zurück zur Übersicht

Datenpanne bei Dell: Der Root-Zertifikat-Leak und wie man sich schützen kann

verschlüsseltInnerhalb kurzer Zeit kommt es beim Hardwarehersteller Dell zur zweiten großen Datenpanne. Dell hat, mutmaßlich aus Versehen, bei der Auslieferung von Notebooks und bei der Installation einer Wartungssoftware ein Dell-eigenes (internes) Root-Zertifikat inklusive dem privaten Schlüssel dieses Zertifikats auf Dell Kundenrechnern ausgerollt. Böswillige Angreifer können sich gegenüber Dell Rechnern als beliebige, vertrauenswürdige Websites ausgeben und somit sensitive Daten wie bspw. Passwörter oder Online Banking Accounts abfangen. Hierzu müssten sie nur ein fingiertes Zertifikat erstellen und dieses mit dem Root-Zertifikat von Dell signieren.

Um den möglichen daraus resultierenden Gefahren aus IT-Security-Sicht effektiv und umfänglich zu begegnen, sollte man mehrere Maßnahmen ergreifen:

1.    Dell Rechner müssen gepatcht werden
Es ist unumgänglich, dass die betroffenen Dell Rechner gepatcht werden und somit das in Frage kommende Root-Zertifikat entfernt wird. Ein Patch ist auch erforderlich, da ansonsten die Wartungssoftware von Dell das entfernte Zertifikat erneut installiert. Hierbei hilft ein Patch Management System, um firmenweit Patches ausrollen zu können.
2.    Prüfen welche Rechner noch betroffen sind

Es muss firmenweit festgestellt werden, welche Rechner betroffen sind. Der Test auf betroffene Rechner muss mehrfach erfolgen, unter anderem auch, um nach erfolgter Patch Einspielung nicht bereinigte Rechner zu ermitteln. Hierbei helfen Endpoint Security Lösungen wie Tanium oder Forescout, um die Konfiguration aller Rechner im Netzwerk abzufragen.
3.    Certificate Revocation List (CRL) aktualisieren
Nicht vertrauenswürdige Zertifikate, d.h. alle Zertifikate welche vom betroffenen Dell Root-Zertifikat ausgestellt wurden sowie das Root-Zertifikat selbst müssen in die Certificate Revocation List aufgenommen werden. Zukünftige Kommunikationsversuche, welche das betroffene Zertifikat verwendet, werden somit unterbunden.
4.    Auf Netzwerkebene mögliche Verbindungsversuche unterbinden
Verbindungsversuche müssen auf Netzwerkebene erkannt und verhindert werden. Hierbei helfen Next Generation Firewalls wie die des Herstellers Palo Alto Networks. Hiermit wird die Verwendung von bestimmten SSL-Zertifikaten erkannt und es kann darauf reagiert werden. Beispielsweise kann die Kommunikation unterbunden und dem Client-PC ein Warnhinweis in Form einer Website zugesendet werden.
5.    Erfolgte Verbindungsversuche erkennen und forensisch untersuchen
Logmanagement und SIEM Systeme helfen dabei, bereits erfolgte Kommunikation zu ermitteln und forensische Analysen durchzuführen. Dies hilft sowohl dabei die Schadenslage zu ermitteln als auch durch Gegenmaßnahmen, weiteren Schaden zu verhindern.

Sind Sie sich nicht sicher, wie gut Sie gegen Sicherheitsvorfälle dieser Art gewappnet sind oder wie Sie effektiv und effizient auf mögliche Vorfälle reagieren können?  Melden Sie sich doch bei uns. Wir helfen Ihnen gerne weiter.


Quellen:

https://krebsonsecurity.com/2015/11/security-bug-in-dell-pcs-shipped-since-815/
http://www.heise.de/security/meldung/
http://www.laptopmag.com/articles/dell-certificate-security-flaw

Schreibe einen Kommentar