Un par de certificados digitales emitidos por Dell produjeron una vulnerabilidad que podía exponer a los sistemas Windows a riesgos. Aprenda el alcance de la amenaza y cómo remediarla.
Dell anunció a principios de esta semana que algunos de sus certificados digitales (SSL) locales utilizados por los programas Dell Foundation Services y Dell System Detect (que están destinados a mejorar las funciones de soporte) han generado una importante vulnerabilidad de seguridad para los sistemas Windows. Esencialmente, si cualquiera de los dos certificados existe en un equipo determinado, se puede engañar a ese equipo para que confíe en los sistemas maliciosos, lo que podría exponerlo a malware o intentos de piratería informática.
Antes de entrar en detalles sobre dónde puede aplicarse la amenaza y cómo proteger sus sistemas contra ella, he aquí un breve resumen de cómo funcionan los certificados.
Un manual sobre certificados digitales
Un certificado digital garantiza la identidad de un sitio al que está conectado mediante una aplicación como un navegador web. Su propósito es asegurar al visitante (o a la aplicación) que el sitio realmente es quien dice ser para prevenir la tergiversación, la cual puede ayudar en actos criminales o malévolos. El tráfico se encripta hacia y desde el sitio para proteger los datos que contiene.
Por ejemplo, Twitter utiliza el siguiente certificado para garantizar la autenticidad del sitio (.
¿Cómo sabemos que el certificado es legítimo? Porque está emitido (o firmado) por una autoridad de certificación llamada autoridad de certificación raíz (o CA raíz) en la que confiamos. Esa autoridad tiene su propio certificado (llamado certificado raíz) que a menudo se incluye por defecto en los sistemas operativos y en los navegadores web comunes, pero que también se puede instalar por separado.
En la vemos el certificado raíz de una conocida y confiable agencia llamada VeriSign, que fue responsable de firmar el certificado de Twitter.
Mientras su aplicación confíe en la CA raíz, confiará en cualquier certificado emitido por esa entidad. Es más o menos lo mismo que tu amigo Michael, el oficial de policía, te dice que referirá a los clientes a tu negocio, y puedes confiar en que si te dice que él les envió a ellos, ellos son personal legítimo de las fuerzas de seguridad y no estafadores, estafadores, u otros elementos malos.
Cuando el navegador no confía en los certificados que ve, recibirá una advertencia como tal, indicando que puede ser peligroso acceder al sitio. Algunos navegadores pueden incluso negarse a permitirle conectarse por completo.
Una nota importante: Los certificados se basan en el cifrado de claves privadas y públicas, que son como firmas que se unen como dos piezas de un rompecabezas. La clave privada está en manos del emisor – la CA raíz – y se utiliza para firmar los certificados que dicen «Esto vino de mí». Las computadoras de los clientes utilizan la clave pública (que está disponible públicamente) para confirmar que el certificado es legítimo.
Si la clave privada de la CA raíz se ve comprometida, un hacker puede hacerse pasar por la CA raíz y emitir sus propios certificados para sitios web maliciosos. De este modo, pueden atraer a los usuarios para que accedan al sitio con fines delictivos, maliciosos u otros fines nefastos, o escribir malware para hacerlo de forma silenciosa, además de leer datos cifrados. Siempre y cuando el sistema operativo o el navegador confíe en ese certificado raíz, aceptará cualquier certificado relacionado sin cuestionarlo.
Eso es lo que pasó con Dell, y eso es lo que hace que esto sea tan importante. Los programas que Dell publicó tenían certificados de CA raíz adjuntos que se instalaron en los equipos que ejecutan este software. El problema es que las claves privadas se hicieron públicas. Es muy similar al incidente de Superfish de principios de año.
Tim Erlin, Director de Seguridad de TI y Estrategia de Riesgos de Tripwire, una conocida organización de seguridad, hizo los siguientes comentarios sobre la situación:
Dell tiene una útil página de blog que aborda el problema, y la sección de comentarios también proporciona más información y comentarios útiles.
El impacto de la vulnerabilidad de los certificados de Dell
Los sistemas operativos (que utilizan un almacén local de certificados) y las aplicaciones, como los navegadores web, confían en los certificados. Por lo tanto, los equipos que han instalado los programas Dell Foundation Services o Dell System Detect, o en los que se ha configurado un navegador web para que confíe en las autoridades de certificación raíz pertinentes, denominados eDellRoot y DSDTestProvider, respectivamente, pueden estar en peligro.
Nota: Los sistemas con Dell System Detect en los que la función «detectar producto» se ejecutó entre el 20 de octubre de 2015 y el 24 de noviembre de 2015 pueden verse afectados; esto podría no aplicarse si esa función nunca se utilizó. Sin embargo, es importante estar atento.
Desafortunadamente, no se trata sólo de averiguar si ha instalado estos programas en un sistema, sino que Dell los ha publicado automáticamente desde el 15 de agosto de 2015, por lo que es posible que se encuentren en su(s) sistema(s) sin su conocimiento.
Dell ha lanzado un enlace que puede decirle automáticamente si su sistema es vulnerable, pero vale la pena que confirme los resultados por sí mismo, ya que este tipo de cosas pueden ser y serán conocimientos útiles en el futuro.
No es probable que nadie haya configurado manualmente Firefox para que confíe en estos certificados, pero de todos modos te mostraré cómo comprobarlo un poco más. Primero, veamos cómo examinar el almacén de certificados local para ver si el sistema operativo confía en estos certificados.
1. Ejecute el comando mmc .
2. Haga clic en Archivo y, a continuación, seleccione Agregar o quitar complementos .
3. Haga doble clic en Certificados .
4. Seleccione Cuenta de equipo y, a continuación, haga clic en Siguiente y Finalizar.
Los certificados instalados en su sistema local se mostrarán en función de la categoría: Personal, Autoridades de certificación raíz de confianza, etc. Acceda a la sección de Autoridades de certificación raíz de confianza para revisar los certificados instalados .
No tengo los certificados ofensivos en mi computadora, pero aquí hay dos ejemplos de lo que se puede encontrar en un sistema que los tiene .
Este es el segundo ejemplo .
Al hacer doble clic en el certificado eDellRoot se muestra la siguiente información .
Cómo comprobar los navegadores web en Windows
La buena noticia es que Internet Explorer y Google Chrome que se ejecutan en Windows dependen del almacén de certificados local, por lo que si ha seguido los pasos anteriores, se aplicarán los siguientes consejos de reparación.
Firefox tiene su propio almacén de certificados y debe ser inspeccionado manualmente. Haga clic en Herramientas | Opciones | Avanzadas | Certificados y, a continuación, seleccione la ficha Autoridades. Desplácese por la lista para comprobar los certificados raíz descritos anteriormente.
La remediación
Dell ha proporcionado una página que describe el problema y ofrece una herramienta de eliminación automática, así como los pasos manuales necesarios. Un informe completo está aquí (PDF. En pocas palabras, puede confiar en su herramienta o, si prefiere manejar las cosas usted mismo, eliminar manualmente los certificados y sus programas relacionados.
Para eliminar manualmente los certificados raíz infractores a través de la consola de certificados que mostré anteriormente, haga clic con el botón secundario en cada uno de ellos y seleccione Eliminar. En el caso de Firefox, seleccione el certificado y haga clic en Eliminar o desconfiar. Para eliminar los programas Dell Foundation Services y Dell System Detect, puede desinstalarlos a través del Panel de control. Nota: Si estos programas permanecen en el equipo, es posible que los certificados problemáticos se vuelvan a instalar posteriormente.
Se supone que Dell también lanzó una actualización de software la semana pasada para corregir esto y, a partir del 27 de noviembre de 2015, la compañía declaró que tardará «varios días en llegar a todos», así que creo que es mejor usar una de las opciones anteriores o al menos hacer que cada sistema sea inspeccionado para confirmar que los certificados han sido eliminados.
¿Y qué si tiene que eliminar los certificados de varios sistemas? Estos pasos de remediación pueden ser agotadores. Si usted es un administrador de sistemas, le recomiendo que cree scripts para sus herramientas de eliminación a través de cualquier medio que haya empleado en su organización: Administrador de configuración de Microsoft (también conocido como SCCM), PowerShell, Group Policy o incluso archivos por lotes dentro de los scripts de inicio de sesión. Los comentarios de los usuarios en la página de Dell indican que este proceso puede dar lugar a notificaciones del sistema que informen al usuario de que no están afectados o de que el problema se ha solucionado, por lo que es necesario avisar con antelación a los empleados.
Además, es posible almacenar centralmente las herramientas en su red y pedir a los usuarios que las ejecuten manualmente, aunque como profesional de TI prefiero manejar las cosas directamente, ya que es nuestro trabajo proteger los sistemas y confirmarlo como tal.
Mirando hacia el futuro
El Sr. Erlin de Tripwire dijo lo siguiente sobre el camino que tenemos por delante:
Ese es el problema con este tipo de arreglos; si confiamos en las ACs raíz, somos vulnerables a las manipulaciones de esta confianza. Mientras tanto, ¿qué podemos hacer para reducir su impacto?
Bueno, si lo ha seguido con atención, puede que se haya dado cuenta de que Firefox, utilizando su propio almacén de certificados, era invulnerable a esta amenaza siempre y cuando nadie lo configurara manualmente para que confiara en esos certificados raíz. Pero no deje que eso le haga sentir una falsa sensación de seguridad y piense que simplemente usar Firefox será un remedio instantáneo para todos los incidentes futuros; el malware puede ser diseñado para configurar Firefox para que haga lo que los hackers quieren que haga. Soy consciente de las formas de utilizar la directiva de grupo, por ejemplo, para conseguir que Firefox confíe en determinadas CAs raíz.
En última instancia, se trata de reducir su huella de ataque para presentar un objetivo lo más pequeño posible.
He investigado esto, y no estoy al tanto en este momento de ningún método para bloquear almacenes de certificados dentro de sistemas operativos o navegadores para que no puedan ser cambiados, o para informar sobre cambios (esto sería una gran idea si pudiera ponerse en práctica), pero es posible usar herramientas centralizadas como la directiva de grupo para confiar en las CAs raíz específicas, con el fin de mantener un entorno consistente. Esto no impedirá que las aplicaciones instalen sus propias CA raíz, pero al menos puede ayudar a los administradores a saber qué esperar cuando examinen las CA raíz en sistemas y servidores cliente. Y, con suerte, Dell dará ejemplo aquí, y este negocio de instalar silenciosamente certificados de CA raíz cesará entre las empresas de software de renombre.
En última instancia, se trata de reducir su huella de ataque para presentar un objetivo lo más pequeño posible. Aquí es donde los métodos estándar para la mejor seguridad pueden ayudar, como la reducción del acceso de administrador, la eliminación de programas innecesarios y las aplicaciones de «listas blancas» para que sólo se ejecuten las que están específicamente permitidas. La utilización de imágenes estándar del sistema operativo que se pueden desplegar y volver a desplegar con facilidad también puede ser útil.
En resumen, conocer y gestionar un entorno predecible – y preparar herramientas de automatización de antemano para controlarlo – contribuirá en gran medida a mitigar una amenaza o, al menos, a responder a ella lo más rápidamente posible.
Artículo actualizado el 8 de diciembre de 2015: En la sección Mirando hacia el futuro, añadimos a la cita del Sr. Erlin.