Alcuni modelli di computer Dell tra cui XPS 15, Latitude E7450, Inspirion 5548, Inspirion 5000, Inspiron 3647, e Precision M4800 venduti di recente hanno preinstallato una CA completa di chiave privata che può firmare certificati utilizzabili per verificare l’attendibilità di un sito o di un programma.
Un attaccante potrebbe utilizzare quella CA per truffare gli utenti Dell attraverso siti civetta o programmi apparentemente legittimi. In entrambi i casi, chi ha installato la CA eDellRoot vedrebbe programmi e siti contraffatti come legittimi.
Un metodo rapido per verificare se il proprio computer è interessato da questo problema è visitare il sito edell.tlsfun.de. Se appare una schermata rossa, siete in pericolo. Se si visita questo sito con Firefox non appare mai una schermata rossa, in quanto Firefox utilizza un proprio database di CA attendibili diverso da quello di sistema.
Non è sufficiente rimuovere la CA dal computer perché il servizio Dell Foundation Services lo ricrea.
Dell ha pubblicato un comunicato in merito che contiene il link ad un file DOCX con le istruzioni in inglese per risolvere il problema.
Per rimuovere definitivamente la CA di Dell bisogna innanzi tutto fermare e disabilitare il servizio Dell Foundation Services.
Cancellare il file C:\Programmi\Dell\Dell Foundation Services\Dell.Foundation.Agent.Plugins.eDell.dll
. Se non si rimuove questo file un avvio accidentale del servizio Dell Foundation Services potrebbe ricreare la CA.
Quindi eseguire certmgr.msc per aprire il gestore dei certificati, nell’albero a sinistra selezionare Autorità di certificazione radice attendibili e poi Certificati. Nella finestra a destra cliccare sul certificato eDellRoot e premere la X rossa nella barra degli strumenti per cancellare il certificato.
Se si desidera continuare ad utilizzare il servizio Dell Foundation Services, tornare nella gestione dei servizi, riabilitare Dell Foundation Services e avviarlo.
Duo Security ha pubblicato un documento dettagliato su questa vulnerabilità.
Aggionamento 25/11/2015 – Dell ha reso disponibile un programma per rimuovere il certificato e correggere la vulnerabilità. È consigliabile utilizzare questo metodo per sanificare il proprio PC.