen des Systems.

Das fragwürdige CA-Zertifikat findet sich im Windows Zertifikatsspeicher unter "Vertrauenswürdige Stammzertifizierungsstellen" von Dell-Systemen, berichtet der Nutzer rotorcowboy auf reddit. Es darf somit die Echtheit beliebiger Zertifikate beglaubigen. Das geht dann mit dem zugehörigen, geheimen Schlüssel, den dummerweise nicht nur Dell hat. Er findet sich nämlich ebenfalls im Zertifikatsspeicher von Windows und ist dort als nicht exportierbar markiert. Trotzdem lässt es sich mit wenig Aufwand extrahieren, wie rotorcowboy erklärt. Sowohl das Zertifikat als auch der extrahierte, "geheime" Schlüssel stehen zum öffentlichen Download bereit.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Offenbar gibt es eine weitere von Dell bereitgestellte Software, die ein Root-Zertifikat samt privatem Schlüssel installiert. Das Tool namens Dell System Detect ist schon früher als Sicherheitsrisiko aufgefallen.

Das Ausmaß der Probleme mit gefährlichen Zertifikaten auf Dell-Laptops ist offenbar noch größer als gedacht. Eine zweite Software mit Namen Dell System Detect liefert ebenfalls ein gefährliches Root-Zertifikat mit, das für Man-in-the-Middle-Angriffe gegen verschlüsselte HTTPS-Verbindungen genutzt werden kann.

Der ganze Artikel

Quelle : www.golem.de

[SiLæncer]

Angreifer aus dem Web können bei bestimmten Dell-Rechnern den Service-Tag auslesen und die Nutzer so tracken. Dell hat diese Lücke nun geschlossen. Seit dem Update kann man allerdings unter anderem die gesamte Hardware-Konfiguration auslesen.

Die Negativ-Schlagzeilen um Dells Foundation Services reißen nicht ab. Zunächst war die Firma in die Kritik geraten war, weil sie mit der Wartungs-Software eigene Root-Zertifikate auf den Rechnern ihrer Kunden installiert hatte. Dann haben Sicherheitsforscher herausgefunden, dass man über die Foundation Services Nutzer im Netz tracken kann. Dell hat nun reagiert und die Lücke geschlossen, über die der Service-Tag des Rechners ausgelesen werden kann. Dabei hat die Firma allerdings dafür gesorgt, dass Angreifer nun noch mehr Informationen über Dell-Kunden sammeln können.

Die Lücke mit dem Loch gestopft

In Version 3.0.700.0A00 der Dell Foundation Services wurde die verwundbare JSON-API gegen eine neue SOAP-API ausgetauscht. Das berichtet die Sicherheitsfirma, die auch schon die erste Service-Tag-Lücke entdeckte. Diese neue API macht sehr viele Informationen über den Rechner zugänglich, die über die Windows Management Instrumentation (WMI) ausgelesen werden können. Darunter sind Hardware-Konfiguration, eine Liste mit installierter Software und sogar aktuell laufende Prozesse. Über einschlägige Suchmaschinen lassen sich tausende von Rechnern finden, die für die Lücke anfällig sind – die meisten stehen in den USA, heise Security konnte aber auch in Europa einige verwundbare Rechner finden.

Um die Schwachstelle zu schließen, empfehlen die Sicherheitsforscher, die Dell Foundation Services komplett vom Rechner zu verbannen. Dell hat bis jetzt auf Anfragen von heise Security zu der neuen Sicherheitslücke nicht reagiert.

Quelle : www.heise.de