<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div></div><div>If you have a Dell laptop you may want to read this before doing any online financial transactions. This blog explains what the problem is and how to fix the issue with bad certificates. It gets kind of detailed, so take your time. </div><div><br></div><div>Happy Thanksgiving,</div><div>Kevin</div><div><br></div><div><h1 class="title" style="line-height: 1.4em; -webkit-hyphens: manual; margin-bottom: 1em; max-width: 100%;"><span style="font-size: 28px; background-color: rgba(255, 255, 255, 0);">Dude, You Got Dell’d: Publishing Your Privates</span></h1><p style="max-width: 100%;"><span style="background-color: rgba(255, 255, 255, 0);">Recently, Duo Labs security researchers found a few sketchy certificates on a Dell Inspiron 14 laptop we purchased last week to conduct a larger research project. And we weren’t the only ones - a <a href="https://www.reddit.com/r/technology/comments/3twmfv/dell_ships_laptops_with_rogue_root_ca_exactly/" target="_blank" style="text-decoration: none; max-width: 100%;">reddit thread</a> and some Twitter activity prompted us to share our observations and the real-world impact of our findings.</span></p><p style="max-width: 100%;"><span style="background-color: rgba(255, 255, 255, 0);">Read on for more about Superfish 2: eDellRoot Boogaloo, and reach out to our Duo Labs research team at <a href="mailto:labs@duosecurity.com" style="text-decoration: none; max-width: 100%;">labs@duosecurity.com</a> if you have any questions!</span></p><h3 style="max-width: 100%;"><a href="safari-reader://www.duosecurity.com/static/pdf/Dude,_You_Got_Dell_d.pdf" style="text-decoration: none; max-width: 100%; font-size: 28px; background-color: rgba(255, 255, 255, 0);"><font color="#000000">Download our research paper for the full technical breakdown of our findings.</font></a></h3><h2 style="max-width: 100%;"><span style="font-size: 28px; background-color: rgba(255, 255, 255, 0);">Our Findings</span></h2><ul style="max-width: 100%;"><li style="max-width: 100%;"><span style="background-color: rgba(255, 255, 255, 0);">There are two certificates we found on Dell machines, including a trusted eDellRoot root certificate.</span></li><li style="max-width: 100%;"><span style="background-color: rgba(255, 255, 255, 0);">The eDellRoot certificate is shipped preinstalled with an associated private key, which is a critical mistake.</span></li><li style="max-width: 100%;"><span style="background-color: rgba(255, 255, 255, 0);">Our research indicates that Dell is intentionally shipping identical private keys in other models.</span></li><li style="max-width: 100%;"><span style="background-color: rgba(255, 255, 255, 0);">This means an attacker could sniff a Dell user’s web browsing traffic and manipulate their traffic to deliver malware.</span></li><li style="max-width: 100%;"><span style="background-color: rgba(255, 255, 255, 0);">In the wild, we discovered a <a href="https://twitter.com/duo_labs/status/668966608014970880" target="_blank" style="text-decoration: none; max-width: 100%;">SCADA system</a> associated with the water treatment facilities of a city in Kentucky using the eDellRoot certificate for HTTPS.</span></li><li style="max-width: 100%;"><span style="background-color: rgba(255, 255, 255, 0);">We also found another certificate mishap on our Dell machine - an Atheros Authenticode signing certificate also shipped with the Bluetooth software.</span></li></ul><h2 style="max-width: 100%;"><span style="font-size: 28px; background-color: rgba(255, 255, 255, 0);">The Certificates</span></h2><p style="max-width: 100%;"><span style="background-color: rgba(255, 255, 255, 0);">In the interest of full-disclosure, we are including the eDellRoot private key we identified and the entire Atheros certificate bundle with this post.</span></p><p style="max-width: 100%;"><span style="background-color: rgba(255, 255, 255, 0);">You can download a zip of all the affected certificates <a href="safari-reader://www.duosecurity.com/static/files/DellCertificates.zip" style="text-decoration: none; max-width: 100%;">here</a>.</span></p><h2 style="max-width: 100%;"><span style="font-size: 28px; background-color: rgba(255, 255, 255, 0);">Real-World Impact</span></h2><p style="max-width: 100%;"><span style="background-color: rgba(255, 255, 255, 0);">If a user was using their Dell laptop at a coffee shop, an attacker sitting on the shop’s wi-fi network could potentially sniff all of their TLS encrypted traffic, including sensitive data like bank passwords, emails, etc.</span></p><p style="max-width: 100%;"><span style="background-color: rgba(255, 255, 255, 0);">The attacker could also manipulate the user’s traffic, e.g., sending malware in response to requests to download legit software, or install automatic updates - and make it all appear to be signed by a trusted developer.</span></p><h2 style="max-width: 100%;"><span style="font-size: 28px; background-color: rgba(255, 255, 255, 0);">Bonus Round: Leaked Atheros Authenticode Certificates</span></h2><p style="max-width: 100%;"><span style="background-color: rgba(255, 255, 255, 0);">eDellRoot was not the only certificate mishap we identified with our Dell machine. The Bluetooth management tools which ship with the machine included a file called ‘Verisign.pfx’ the name alone was pretty ominous.</span></p><p style="max-width: 100%;"><img src="safari-reader://www.duosecurity.com/static/images/verisign.png" alt="Dell Verisign File" class="extendsBeyondTextColumn" style="max-width: none; margin: 0.5em auto 0.5em -20px; display: block; height: auto; width: 375px;"></p><p style="max-width: 100%;"><span style="background-color: rgba(255, 255, 255, 0);">The .pfx archive required a password which took us all of 6 hours worth of sub-optimal cloud cracking to recover; the resulting password was: ‘t-span.’</span></p><p style="max-width: 100%;"><img src="safari-reader://www.duosecurity.com/static/images/atheros-cert.png" alt="Atheros Certificate" title="" class="auxiliary float right" style="margin: 0.5em auto 0.5em 20px; max-width: 100%; display: block; height: auto; clear: both; line-height: 1.4em; float: right;"></p><p style="max-width: 100%;"><span style="background-color: rgba(255, 255, 255, 0);">It turns out an Atheros signing certificate also shipped with the Bluetooth management software! It’s the certificate used to sign four of the Bluetooth drives that shipped with the install:</span></p><p style="max-width: 100%;"><span style="background-color: rgba(255, 255, 255, 0);">btath_hcrp.sys<br style="max-width: 100%;">btath_lwflt.sys<br style="max-width: 100%;">btath_pan.sys<br style="max-width: 100%;">bthathfax.sys</span></p><p style="max-width: 100%;"><span style="background-color: rgba(255, 255, 255, 0);">Thankfully, this certificate expired on 3/31/2013 making it less prone to potential abuse. However, it appears that this certificate was in circulation while it was still valid (at least 11 days from what we can tell).</span></p><p style="max-width: 100%;"><span style="background-color: rgba(255, 255, 255, 0);">That means anything that was signed and timestamped prior to the certificate expiring could be valid. The earliest driver version that we could identify with this certificate was released on March 19, 2013 with the “Dell Wireless 1601,10.0.0.227, A00 Driver” version <a href="tel:11.22.54.596" style="text-decoration: none; max-width: 100%;">11.22.54.596</a>.</span></p><h2 style="max-width: 100%;"><span style="font-size: 28px; background-color: rgba(255, 255, 255, 0);">Remediation for eDellRoot</span></h2><p style="max-width: 100%;"><strong style="max-width: 100%; background-color: rgba(255, 255, 255, 0);">UPDATE: Official <a href="https://dellupdater.dell.com/Downloads/APP009/eDellRootCertificateRemovalInstructions.pdf" target="_blank" style="text-decoration: none; max-width: 100%;">remediation instructions</a> and a <a href="https://dellupdater.dell.com/Downloads/APP009/eDellRootCertFix.exe" target="_blank" style="text-decoration: none; max-width: 100%;">patch</a> are now available from Dell.</strong></p><p style="max-width: 100%;"><span style="background-color: rgba(255, 255, 255, 0);">We are unsure what Dell Foundation Services (DFS) actually does on a Dell systems, however, Dell has a vague description <a href="http://www.dell.com/support/home/us/en/19/Drivers/DriversDetails?driverId=77P24" target="_blank" style="text-decoration: none; max-width: 100%;">here</a> and a Dell support forum also contains this overly vague and unhelpful <a href="http://en.community.dell.com/support-forums/software-os/f/4677/t/19616427" target="_blank" style="text-decoration: none; max-width: 100%;">response</a> from Dell.</span></p><p style="max-width: 100%;"><img src="safari-reader://www.duosecurity.com/static/images/dell-dfs.png" alt="Dell DFS" class="extendsBeyondTextColumn" style="max-width: none; margin: 0.5em auto 0.5em -20px; display: block; height: auto; width: 375px;"></p><p style="max-width: 100%;"><span style="background-color: rgba(255, 255, 255, 0);">Many people have indicated that removing the eDellRoot certificates from the root and personal certificate stores is sufficient to protect users. This is not entirely accurate; <strong style="max-width: 100%;">you must remove the eDell plugin entirely or the certificate will be reinstalled whenever it is loaded.</strong></span></p><p style="max-width: 100%;"><span style="background-color: rgba(255, 255, 255, 0);">This can be accomplished by deleting the ‘Dell.Foundation.Agent.Plugins.eDell.dll’ module from the system. Failure to do so may result in continued exposure to this security flaw.</span></p><p style="max-width: 100%;"><span style="background-color: rgba(255, 255, 255, 0);">Note that if you ever perform a factory reset on your Dell system, this certificate and the eDell plugin will be restored to the system and you will have to manually remove it again.</span></p><h2 style="max-width: 100%;"><span style="font-size: 28px; background-color: rgba(255, 255, 255, 0);">Conclusion</span></h2><p style="max-width: 100%;"><span style="background-color: rgba(255, 255, 255, 0);">This highlights a disturbing trend among original equipment manufacturer (OEM) hardware vendors. Tampering with certificate stores exposes users to unnecessary, increased risk.</span></p><p style="max-width: 100%;"><span style="background-color: rgba(255, 255, 255, 0);">Tampering with the certificate store is a questionable practice, and OEM’s need to be careful when adding new trusted certificates, especially root certificates. Sadly, OEM manufacturers seem to not be learning from historical mistakes and keep making them over and over.</span></p><p style="max-width: 100%;"><span style="background-color: rgba(255, 255, 255, 0);">We look forward to engaging with the security community as a whole to get to the bottom of this to help protect affected Dell customers, and we look forward to more care and consideration on the part of OEMs when deciding to customize certificate stores.</span></p><p style="max-width: 100%;"><span style="background-color: rgba(255, 255, 255, 0);">Watch this blog for more on this and other issues like it from Duo Labs in the near future.</span></p><h3 style="max-width: 100%;"><font color="#000000" style="text-decoration: none; max-width: 100%; font-size: 28px; background-color: rgba(255, 255, 255, 0);"><a href="safari-reader://www.duosecurity.com/static/pdf/Dude,_You_Got_Dell_d.pdf" style="text-decoration: none; max-width: 100%; font-size: 28px; background-color: rgba(255, 255, 255, 0);">Download our research paper for the full technical breakdown of our findings.</a></font></h3><h3 style="max-width: 100%;"><a href="https://www.duosecurity.com/blog/dude-you-got-dell-d-publishing-your-privates">https://www.duosecurity.com/blog/dude-you-got-dell-d-publishing-your-privates</a></h3></div></body></html>